CTB-Locker, il pericoloso malware che ricatta gli utenti

Si sta diffondendo in questi giorni, con una certa virulenza, una nuova variante del ransomware CTB-Locker, un malware che dopo aver infettato il sistema delle vittime cadute nella trappola, è in grado di crittografare i file del computer, tenendoli in “ostaggio” fino a quando l’utente non avrà pagato il riscatto di circa 200/500 euro entro 72/100 ore. Trascorso inutilmente il tempo prefissato, senza il pagamento di quanto richiesto, i file crittografati divengono irrecuperabili in modo permanente.

ctb-locker-screenshot-600

La diffusione di CTB-Locker avviene attraverso la posta elettronica e l’infezione si attiva aprendo l’allegato contenuto in una e-mail contenente le informazioni su uno pseudo acquisto di materiale informatico.

Il file ZIP allegato alla e-mail contiene un file eseguibile con una icona e una estensione cab. Tale file è camuffato e potrebbe non essere visibile come “.exe”. Questo perchè i creatori del virus si sono basati sul fatto che i sistemi Windows non mostrano le estensioni dei file di default e in questo modo l’eseguibile potrebbe essere visualizzato come “.pdf”, ingannando gli utenti inducendoli ad aprirlo. Anche se tutti ormai dovrebbero saper diffidare dei messaggi di posta elettronica contenenti allegati non richiesti, purtroppo sono ancora troppi coloro che continuano ad aprire incautamente e di impulso gli allegati alle e-mail. Occorre ricordare e sottolineare, che i messaggi di posta elettronica contenenti malware sono frutto di tenciche di ingegneria sociale (dall’inglese social engineering) particolarmente subdole e in grado di trarre in inganno.

Una volta avviato l’allegato, il software si installa nella cartella “Documents and Settings” (o “Users“, nei sistemi Windows più recenti) con un nome a caso e inserisce una chiave nel registro affinchè si possa poi avviare automaticamente ad ogni accensione della macchina. Fatto ciò, tenta la connessione a uno dei server di controllo e una volta connesso riceverà una chiave RSA a 2048 bit, inserendola come chiave pubblica sul sistema. A questo punto …  (Continua la lettura)

Attenti ai falsi avvisi di consegna iPhone 5

La fantasia del crimine informatico è sempre fervida e non conosce ostacoli. L’enorme successo riscosso dal nuovo iPhone 5, per il quale Apple ha ricevuto 2 milioni di preordini in sole 24 ore, ha catalizzato l’interesse del cyber-crimine che ha pensato bene di sfruttare questa occasione per diffondere del codice malevolo via e-mail. 

Gli utenti che sono in attesa di ricvere il nuovo gioiello, che l’azienda inizierà a distribuire dal prossimo venerdi 21 settembre, potrebbero essere tentati di aprire con una certa leggerezza delle notifiche di preavviso della consegna provenienti da Ups e FedEx, i corrieri incaricati da Apple. Le comunicazioni ovviamente sono un falso e integrano, in allegato, un file htm con un link che dovrebbe comunicare le informazioni sullo stato dell’ordine. Niente di vero: indirizza verso una pagina appositamente realizzata che installa un trojan bancario nel PC tramite uno script nascosto.

 

La falsa e-mail di notifica

A darne notizia i Websense Security Labs. “Quando abbiamo controllato le email monitorate dal servizio Cloud Email Security di Websense, ci siamo accorti che erano state intercettate e bloccate oltre a 45.000 email simili. Le esche UPS/FedEx non sono una novità, ma di questi tempi – quando le persone stanno aspettando con impazienza un’email di questo tipo – è molto probabile che i destinatari abbasseranno le proprie difese ed eseguiranno il file allegato”, ha concluso Patrik Runald, Director Websense Security Labs.

“Possiamo notare – aggiunge il comunicato di Websense – che viene caricato un iframe da un dominio .UR, che è un sito Blackhole Exploit Kit che installa un trojan bancario nel PC”.

Il consiglio è uno solo: non abbassare la guardia e prestare sempre molta attenzione se si sta aspettando la notifica di consegna, è importante non aprire nessun allegato contenuto in questo tipo di e-mail.

Fonte PCSELF.COM

Sulla pista di Flame

Si sente tanto parlare di Flame, l’ultimo allarmante malware progettato per lo spionaggio industriale, associato ai giganti Stunex e Duqu. Ma è davvero così complesso e sofisticato come, di primo acchito, sembrerebbe?

I G Data SecurityLabs l’hanno passato al setaccio giungendo alla conclusione che Flame è sicuramente un malware complesso ma non del tutto innovativo. Le tecniche utilizzate, infatti, sono quelle di occultamento, spionaggio e furto dei dati, tutte funzionalità già note ai programmi maligni. Il parassita si insinua all’interno dei certificati di Windows attraverso meccanismi raffinati arrivando a diffondersi anche in rete.

La diffusione di Flame a livello globale

Gli esperti di sicurezza G Data hanno scoperto che Flame spia i dati e li invia a server esterni concentrandosi su diversi tipi d’informazione:

  • dettagli su sistema operativo infetto, indirizzo IP, struttura della rete e i tipi di connessione;
  • estratti di conversazioni effettuate tramite il microfono incorporato nel PC;
  • accesso al disco rigido e, quindi, a tutti i dati;
  • controllo dello scambio dati all’interno della rete;
  • screenshot del desktop;
  • accesso alla connessione bluetooth per rintracciare i dispositivi collegati nelle vicinanze.

Le informazioni raccolte vengono inviate ai criminali informatici che le utilizzano, naturalmente, per trarne profitto, anche se non è ancora del tutto chiaro chi stia dietro al grande Flame. Gli utenti che utilizzano le soluzioni G Data sono al sicuro rispetto a Flame. Per notizie più approfondite è possibile consultare il SecurityBlog G Data.

SabPub: nuova minaccia per utenti Mac

Nuovo allarme malware per gli utenti Mac. Dopo il trojan Flashback, che avrebbe attaccato almeno 600.000 Mac infettandoli e trasformandoli in altrettanti membri di un’inedita botnet, giunge da Kaspersky una nuova allerta. La nota azienda specializzata in prodotti per la sicurezza informatica ha individuato SabPub (Backdoor.OSX.SabPub) una nuova minaccia che rischia di mettere a segno un altro risultato nei confronti di quello che fino a ieri veniva considerato un sistema operativo invulnerabile.

SabPub, in effetti, non è un perfetto sconosciuto. Il trojan sarebbe in circolazione già da qualche tempo e sarebbe in grado di sfruttare un bug Java per superare le difese sui malware, raccogliendo informazioni sul sistema attaccato inviandole a un server remoto e permettendogli quindi di eseguire codice arbitrario. Non si hanno notizie sul numero dei Mac siano infettati. Si ha qualche certezza, invece, sulle modalità di propagazione identificate in link ingannevoli inviati tramite email oppure a mezzo diffusione di documenti .doc creati per lo scopo.

Evidentemente, la scarsa attenzione che il cyber-crimine aveva da sempre dimostrato nei confronti dei sistemi Apple, non era da attribuire alla loro impenetrabilità, ma alla loro quota di mercato. Parallelemente alla loro crescita è aumentata la diffusione del malware verso i sistemi operativi della casa di Cupertino. Questo concetto è sato sottolineato anche da Dave Marcus, direttore dei laboratori di ricerca e sicurezza McAfee: “La popolarità dei Mac è cresciuta e in modo parallelo è cresciuto l’interesse ad attaccare i sistemi operativi della Apple. Negli ultimi tempi i virus Mac sono aumentati notevolmente e ciò che stiamo vedendo con Flashback Trojan non è niente di sorprendente”.

Anche Eugene Kaspersky, fondatore dell’omonima azienda di sicurezza, è intervenuto sull’argomento. In un post sul suo blog ha dichiarato che “nell’aprile del 2012 il mondo dei sistemi operativi ha visto un cambiamento fondamentale. Si è dimostrato che i Mac non sono così invincibili come si credeva”.

Fonte PcSelf

Market Android: app dannose tornano sul mercato

Gli esperti dei G Data Security Labs hanno rilevato un ritorno sull’Android Market di alcune applicazioni sviluppate da TYP3-Studios che erano state eliminate perché contenenti codice dannoso. Queste applicazioni, tutte apparentemente innocue, rubano i dati personali e promuovono annunci di altre applicazioni dello stesso sviluppatore.

Le app dannose sono state disponibili ufficialmente nel Market Android fino allo scorso 4 luglio 2011, ovvero fino a quando un professore della University of North Carolina ha avvertito della loro presenza. Si trattava di programmi molto semplici e comuni come, per esempio, “Airhorn” che imitava il suono di un altoparlante o ” Flashlight” con la funzione di torcia portatile. I programmi, a prima vista innocui, una volta installati, inviavano le informazioni personali degli utenti (dati della rubrica, numero di telefono o IMEI, International Mobile Equipment Identity che identifica ogni terminale mobile) ai server di TYP3-Studios.

Pochi mesi dopo, gli sviluppatori hanno rilasciato l’applicazione per la seconda volta. Questa volta i colori dell’icona del programma sono diversi ed è stato aggiunto un accordo con l’utente finale che descrive la funzione del programma. Questo accordo, in realtà, è ben nascosto all’interno dell’app e talmente lungo che risulta improbabile che gli utenti lo leggano. L’applicazione possiede ancora le sue stesse caratteristiche nocive rubando i dati degli utenti che la installano. L’unica differenza è che ora cripta i dati prima di inviarli al destinatario (condizione necessaria per rimanere nel Market di Google).

Queste applicazioni sono ancora disponibili sul Market Android e sono state scaricate più di 10.000 volte. Gli utenti che hanno installato il G Data MobileSecurity sono protetti da queste app, che sono state bloccate e rilevate come “Riskware”.

I consigli per la sicurezza di smartphone e tablet …. (Leggi tutto)

 

Malware, l’Italia è terza in Europa

Un altro primato italiano, in particolare di Roma, del quale il Belpaese e noi tutti avremmo fatto volentieri a meno. Secondo l’Internet Security Threat Report di Symantec, l’Italia è arroccata al terzo posto in fatto di malware. Roma, inoltre, è la quinta città al mondo (la prima in Italia) per numero di computer infetti utilizzati come “zombie”, ossia macchine sulle quali è installato codice malevolo (all’insaputa dei proprietari) controllate in remoto dal cyber crimine per lanciare attacchi informatici verso terze parti. Nella top five italiana, la Capitale è seguita nell’ordine da Milano, Cagliari, Arezzo e Torino.

Dal rapporto di Symantec emerge che l’Italia genera il 3% di tutto lo spam mondiale e il 5% di quello legato alle regioni Emea (Europa, Medio Oriente e Africa). Evidentemente i criminali hanno trovato terreno fertile visto che il 4% degli host che inviano posta elettronica indesiderata su scala mondiale e il 2% dei siti di phishing è localizzato nel nostro Paese.

Il report evidenzia inoltre l’aumento dei rischi legati alle piattaforme mobile (smartphone e tablet), che in un solo anno hanno visto emergere milioni di nuove minacce. Il malware più frequente nel segmento mobile è finalizzato al furto di informazioni, di identità e al superamento delle protezioni per le transazioni on line.

Oltre due milioni di nuovi virus nel 2010

Con ben 2.093.444 nuovi virus e una crescita del 32% rispetto all’anno precedente, il 2010 ha stabilito il nuovo record battendo anche il risultato registrato nel 2009. E’ questo uno dei principali dati che emerge dal Malware Report 2010 realizzato e diffuso da G Data. La seconda metà del 2010, invece, ha visto una significativa diminuzione di questo trend.


Il maggiore incremento lo si è potuto osservare nel numero di virus che sfruttano falle di sicurezza sulle piattaforme Java e questa tendenza si riproporrà anche nel 2011. “Java ha una prevalenza notevole: quasi 8 su 10 Pc in tutto il mondo hanno installati dei plugin Java. I cyber criminali hanno scoperto che le vulnerabilità in Java offrono loro un elevato potenziale per la distribuzione di malware”, ha dichiarato Ralf Benzmüller, Head of G Data Security Labs. “Nei prossimi mesi ci aspettiamo un’ulteriore crescita nel numero di malware basati su Java. Gli utenti dovrebbero installare qualsiasi update non appena disponibile con il fine di bloccare qualsiasi falla di sicurezza il più velocemente possibile”.

Per il 2011 G Data prevede che il terreno di attacco privilegiato saranno i Social Network. La grande quantità di informazioni e l’interconnessione dei servizi che sono soliti essere indipendenti l’uno dall’altro consentono attacchi più efficaci contro i singoli individui o le organizzazioni. I servizi di location e quelli di shorcut per gli URL giocheranno un ruolo maggiore nel business del malware rispetto a quanto visto in precedenza.

%d blogger hanno fatto clic su Mi Piace per questo: