Seleziona una pagina

Ennesimo allarme da parte del CERT-PA su una campagna di email di spam che diffonde il trojan bancario Gootkit contro utenti italiani:
la notizia è datata 28 Marzo e la campagna pare ancora in corso. Il problema è stato segnalato nei giorni scorsi da svariati utenti, principalmente appartenenti alla Pubblica Amministrazione: nelle segnalazioni si menzionano sia email PEC che email ordinarie come veicoli dell’allegato dannoso. 

Le email vettore

Al momento, il CERT-PA conferma di aver proceduto ad analisi della campagna individuando due diverse tipologie di email vettore: una con oggetto “Tribunale di Napoli Procedura esecutiva immobiliare n. 981/2007”, che porta con sé come allegato un archivio compresso chiamato “Tribunale_di_Napoli__ABCDEF.zip“, dove ABCDEF sono serie di numeri casuali. 

La seconda email riporta in oggetto  “invio sollecito n.105543 del 27/03/2019” e, in allegato, un file denominato “Tribunale_di_Napoli__ABCDEF.zip

 

La routine di infezione

L’allegato compresso contiene un file omonimo, ma di estensione .docm: questo a sua volta contiene una macro dannosa
con un livello piuttosto basso di offuscamento. L’analisi della macro
ha permesso, in prima battuta, di capire che tale campagna di infezione è
rivolta esclusivamente contro utenti italiani: il codice infatti si esegue solo entro sistemi sui quali è impostata la lingua italiana. In caso contrario, il codice dannoso della macro non viene eseguito. 

 

Riscontrata l’impostazione di lingua corretta, il codice contenuto nella macro scarica un file eseguibile da un dominio remoto evidentemente compromesso in precedenza per lo scopo: il file verrà rinominato “IntelMeFWServic.exe”
Subito dopo viene scaricato un ulteriore file, ma di tipo Javascript,
da un dominio differente: il malware si assicura così il funzionamento
anche in caso il dominio precedente divenisse irraggiungibile. Il file
JS è denominato “Searchl32.js“, è anch’esso lievemente offuscato e il suo unico scopo è ritentare il download dell’eseguibile da un nuovo repository. 

 

Il codice che si ottiene presenta un maggiore livello di offuscamento:
la decodifica rende possibile osservare come viene generato lo script
powershell che servirà a lanciare l’eseguibile dannoso sul sistema
infetto.

 

Il Trojan Gootkit

Come detto, questa campagna diffonde il trojan bancario Gootkit: parliamo di un malware nient’affatto nuovo, già utilizzato in numerose campagne precedenti
e che si distingue principalmente perchè presenta un alto livello di
diffusione precisamente in Italia.  La particolarità di questo trojan è
che è descritto dai ricercatori di sicurezza come uno strumento privato
(ovvero non in vendita ne né dark né nel deep web). Insomma c’è un
gruppo di attaccanti o un attaccante che utilizza da qualche mese un
trojan che è solo nella loro/sua disponibilità per infettare esclusivamente utenti italiani.

Ricordiamo che Gootkit è un malware bancario che ha fondamentalmente due
finalità: rubare le credenziali bancarie degli utenti e intromettersi
direttamente nelle attività di banking online tramite iniziezione di
codice nel browser in uso. 

Sei mesi di indagini sono state necessarie per scoprire una delle più grandi campagne di cyber spionaggio mai avvenute ai danni di aziende. L’attacco ha preso di mira gli account Microsoft Office 365 e G Suite protetti con autenticazione multi-fattore e ha sfruttato il fatto che il protocollo di autenticazione IMAP bypassa l’autenticazione a fattori multipli, consentendo agli attaccanti di eseguire un attacco di credential stuffing contro asset che, altrimenti, sarebbero state protette.

C’è voluta una indagine di oltre 6 mesi sui principali co-proprietari (anche se sarebbe più corretto dire “tenants”) di servizi in cloud per individuare e analizzare i massicci attacchi ai danni di aziende in tutto il mondo. Si è trattato di un attacco di brute-forcing intelligente che ha preso di mira il servizio di posta elettronica perchè non prevede, al contrario dei meccanismi di login dei servizi cloud di Microsoft e Google, l’uso di sistemi di autenticazione a due fattori. 
La tecnica viene chiamata “password spraying” e prevede di invertire la normale prassi per il brute-forcing: invece di provare un numero infinito di password su un singolo account, è stata provata la stessa password su un gran numero di account. Il risultato è che i tentativi di accesso vengono in questo modo diluiti, così da non far scattare nessun allarme di sicurezza. In questa maniera gli attaccanti sono passati praticamente inosservati, dato che i tentativi di brute-forcing venivano registrati come semplici tentativi di accesso falliti da parte degli utenti.  
Qualche numero…Anzitutto, l’attacco ha riguardato circa il 2% degli account attivi nel mondo, ma, ciò che è incredibile è la percentuale di successo: quasi il 40%. Tali risultati si devono anche all’uso del credential stuffing, ovvero dell’uso di database con credenziali rubate (come Collection #1) per creare varianti verosimili delle password più utilizzate. I ricercatori anzi sospettano che sia stato usato proprio il patrimonio di credenziali di Collection#1, dato che tra tutte le violazioni riuscite, il picco è registrato a Dicembre 2018, quando appunto Collection#1 è stato pubblicato nel dark web. 

Nel 2018 individuati 3059 malware per Android al giorno: hai ancora fiducia negli antivirus gratuiti?

Gli attacchi informatici contro gli smartphone, in particolare quelli che colpiscono dispositivi con il popolare sistema operativo Android, sono in crescita costante e questo è un trend che si sta confermando negli anni. Questo sistema operativo resta comunque diffusissimo: le persone continuano ad acquistare smartphone Android per il fatto che questi sono tra i dispositivi più economici da acquistare. 
Tuttavia il 2018 si è concluso con una serie di dati e statistiche dei nostri Quick Heal Security Labs piuttosto inquietanti: abbiamo rilevato più di 3 milioni di malware per Android. Per questo, qui a Quick Heal, ci stiamo organizzando tenendo presente il fatto che il panorama dei dispositivi mobile diverrà quello più esposto e soggetto alle minacce informatiche nel 2019, prevedendo anche che il numero dei malware per tali dispositivi andrà ad aumentare. 

Approfondimento >> Quick Heal: report annuale 2019 sulle minacce informatiche. I malware per Android
Ma esiste una soluzione?Scaricare alcune app antivirus gratuite o economiche può proteggere i nostri smartphone dai cyber attacchi?  Questo è esattamente quello che stanno facendo milioni di utenti Android in tutto il mondo. 
La realtà è che questa non è affatto una buona soluzione. 

  • Su 250 app antivirus per Android, testate da AV-Comparatives – più di 2/3 blocca meno del 30% delle minacce. 

Detto in parole semplici, su 250 applicazioni antivirus testate contro una gamma di cyber minacce piuttosto comuni, meno di 1 su 10 è stata in grado di difendere il dispositivo contro i 2000 malware testati, mentre più di 2/3 hanno registrato un tasso di blocco inferiore al 30%.  Insomma, per quanto sul mercato siano disponibili infinite app di sicurezza per i sistemi Android, solo una piccolissima parte di queste può effettivamente fornire una protezione efficace contro gli attacchi malware. 
Pertanto, prima di installare un’app di sicurezza sul proprio dispositivo, è importante verificarne sia il livello di efficacia sia la genuinità.  E’ vero che scegliere il giusto antivirus per il proprio dispositivo Android potrebbe rivelarsi una operazione complessa, specialmente per chi ha una conoscenza limitata del mondo degli antivirus. Un buon sistema per valutare i vari antivirus e distinguere le app fasulle e inefficaci è, intanto, iniziare dimenticando le app antivirus gratuite ed acquistare antivirus solo da vendor esperti di sicurezza, che investono costantemente nella ricerca di nuove minacce e rilasciando periodicamente aggiornamenti che mettono i dispositivi al riparo anche dalle minacce più recenti. 
Insomma, la motivazione per la quale scegliere un antivirus a pagamento anzichè un app gratuita è che i vendor conoscono bene i rischi, grazie alla continua ricerca, e possono quindi fornire le soluzioni migliori. 

  • Quick Heal Antivirus per Android è stato valutato tra le 250 app testate da AV-Comparatives, registrando un tasso di blocco delle minacce a cui è stato esposto del 99.8%. 

Certo, alcuni potrebbero sostenere che le app Antivirus a pagamento sono un costoso investimento, ma forse vale la pena ricordare quanto potrebbe essere maggiormente oneroso se un dispositivo Android contenente password, foto, dati personali e privati finisse hackerato.