G Data: Falso premio di 1.000.000 di euro da Google

Che Google raccolga una mole enorme di dati è un fatto unanimemente conosciuto. Ma è una novità sentire che ora Google distribuisca pure soldi. Recentemente sono stati inviate milioni di e-mail di spam che annunciano un presunto premio in denaro di 1.000.000 di euro in relazione all’iniziativa “Google Funds 2009”. I criminali tentano di convincere i destinatari a compilare un form entro il 2 Dicembre, inserendo vari dati personali in modo tale da attivare il trasferimento di denaro. Le informazioni personali dovrebbero poi essere inviate a un certo Reverendo Wilson Paul a un indirizzo che parrebbe affidabile in quanto con dominio gmail.com.

I dati personali richiesti includono cognome, nome di battesimo, data di nascita, sesso, indirizzo, nazionalità, professione, numero di telefono e di fax.

Ralf Benzmüller, Manager di G Data Security Labs: “Da un lato è sempre piacevole ricevere la promessa di un premio in denaro ma, dall’altro, può capitare che i propri dati personali vengano rubati o che alle ignare vittime venga addirittura richiesto di pagare dei costi per mandare a buon fine il trasferimento della presunta vincita in denaro. Come sempre queste e-mail vanno immediatamente eliminate.”

L’approccio tipico dei criminali

I criminali mandano una e-mail con la falsa notifica di una vittoria relativamente all’iniziativa “Google Funds 2009”, specificando addirittura che in una determinata città si svolgerà un meeting con tutti i vincitori. 10 fortunati in tutta Europa potranno ricevere ciascuno un premio in denaro di 1.000.000 euro dalla banca partner ufficiale dell’iniziativa. Barclays Bank Plc.

Come spesso accade il linguaggio e la sintassi di queste mail presentano diversi errori, come se il testo fosse stato tradotto con un traduttore automatico. Per cercare comunque di dare un’apparenza di affidabilità i criminali elencano una serie di importanti aziende che sarebbero coinvolte nel programma “Google Funds”: Microsoft Inc., AOL, Carlsberg, Becks, Mercedes Benz, Coca-Cola, Suisse Credit, Raiffeisen Bank Group, Allianz, Volkswagen, Nokia e Siemens.

G Data ha provato a contattare i criminali per vedere che cosa sarebbe potuto accadere e la prima conseguenza è stata la richiesta di versare diverse centinaia di euro su di un account Western Union. Questo denaro sarebbe infatti servito ad attivare l’intero processo per la transazione del denaro. L’e-mail fraudolenta in questione è stata inviata da un server collocato in Sud Africa e rientra in quello che viene comunemente chiamata la truffa “nigeriana” (Nigerian Scam), ossia una sorta di raggiro informatico molto diffuso.

Cestinare la mail senza pensarci due volte.

Annunci

G Data: nuovo trojan insidia la sicurezza

I G Data Security Labs mettono in guardia contro una nuova ondata di malware-spam rivolta contro i possessori di carte di credito e gli utenti del servizio di online banking.
Da qualche giorno i cyber criminali stanno inviando milioni di e-mail con false richieste di pagamento. Gli scammer richiedono agli ignari utenti di pagare una supposta cifra dovuta o utilizzare il tool in allegato per declinare il pagamento.

Il file .zip inviato in allegato contiene un file eseguibile “module.exe” che, una volta lanciato, istalla un cavallo di Troia. L’obbiettivo principale del software maligno è quello di spiare i dati delle carte di credito e i dati di log-in per l’online banking. Il Trojan identificato come Trojan.Win32.Sasfis.vbw si connette a diversi server situati in Ucraina o negli Stati Uniti per trasmettere i dati rubati e scaricare ulteriore malware. I nomi delle più grandi aziende americane come Microsoft, Citrix, Delta Airlines, Starbucks, Yahoo, Novell, Black & Decker e Avis sono artatamente utilizzati come mittenti di queste mail.

Ralf Benzmüller, Manager di G Data Security Labs: “Abbiamo classificato questo Trojan scoperto di recente come molto pericoloso. Il tipo di scam utilizzato segue la tipologia degli attacchi più recenti. I cyber criminali si stanno concentrando per carpire nuove informazioni relative a carte di credito e online banking. È quindi opportuno fare attenzione a questo tipo di false richieste e non istallare il file inviato in allegato.

Gli ignari utenti ricevono via mail una richiesta di pagamento da parte di aziende molto conosciute come Microsoft, NBC Universal, Black & Decker, Steinway & Sons, Delta Airways, Avis or Jones Soda Co.

L’e-mail contiene un allegato chiamato “module.exe” compresso in file .zip “module.zip”. Per cancellare la richiesta di pagamento o l’intera operazione viene chiesto di installare questo programma. Il file eseguibile si rivela un cavallo di Troia che si nasconde all’interno del sistema attivando operazioni pericolose in background e scaricando nuovo malware per causare ancora più danni. Una funzionale addizionale di backdoor garantisce inoltre ai criminali la possibilità di accedere direttamente al Pc in modo tale da utilizzarlo per altre azioni criminose.

Le soluzioni software per la sicurezza di G Data hanno già individuato il cavallo di Troia. È consigliato a tutti gli utenti di cancellare immediatamente questo tipo di e-mail e aggiornare le firme virali del proprio antivirus.

Scareware: migliaia di pagine Web infette

La società Cyveillance ha notificato nel proprio blog un attacco di tipo scareware su larga scala, che a quanto pare ha coinvolto all’incirca 200,000 pagine Web.

Google, suo malgrado, ha avuto un ruolo di primo piano nell’attacco, facendo puntare gli utenti alle pagine infette qualora venissero usate particolari keyword per la ricerca.

Stando al report, i termini sfruttati per portare a buon fine l’attacco non solo quelli classici come “Britney Spears”, “Obama” o “Paris Hilton”.

I “risultati infetti” vengono restituiti da Google solo quando viene usata una combinazione di parole più lunghe nel campo di ricerca.

I criminali hanno utilizzato a proprio vantaggio il fatto che la maggior parte delle query immesse quotidianamente in Google sono composte da sequenze di quattro/cinque parole.

Per fare indicizzare al motore di ricerca la sequenza, hanno quindi installato il proprio blog nelle pagine Web compromesse e generato in maniera automatica dei post con i titoli contenenti le parole in questione.

Per esempio, sequenze del tipo “las vegas rental no credit check”, “real world melinda and danny” o “uninvited song lyrics alanis morrissette”.

Purtroppo il sistema di protezione link di Google non ha funzionato perché questo segnala come “pericoloso” un link che manda direttamente ad una pagina contenente malware. In questa situazione invece si tratta di link che fanno il redirect verso le vere pagine infette.

Gli utenti che arrivino ad una delle pagine in questione vengono fatti puntare ai server dei criminali: da qui parte l’inganno che vede una finta scansione antivirus presentare risultati fasulli al fine di “forzare” l’utente a scaricare un finto software antivirus.

Sembra che il redirect si attivi unicamente se l’utente raggiunge le pagine cliccando direttamente sui risultati di Google. Nel fake blog viene infatti controllato il referrer HTTP.

Da alcune verifiche è stato accertato che i domini che attuano la “finta scansione” sono tutti registrati col registrar cinese TodayNIC.com. Sembra inoltre che siano anche coinvolti nella diffusione del worm Koobface.

Sulle modalità con cui i cracker siano riusciti a modificare le pagine Web non c’è ancora completa chiarezza, sembra però che in alcuni casi sia stata sfruttata una vulnerabilità della vecchia versione 1.4.24 della foto gallery Coppermine.

Panda Security scopre un falso Facebook

I laboratori di Panda Security hanno rilevato una finta pagina di Facebook progettata per rubare le password degli utenti di questo social network. URL e contenuto della pagina Web sono simili a quelli reali, per questo motivo coloro che vi accedono potrebbero essere confusi e inserire nome e password. In questo caso, la pagina darà un errore e ciò potrebbe aiutare a comprendere che si tratta di un sito pericoloso. Ogni informazione fornita finirà direttamente nelle mani degli autori di questa pagina.

Luis Corrons, direttore tecnico dei laboratori di Panda Security afferma “questo URL fraudolento è stato probabilmente diffuso attraverso email e tecniche di BlackHat SEO. Una volta che i cyber criminali entrano in possesso dei dati degli utenti, saranno in grado di realizzare tutte le tipologie di azioni dagli account, inclusi la pubblicazione di commenti spam con link pericolosi, l’invio di messaggi ai contatti, etc.”

Per evitare di essere vittime di questa frode, i laboratori consigliano di:
– non rispondere o aprire link di email insolite
– controllate attentamente che l’URL nel quale state inserendo i dati sia realmente quello di Facebook (www.facebook.com). Questi siti fittizi spesso utilizzando indirizzi simili, magari con una sola lettera sbagliata.
– Se per sbaglio foste entrati in una di queste pagine, collegatevi immediatamente al vostro account e cambiate la password per evitare l’accesso a chiunque.

Se non riusciste ad accedervi, Facebook offre servizi attraverso i quali potete reclamare la proprietà del vostro account e recuperarla.

Fonte PCSELF.COM

La Top20 dei malware di Ottobre

Kaspersky Lab sottopone all’attenzione degli utenti la classifica relativa alla diffusione dei diversi tipi di malware in Ottobre. A partire da questo mese, la nostra classifica viene compilata con i dati relativi a tutti i prodotti che dispongono del supporto di KSN: alla versione 2009 abbiamo aggiunto la 2010. Per questo motivo le due Top 20 ottenute dal lavoro di Kaspersky Security Network, sono leggermente cambiate rispetto al solito. Inoltre, in entrambe le Top 20 abbiamo riscontrato una crescita considerevole degli indici, dovuta al fatto che il numero di utenti “guariti” grazie al KSN è aumentato notevolmente.

Nella prima tabella troviamo quei programmi dannosi e potenzialmente indesiderati che sono stati individuati sui computer degli utenti e neutralizzati al primo contatto.

Posizione – Malware –  Variazione – N.  computer infettati
1 Net-Worm.Win32.Kido.ir 3 344745
2 Net-Worm.Win32.Kido.ih -1 126645
3 not-a-virus:AdWare.Win32.Boran.z 0 114776
4 Virus.Win32.Sality.aa -2 87839
5 Worm.Win32.FlyStudio.cu 6 70163
6 Trojan-Downloader.Win32.VB.eql -1 52012
7 Virus.Win32.Induc.a 0 49251
8 Packed.Win32.Black.d Nuovo 39666
9 Worm.Win32.AutoRun.awkp Nuovo 35039
10 Virus.Win32.Virut.ce -3 33354
11 Packed.Win32.Black.a Rientro 31530
12 Worm.Win32.AutoRun.dui -1 25370
13 Trojan-Dropper.Win32.Flystud.yo 4 24038
14 Trojan-Dropper.Win32.Agent.bcyx Nuovo 22471
15 Packed.Win32.Klone.bj Rientro 21919
16 Trojan.Win32.Swizzor.b Rientro 19496
17 Trojan-Downloader.WMA.GetCodec.s Nuovo 18571
18 Worm.Win32.Mabezat.b -4 19708
19 Trojan-GameThief.Win32.Magania.cbrt Nuovo 17610
20 Trojan-Dropper.Win32.Agent.ayqa Nuovo 16909

Net-Worm.Win32.Kido.ir, apparso per la prima volta a settembre, ha raggiunto la vetta della Top 20, spodestando il campione di lungo corso Kido.ih, ulteriore conferma del fatto che le memorie di massa e i dispositivi mobili sono tra le principali fonti d’infezione.
Una parola sui dispositivi mobili: al rappresentante consolidato della categoria, il worm Autorun.dui, si è unito il worm analogo Autorun.awkp, balzato immediatamente al 9° posto. Sotto questo nome si nascondono altri file, che scaricano automaticamente i malware sui dispositivi mobili.
Questo mese abbiamo poi assistito al ritorno di vecchi protagonisti della prima Top 20: Packed.Win32.Black.a, Packed.Win32.Klone.bj e Trojan.Win32.Swizzor.b. Inoltre, a Black.a si è unita la nuova versione: Black.d. Ricordiamo che alla famiglia Packed.Win32.Black appartengono programmi che vengono attivati grazie all’utilizzo di versioni non autorizzate di utility (legali) per la protezione dei file eseguibili. Nella fattispecie si tratta di ASProtect, molto popolare tra i cybercriminali.

Il downloader multimediale GetCodec.s è il fratello di GetCodec.r, del quale abbiamo già parlato a dicembre scorso: si diffonde utilizzando il medesimo worm P2P-Worm.Win32.Nugg.

Torna ad essere attiva la famiglia Magania, un tempo molto nota: a luglio Trojan-GameThief.Win32.Magania.biht è entrato nella Top 20 dei malware più diffusi su Internet. Ad ottobre una nuova versione del malware, Magania.cbrt, insieme al Trojan-Dropper.Win32.Agent.ayqa, anch’esso legato a questa famiglia, sono entrati nella lista dei 20 malware più frequentemente individuati sui computer degli utenti.
Complessivamente, in questo mese, abbiamo riscontrato innanzitutto un’attiva diffusione dei malware attraverso i dispositivi mobili digitali, e anche l’attività di Trojan per giochi on-line, fenomeno per ora non preoccupante ma comunque degno di attenzione.

La seconda tabella descrive la situazione su Internet. In questa classifica si trovano infatti malware che sono stati individuati nelle pagine Web nonché tutti quelli i cui tentativi di caricamento avvengono sempre attraverso le pagine Web.
In questa seconda Top 20, come al solito, la situazione è piuttosto vivace e variegata.

Posizione Malware Variazione
1 Trojan-Downloader.JS.Gumblar.x Nuovo 459779
2 Trojan-Downloader.JS.Gumblar.w Nuovo 281057
3 Trojan-Downloader.HTML.IFrame.sz 0 192063
4 not-a-virus:AdWare.Win32.Boran.z -3 171278
5 Trojan.JS.Redirector.l -3 157494
6 Trojan-Clicker.HTML.Agent.aq -1 118361
7 Trojan-Downloader.JS.Zapchast.m Nuovo 112710
8 Trojan.JS.Agent.aat Rientro 107132
9 Trojan-Downloader.JS.Small.oj Nuovo 60425
10 Exploit.JS.Agent.apw Nuovo 50939
11 Exploit.JS.Pdfka.ti -7 46303
12 Trojan.JS.Popupper.f Nuovo 39204
13 Trojan-Downloader.JS.IstBar.bh -1 34944
14 Trojan.JS.Zapchast.an Nuovo 30546
15 Trojan-Downloader.JS.LuckySploit.q -6 29105
16 Trojan-Downloader.JS.Agent.env Nuovo 27405
17 Trojan-Dropper.Win32.Agent.ayqa Nuovo 26994
18 Trojan-Clicker.HTML.IFrame.mq Rientro 26057
19 Trojan-GameThief.Win32.Magania.bwsr Nuovo 26032
20 Exploit.JS.Agent.anr Nuovo 25517

I primi due posti in classifica li hanno conquistati due nuove versioni del downloader script Gumblar che, apparso alla fine del mese, ha già raggiunto posizioni di testa.

Nelle nuove versioni di Gumblar la tecnologia di infezione dei siti Web è diventata ancora più sofisticata. Nella prima versione le pagine di siti del tutto legali infettavano direttamente il cuore dello script, grazie al quale, all’insaputa del visitatore della pagina, veniva utilizzato uno script situato sul sito del cybercriminale. Oggi nelle risorse Internet compromesse vengono inseriti link a script malware, a loro volta situati su altre risorse Internet perfettamente legali e già infettate, fatto che complica il processo di analisi e pulizia delle reti.

Alcune varianti dello script nascondono al proprio interno il trojan menzionato in precedenza, e al momento dell’esecuzione tentano di scaricare Kates.j sul computer dell’utente e di metterlo immediatamente in esecuzione automatica. Lo scopo principale di questo tipo di infezione è il furto di dati sensibili dell’utente, nella fattispecie quelli utilizzati per l’accesso ai siti Web, che vengono in seguito infettati.

Va detto, nonostante l’attacco effettuato con l’aiuto di Gumblar sia stato progettato in modo molto attento, già nei primi giorni dell’attacco i nostri specialisti sono riusciti a individuare e a collegare in modo efficiente tutti i tasselli del puzzle criminale. La tecnica della suddivisione dello script in diverse parti sta diventando sempre più popolare. In questo mese, dei 20 componenti della classifica dei malware, un quarto è strutturato secondo tale principio: Trojan-Downloader.JS.Zapchast.n, Trojan-Downloader.JS.Small.oj, Exploit.JS.Agent.apw, Trojan.JS.Zapchast.an eTrojan-Downloader.JS.Agent.env.

Inoltre, tra i venti malware più diffusi su Internet sono apparsi Trojan-Dropper.Win32.Agent.ayqa, di cui abbiamo parlato poco sopra, e un esempio di un altro tipo di programma, pensato per il furto delle password dei giochi on-line: Trojan-GameThief.Win32.Magania.bwsr.
Riassumendo, l’evento principale del mese per quanto riguarda Internet si può senza dubbio considerare l’infezione di massa di siti legali attraverso nuove versioni del downloader script Gumblar. In aggiunta a ciò, si riscontra una notevole attività nell’uso di tecnologie di suddivisione degli script in diverse parti per complicarne l’analisi e l’individuazione.

Furti bancari per 100 milioni di dollari

Ammonta a 100 milioni di dollari il bottino messo a segno dai criminali informatici attraverso i furti di dati bancari online. Lo segnala una nota ufficiale del Federal Bureau of Investigation (FBI) rilanciando più che mai il problema malware.

Gli attacchi ai conti bancari online si sono diffusi sempre di più negli Stati Uniti, toccando il picco nello scorso mese di ottobre. Le vittime sono solitamente associazioni locali e piccole aziende, ma anche scuole e amministrazioni municipali.

Il copione è sempre lo stesso. Un malware arriva tramite un allegato infetto o un link ad un sito compromesso. Una volta attivato, il malware scarica e installa un keylogger che registra tutti i tasti premuti sul computer, compresi username e password dei conti correnti online, che nelle piccole imprese e nelle associazioni sono molto usati a causa dei frequenti pagamenti da effettuare.

Una volta ricevuti i dati necessari, l’aggressore comincia a trasferire diverse somme di denaro, spesso su altri conti correnti all’interno degli Stati Uniti, facendo fare al bottino diversi “salti” al fine di far perdere le tracce. Molti dei conti correnti appartengono a persone compiacenti, contattate tramite il tipico spam “lavora e guadagna da casa” o tramite annunci di lavoro. Altre volte si tratta di conti correnti violati con la stessa tecnica del conto da svuotare.

La nota dell’FBI rivela che parte dei furti e delle frodi sono dovuti anche alle stesse banche. Soprattutto nelle piccole cittadine, le amministrazioni e le aziende tendono ad aprire i propri conti correnti in piccole banche locali, che si affidano a servizi di terze parti per i trasferimenti elettronici (chiamati ACH: “Automatic Clearing House”, una sorta di bonifico online).

L’aggiunta di un ulteriore passaggio nel trasferimento, e soprattutto la frequente disattenzione delle più banali norme di sicurezza informatica, come l’installazione di antivirus e firewall, rendono la vita facile ai criminali. La mancanza di controlli nelle piccole filiali potrebbe presto mettere in serio pericolo l’intero sistema di pagamenti online.

Windows 7: senza antivirus è poco sicuro

Se dal punto di vista della velocità Windows 7 ha parecchie frecce al proprio arco, sembra che altrettanto non si possa dire analizzando l’aspetto della sicurezza. Sono parecchie, infatti, le critiche avanzate al nuovo nato di casa Microsoft. I primi segnali di allarme sono stati lanciati da G DATA che ha monitorato e analizzato la protezione del nuovo sistema operativo. Stando a quanto riportato dall’azienda specializzata nello sviluppo di soluzioni di sicurezza informatica, Windows 7 può vantare qualche funzione di protezione in più rispetto a Vista, tuttavia non rappresenta una reale evoluzione rispetto al precedente sistema operativo, poichè molte funzioni di protezione si possono eludere. Secondo G DATA “È solo una questione di tempo e gli specialisti del malware saranno in grado di fornire tecniche di aggressione adeguate ai delinquenti del mercato criminale online”.

Nel White Paper “Sicurezza del sistema in Windows 7”, G Data fa una panoramica dei cambiamenti e dei punti di debolezza che ancora permangono, fornendo agli utenti le seguenti informazioni sui più rilevanti cambiamenti in fatto di sicurezza in Windows 7:

– Punto di debolezza sulla gestione dell’account utente: nuovi livelli per la visualizzazione dei messaggi di avviso del controllo account utente (UAC) causano rischi per gli utenti.
– Windows Firewall e Windows Defender: insufficienti meccanismi di protezione inducono negli utenti un falso senso di sicurezza
– AppLocker e Bitlocker: funzioni utili, ma solo per le aziende

La valutazione di Ralf Benzmüller, Manager of G Data Security Labs, è senza appello: “le innovazioni di sicurezza di Windows 7 sono quasi identiche a quelle di Vista e, in verità, sono più che altro di natura estetica.”

Anche Sophos rilascia un giudizio poco incoraggiante: durante dei test eseguiti su un PC privo di antivirus, Windows 7 è risultato vulnerabile a ben otto virus su dieci. La responsabilità va addebitata alla configurazione standard della UAC che non sarebbe in grado di proteggere un computer da malware di ultima generazione.

Il risultato del test effettuato da Sophos

Anche in futuro, quindi, per proteggere i sistemi Windows da attacchi ed abusi, saranno necessari software di protezione in grado di offrire un protezione efficiente ed efficace.

Fonte PCSELF.COM