Attenti ai falsi avvisi di consegna iPhone 5

La fantasia del crimine informatico è sempre fervida e non conosce ostacoli. L’enorme successo riscosso dal nuovo iPhone 5, per il quale Apple ha ricevuto 2 milioni di preordini in sole 24 ore, ha catalizzato l’interesse del cyber-crimine che ha pensato bene di sfruttare questa occasione per diffondere del codice malevolo via e-mail. 

Gli utenti che sono in attesa di ricvere il nuovo gioiello, che l’azienda inizierà a distribuire dal prossimo venerdi 21 settembre, potrebbero essere tentati di aprire con una certa leggerezza delle notifiche di preavviso della consegna provenienti da Ups e FedEx, i corrieri incaricati da Apple. Le comunicazioni ovviamente sono un falso e integrano, in allegato, un file htm con un link che dovrebbe comunicare le informazioni sullo stato dell’ordine. Niente di vero: indirizza verso una pagina appositamente realizzata che installa un trojan bancario nel PC tramite uno script nascosto.

 

La falsa e-mail di notifica

A darne notizia i Websense Security Labs. “Quando abbiamo controllato le email monitorate dal servizio Cloud Email Security di Websense, ci siamo accorti che erano state intercettate e bloccate oltre a 45.000 email simili. Le esche UPS/FedEx non sono una novità, ma di questi tempi – quando le persone stanno aspettando con impazienza un’email di questo tipo – è molto probabile che i destinatari abbasseranno le proprie difese ed eseguiranno il file allegato”, ha concluso Patrik Runald, Director Websense Security Labs.

“Possiamo notare – aggiunge il comunicato di Websense – che viene caricato un iframe da un dominio .UR, che è un sito Blackhole Exploit Kit che installa un trojan bancario nel PC”.

Il consiglio è uno solo: non abbassare la guardia e prestare sempre molta attenzione se si sta aspettando la notifica di consegna, è importante non aprire nessun allegato contenuto in questo tipo di e-mail.

Fonte PCSELF.COM

SabPub: nuova minaccia per utenti Mac

Nuovo allarme malware per gli utenti Mac. Dopo il trojan Flashback, che avrebbe attaccato almeno 600.000 Mac infettandoli e trasformandoli in altrettanti membri di un’inedita botnet, giunge da Kaspersky una nuova allerta. La nota azienda specializzata in prodotti per la sicurezza informatica ha individuato SabPub (Backdoor.OSX.SabPub) una nuova minaccia che rischia di mettere a segno un altro risultato nei confronti di quello che fino a ieri veniva considerato un sistema operativo invulnerabile.

SabPub, in effetti, non è un perfetto sconosciuto. Il trojan sarebbe in circolazione già da qualche tempo e sarebbe in grado di sfruttare un bug Java per superare le difese sui malware, raccogliendo informazioni sul sistema attaccato inviandole a un server remoto e permettendogli quindi di eseguire codice arbitrario. Non si hanno notizie sul numero dei Mac siano infettati. Si ha qualche certezza, invece, sulle modalità di propagazione identificate in link ingannevoli inviati tramite email oppure a mezzo diffusione di documenti .doc creati per lo scopo.

Evidentemente, la scarsa attenzione che il cyber-crimine aveva da sempre dimostrato nei confronti dei sistemi Apple, non era da attribuire alla loro impenetrabilità, ma alla loro quota di mercato. Parallelemente alla loro crescita è aumentata la diffusione del malware verso i sistemi operativi della casa di Cupertino. Questo concetto è sato sottolineato anche da Dave Marcus, direttore dei laboratori di ricerca e sicurezza McAfee: “La popolarità dei Mac è cresciuta e in modo parallelo è cresciuto l’interesse ad attaccare i sistemi operativi della Apple. Negli ultimi tempi i virus Mac sono aumentati notevolmente e ciò che stiamo vedendo con Flashback Trojan non è niente di sorprendente”.

Anche Eugene Kaspersky, fondatore dell’omonima azienda di sicurezza, è intervenuto sull’argomento. In un post sul suo blog ha dichiarato che “nell’aprile del 2012 il mondo dei sistemi operativi ha visto un cambiamento fondamentale. Si è dimostrato che i Mac non sono così invincibili come si credeva”.

Fonte PcSelf

Attacco dei botnet al mercato digitale

Fortinet, leader di mercato nella fornitura di soluzioni per la sicurezza di rete e leader mondiale nel campo delle soluzioni UTM (Unified Threat Management), ha annunciato che il report Threatscape di aprile 2010 segnala l’elevata attività di più botnet, ed esattamente Gumblar e Sasfis. Mentre Gumblar risulta al primo posto nell’elenco stilato da Fortinet dei 10 principali attacchi di rete, il ranking del botnet Sasfis è salito grazie a due dei suoi eseguibili presenti insistentemente nella lista dei 10 maggiori antivirus di Fortinet.

Come Bredolab, Sasfis è un botnet loader che segnala statistiche e recupera/esegue file al momento del check-in. Sasfis si distingue comunque per essere più innovativo e perché non utilizza la crittografia (tutte le comunicazioni vengono inviate tramite HTTP non crittografato). Ciononostante, Sasfis continua a diffondersi in modo aggressivo e in genere carica, tra gli altri file dannosi, trojan horse destinati alle attività di banking.

Le ulteriori principali minacce rilevate nel mese di aprile includono:

Vulnerabilità Microsoft: la vulnerabilità di Internet Explorer MS.IE.Userdata.Behavior.Code.Execution (CVE-2010-0806) è stata la seconda attività di rete dannosa rilevata per il secondo report consecutivo. Nello stato zero-day, Fortinet ha osservato un attacco a questa vulnerabilità che ha installato il famigerato spy-trojan Gh0st RAT, uno strumento di amministrazione remoto completamente funzionante che esegue anche lo streaming di feed audio e video per webcam. I FortiGuard Labs hanno inoltre scoperto due vulnerabilità di danneggiamento della memoria in Microsoft Office Visio, che consentono all’autore di un attacco remoto di compromettere un sistema usando documenti dannosi. Le vulnerabilità vengono attivate durante l’apertura e il rendering di un file di Visio. L’autore di un attacco remoto può creare un documento dannoso che sfrutta una di queste vulnerabilità per compromettere un sistema.

Vulnerabilità di Adobe Acrobat: i FortiGuard Labs hanno inoltre scoperto due vulnerabilità di danneggiamento della memoria in Adobe Reader/Acrobat, che consentono all’autore di un attacco remoto di compromettere un sistema usando documenti dannosi. Le vulnerabilità vengono attivate durante l’apertura e il rendering di un documento PDF. L’autore può creare un documento dannoso che sfrutta una di queste vulnerabilità per compromettere un sistema.

Ransomware e Scareware sono ancora tra i virus più rilevati: non è una sorpresa, perché Scareware è costantemente presente da settembre 2008. Ransomware, d’altra parte, ha iniziato a farsi strada nel 2010 grazie agli incentivi dei programmi di affiliazione che producono un guadagno quando le vittime acquistano i prodotti fittizi.

Lo spambot Cutwail sfrutta l’arruolamento di money mule: Fortinet continua ad osservare lo spambot Cutwail, attivo ormai da anni, che lancia varie campagne di spam per i suoi clienti. Lo spam inviato da Cutwail questo mese includeva di solito collegamenti dannosi a binari eCard o messaggi e-mail con binari allegati. Sono stati osservati vari argomenti ricorrenti per l’arruolamento di money mule nei messaggi di spam, cosa che dimostra una crescente domanda di lavoro sul mercato nero.

“I money mule sono essenzialmente veicoli per il riciclaggio di denaro sporco che i criminali cibernetici utilizzano per gestire e trasferire fondi illeciti”, ha detto Derek Manky, project manager dell’unità Cyber security and Threat Research di Fortinet.

“Il mule, o galoppino, riceve una commissione per l’esecuzione del trasferimento. Questi trasferimenti sono di solito eseguiti in lotti di 10.000 dollari al massimo. Le situazioni dei money mule sono prevalentemente mascherate da lavori in apparenza leciti, ad esempio la tenuta di un conto clienti. Se qualcosa sembra troppo bello per essere vero, di solito lo è”.

Pericoloso Worm per la messaggeria istantanea

Una nuova variante di Palevo è in grado di far saltare i sistemi non protetti attraverso link a false gallerie fotografiche. Lo segnala BitDefender, produttore di soluzioni di sicurezza anti-malware.

L’ultimo nato della famiglia Palevo ha cominciato a diffondersi in questi giorni con un’enorme ondata di spam IM generato automaticamente. Il messaggio non richiesto chiede al ricevente di cliccare su un link accompagnato da una faccina sorridente, che riporta a un’immagine o a una galleria fotografica.

Invece di aprire la presunta collezione di immagini, il link convince gli utenti a salvare quello che sembra un file .JPG, in realtà un eseguibile, che nasconde il Worm.P2P.Palevo.DP.

Continua la lettura...

W32/DatCrypt, il trojan che sequestra i dati

Già da molto tempo il cyber-crimine ha scelto la strada del sequestro e criptazione dei dati sul computer della vittima (ransomware) per trarre dei benefici economici. Ora è in circolazione W32/DatCrypt un nuovo trojan che è in grado di farlo senza che le vittime si accorgano di essere state truffate. Questo malware cripta dei file ma non chiede un riscatto vero e proprio: agisce in modo molto subdolo. La segnalazione arriva da F-Secure, la multinazionale specializzata in soluzioni di sicurezza.

Quando il trojan W32/DatCrypt infetta un computer, alcuni file appaiono all’utente come file compromessi, ad esempio i documenti di Microsoft Office, le immagini, i file musicali e i video. In realtà, sono stati criptati da DatCrypt. Subito dopo, appare quello che sembra essere un autentico messaggio di Windows che chiede all’utente di scaricare ed eseguire un “software raccomandato per la riparazione dei file”, chiamato Data Doctor 2010.

Leggi tutto >>

Nuova minaccia per gli utenti Facebook

I ricercatori di CA in ambito sicurezza lanciano un nuovo allarme per segnalare la diffusione di e-mail che invitano gli utenti ad aggiornare il proprio account su Facebook ma in realtà permettono a organizzazioni criminali di impossessarsi delle credenziali di coloro che cadono nella trappola.

Di recente, infatti, è stata riscontrata la diffusione di una serie di e-mail falsamente provenienti da Facebook. Il messaggio richiede al destinatario di aggiornare il proprio account per motivi di manutenzione del sistema di accesso al noto social network.

La mail contiene un collegamento di presunto aggiornamento (update) e invita l’utente a cliccarvi sopra.

Il collegamento apre il browser indirizzando l’utente ad una pagina Web che sembra quella di Facebook ma che in realtà altro non è che una subdola copia del sistema di accesso al social network che richiede le credenziali all’utente.

Una volta inserite le credenziali di accesso, queste vengono inviate ai cybercriminali che hanno architettato l’operazione.

Nel momento in cui vengono rubate le credenziali di accesso, l’utente è anche invitato a installare una sorta di programma – denominato updatetool – che in realtà si rivela una variante del noto Zbot (trojan il cui scopo è di rubare le password contenute all’interno del PC dell’utente vittima).

Il software di sicurezza di CA rileva e blocca questa variante del trojan Zbot, in modo da salvaguardare gli utenti.

Gli esperti di CA raccomandano di:

prestare molta attenzione alle e-mail che gli utenti ricevono quotidianamente
mantenere aggiornato il proprio software di sicurezza.

Halloween sfruttato per colpire i PC

Non è la prima volta che accade e sicuramente non sarà neanche l’ultima. La popolare e discussa festività di Halloween, corrispondente alla vigilia della festa cattolica di Ognissanti, anche quest’anno viene sfruttata per diffondere malware. Lo segnala Panda Security, la nota azienda di soluzioni software antivirus e content security. Molti siti Web, ben posizionati sui motori di ricerca, sono anche utilizzati per distribuire falsi programmi antivirus. Questi finti programmi sono soliti mostrare messaggi allarmanti per i navigatori per avvisarli che il PC è stato infettato ed è necessario acquistare una licenza del programma. Con un semplice clic, gli utenti verranno condotti su una pagina in apparenza legittima, che li renderà vittime di una frode.

L’aggressività di queste false applicazioni è sempre più forte ed è bene prestare attenzione:

1) Se conoscete l’indirizzo del sito che volete visitare, digitatelo direttamente nel browser.
2) Se dovete cercare un sito, utilizzate un tool di navigazione web che ne indichi subito la validità o la pericolosità.
3) In presenza di bambini, installate un efficace di sistema di parental control, che fornirà la garanzia di una navigazione sicura e ed il blocco a contenuti inappropriati.
4) Non aprite link sospetti provenienti da fonti non affidabili. Questa regola dovrebbe essere applicata anche ai messaggi ricevuti su Facebook e su tutti gli altri social network.
5) Se doveste cliccare su uno di questi link, controllate subito la pagina sulla quale venite condotti. Se non la riconoscete, chiudete immediatamente il browser.
6) Se non notaste niente di strano, ma vi venisse richiesto di scaricare il download di qualche elemento, non accettate.
7) Assicuratevi di essere dotati di un adeguato sistema di sicurezza che vi protegga in qualsiasi circostanza.