ESET, backdoor elude software di sicurezza: sfrutta BITS di Windows

Il noto gruppo di cyber spionaggio Stealth Falcon ha adottato una nuova backdoor sfruttando il servizio di Trasferimento Intelligente in Background di Windows (BITS), utilizzato tipicamente per scaricare gli aggiornamenti di sistema, nei suoi attacchi spyware in corso contro giornalisti, attivisti e dissidenti in Medio Oriente. Secondo i ricercatori di ESET, gli aggressori stanno sfruttando la funzione di "notifica" BITS in Microsoft Windows. La funzionalità consente agli aggressori di creare un'attività ricorrente per scaricare e installare malware, anche dopo l'estrazione del malware originale. La backdoor riesce a passare inosservata ai firewall e software di sicurezza.

Kaspersky scopre Topinambour: malware che si nasconde nelle VPN

Il gruppo criminale Turla ha rilasciato nuove varianti del Trojan KopiLuwak. I ricercatori di Kaspersky hanno scoperto che il gruppo di cybercriminali di lingua russa Turla ha rinnovato il set dei suoi strumenti: inserendo il suo famoso JavaScript per la diffusione di malware, KopiLuwak, all'interno di un nuovo dropper, detto Topinambour, creando due versioni simili, in lingue diverse, e distribuendo il malware attraverso pacchetti di installazione infetti, alcuni dei quali legati a software per bypassare eventuali restrizioni nell'uso di Internet. Noto anche come Venomous Bear, Waterbug e Uroboros, il gruppo è stato scoperto nel 2014 ma le sue radici risalgono almeno a dieci anni prima.

Kaspersky, Darkhotel impiega gli exploit fuoriusciti da Hacking Team

La campagna Darkhotel, che si rivolge agli utenti aziendali degli alberghi di lusso, si è evoluta con l'utilizzo di nuove tecniche e di una vulnerabilità 0-day precedentemente sconosciuta. In seguito alla fuoriuscita di file appartenenti ad Hacking Team, l’azienda conosciuta per la vendita di “spyware legale” ad alcuni governi e forze dell’ordine, un discreto numero di gruppi di spionaggio informatico ha cominciato ad utilizzare per i propri scopi nocivi i tool che Hacking Team forniva ai propri clienti per mettere a segno i loro attacchi. Tra questi, parecchi exploit che hanno per obiettivo Adobe Flash Player e Windows OS. Uno di questi è stato ri-finalizzato dal potente gruppo di cyber-spionaggio Darkhotel.

Wild Neutron: gruppo di cyberspionaggio torna con nuovi espedienti

Uno strumento di hacking, già usato nel 2013, è nuovamente utilizzato nel 2015, in versione moderna. Nel 2013, un gruppo di hacker noto a Kaspersky Lab come "Wild Neutron" (conosciuto anche come "Jripbot" e "Morpho"), ha attaccato diverse aziende di alto profilo tra cui Apple, Facebook, Twitter e Microsoft. A seguito dell’enorme pubblicità fatta a questo attacco il gruppo criminale ha interrotto la propria attività per quasi un anno per poi riprendere verso la fine del 2013 e continuare fino al 2015. Il gruppo utilizza un certificato di verifica di validità del codice rubato e uno sconosciuto exploit Flash Player per infettare aziende e utenti privati di tutto il mondo e rubare informazioni aziendali sensibili.

Symantec scopre Regin: sofisticato malware spia in azione dal 2008

Uno strumento di spionaggio avanzato, Regin mostra un grado di competenza tecnica rara ed è stato utilizzato in operazioni di spionaggio contro governi, operatori di infrastrutture, aziende, ricercatori e privati. Lo ha scoperto nei mesi scorsi la società specializzata in sicurezza Symantec. Un pezzo avanzato di malware noto come Regin, è stato utilizzato in campagne sistematiche di spionaggio contro una serie di obiettivi internazionali almeno dal 2008. Una backdoor di tipo Trojan, Regin è un pezzo complesso di malware la cui struttura mostra un grado di competenza tecnica vista raramente.

Kaspersky Lab sventa cyberattacco finanziario ai danni di un'azienda

Kaspersky Lab è stata contattata da un’azienda russa per indagare su un incidente che ha quasi causato la perdita di circa 130.000 dollari dal conto dell’azienda. Il sospetto è stato confermato nei primi giorni di indagine. I cybercriminali avevano infettato i computer dell’azienda inviando una email che affermava di provenire dal fisco con un allegato nocivo. Per ottenere il controllo da remoto dei computer dei contabili all’interno della rete aziendale gli utenti hanno utilizzato una versione modificata di un programma autentico.

Crouching Yeti: campagna di spionaggio con 2.800 obiettivi nel mondo

 

Kaspersky Lab ha rilevato un attacco informatico che è stato diretto contro più di 100 organizzazioni e aziende, tra cui alcune in Germania e in Svizzera. Kaspersky Lab ha pubblicato un'analisi approfondita del malware e dell’infrastruttura server di comando e controllo (C&C) che fanno parte della campagna di cyber-spionaggio chiamata Crouching Yeti dal Global Research and Analysis Team di Kaspersky Lab (GReAT). L’inizio della campagna risale alla fine del 2010 ma risulta attiva ancora oggi e mira a nuove vittime ogni giorno.

Kaspersky Lab individua e blocca exploit 0-day in Adobe Flash Player

Il sottosistema di protezione e di rilevazione euristico di Kaspersky Lab ha bloccato gli attacchi mirati ad una vulnerabilità di tipo zero-day nel software di Adobe Flash Player. I ricercatori di Kaspersky Lab hanno scoperto questa falla presa di mira da exploit distribuiti tramite un sito web del governo creato per raccogliere le denunce pubbliche riguardanti le violazioni della legge in Medio Oriente. A metà aprile gli esperti di Kaspersky Lab hanno analizzato i dati provenienti dal http://www.kaspersky.com/images/KESB_Whitepaper_KSN_ENG_final.pdf e hanno scoperto un exploit mai visto in precedenza. Attraverso un esame più approfondito si è scoperto che l'exploit stava usando una vulnerabilità, anche questa sconosciuta, all’interno del popolare software multimediale Adobe Flash Player. 

La vulnerabilità era presente in Pixel Bender - un vecchio componente progettato per il video e l'elaborazione fotografica. Ulteriori indagini hanno accertato che gli exploit sono stati distribuiti da un sito web creato nel 2011 dal Ministero della Giustizia siriano per consentire alle persone di presentare i reclami inerenti alle violazioni della legge. I ricercatori di Kaspersky Lab credono che l'attacco sia stato progettato per individuare i dissidenti siriani che si lamentavano del governo. Gli esperti di Kaspersky Lab hanno scoperto, in totale, due tipi di exploit con qualche differenza per quanto riguarda lo shellcode.

Lo shellcode è un piccolo pezzo di codice utilizzato come payload quando si sfrutta la vulnerabilità di un software. "Il primo exploit ha mostrato un comportamento piuttosto primitivo di download e esecuzione di payload mentre il secondo ha provato ad interagire con Cisco MeetingPlace Express Add-In, uno speciale plugin di Flash per il co-working che consente una visione congiunta di documenti e immagini sul desktop del PC dell'utente. Questo plugin è del tutto regolare, ma in circostanze particolari come queste potrebbe essere usato come strumento di spionaggio", ha detto Vyacheslav Zakorzhevsky, Vulnerability Research Group Manager di Kaspersky Lab.

"Inoltre abbiamo scoperto che questo 'secondo' exploit funziona solo se sul PC è stata installata una determinata versione di Flash Player e di CMP Add-In. Questo vuol dire che i criminali avevano pensato ad un attacco rivolto ad una lista molto limitata di vittime", ha aggiunto Vyacheslav Zakorzhevsky. Subito dopo aver scoperto il primo exploit, gli specialisti di Kaspersky Lab hanno contattato i rappresentanti di Adobe per informarli della nuova vulnerabilità. Dopo aver esaminato le informazioni fornite da Kaspersky Lab Adobe ha riconosciuto che la vulnerabilità ha uno status zero-day e ha di conseguenza, sviluppato una patch resa disponibile sul sito di Adobe. 

Il numero di questa vulnerabilità è CVE-2014-0515. I browser Chrome e Internet Explorer aggiornano Flash Player automaticamente. "Nonostante siano stati individuati solo un numero limitato di tentativi volti a sfruttare questa vulnerabilità, raccomandiamo vivamente agli utenti di aggiornare la versione del software Adobe Flash Player. E' possibile che una volta che le informazioni su questa vulnerabilità vengano rese note, i criminali possano cercare o di riprodurre questi nuovi exploit o in qualche modo tentare di ottenere le varianti esistenti e utilizzarle in altri attacchi", ha detto Vyacheslav Zakorzhevsky. 

"Anche con una patch disponibile, i criminali informatici si aspettano di trarre profitto da questa vulnerabilità considerato che un aggiornamento a livello mondiale di un software cosi utilizzato come Flash Player richiederà sicuramente un periodo di tempo non breve. Purtroppo questa vulnerabilità sarà pericolosa ancora per un po'", ha concluso Zakorzhevsky. E' possibile trovare ulteriori dettagli su questa vulnerabilità in Adobe Flash qui. E' la seconda volta quest'anno che gli specialisti di Kaspersky Lab scoprono una vulnerabilità di tipo zero-day. Nel mese di febbraio, gli specialisti dell'azienda hanno scoperto CVE-2014-0497 - un'altra vulnerabilità zero-day sempre in Adobe Flash Player, che consentiva ai criminali di infettare il computer della vittima.

Il sottosistema di rilevamento euristico

Il sottosistema di rilevazione euristica è una parte del motore antivirus utilizzato in molteplici prodotti Kaspersky Lab sia per utenti privati che per utenti business, come Kaspersky Anti-Virus, Kaspersky Internet Security, Kaspersky Endpoint Security for Business e altri. Proprio come un antivirus tradizionale, questo sistema utilizza un database di firme per rilevare i software dannosi. Mentre però la tecnologia antivirus di solito richiede una firma per ogni singolo pezzo di malware, non importa quanto strettamente connessi, la rilevazione euristica è in grado di coprire tutto il range di programmi nocivi. 

Per farlo utilizza speciali firme euristiche che rilevano non solo i singoli pezzi di malware ma anche le intere collezioni di programmi dannosi raggruppati in base a un elenco di caratteristiche speciali. La firma euristica che copriva il comportamento del nuovo zero-day exploit in Adobe Flash è stata aggiunta al database di Kaspersky Lab già a gennaio. Inoltre, durante una prova speciale condotta dagli specialisti di Kaspersky Lab si è scoperto che gli exploit che utilizzano CVE-2014-0515 vengono rilevati con precisione per sfruttare la tecnologia Automatic Exploit Prevention di Kaspersky Lab - un altro potente strumento per rilevare tutte quelle minacce non ancora note. 

A novembre del 2013, la stessa tecnologia ha bloccato con successo gli attacchi individuando una vulnerabilità di tipo zero-day nel software di Microsoft Office. All fine del 2012, in modo proattivo, ha bloccato diversi componenti dannose che - come si è scoperto in seguito - appartenevano a Ottobre Rosso, una campagna di cyber- spionaggio su vasta scala rilevato dai ricercatori di Kaspersky Lab nel mese di gennaio 2013.  Gli aggressori di Ottobre Rosso hanno progettato il malware, chiamato anche "Rocra", con un'unica architettura modulare, composta da un codice nocivo, moduli per il furto delle informazioni e backdoor Trojan. Per ulteriori informazioni: www.kaspersky.com/it Fonte: Immediapress

Icefog, la campagna di cyber spionaggio analizzata da Kaspersky Lab

Kaspersky Lab ha scoperto una nuova campagna APT volta a rubare i segreti dei governi e della catena di fornitura industriale, militare, dei media e aziende di tecnologia in Giappone e Sud Corea. Il team di security research di Kaspersky Lab ha pubblicato una nuova ricerca relativa alla scoperta di “Icefog”, un piccolo ma potente gruppo di APT che si concentra su obiettivi presenti in Corea del Sud e Giappone, colpendo le catene di approvvigionamento di aziende occidentali.

Kaspersky Lab, anello di cybercrime attacca società di gaming per anni

Il team di esperti di Kaspersky Lab ha pubblicato un report dettagliato che analizza la campagna di spionaggio informatico condotta dall'organizzazione criminale nota come "Winnti". Secondo il report di Kaspersky Lab, il gruppo Winnti attacca le aziende del settore del gaming online dal 2009 ed è ancora attivo. Gli obiettivi del gruppo sono i certificati digitali creati dai produttori di software legittimi e il furto della proprietà intellettuale, incluso il codice sorgente dei progetti per i giochi online. Il primo incidente risale all’autunno del 2011, quando un trojan venne rilevato su un numero di computer di utenti localizzati in tutto il mondo.

Kaspersky Lab, spam a febbraio 2013: gli spammer sono tornati al lavoro

Dopo una pausa di diversi mesi, gli spammer hanno intensificato nuovamente la loro attività nel mese di febbraio. Secondo i dati di Kaspersky Lab, la quantità di spam nel traffico mail è cresciuto di circa 13 punti percentuali, con una media del 71% al mese. Un dato superiore alla media di gennaio e agli ultimi tre mesi del 2012. L’Italia è stato uno dei paesi più colpiti dalle email nocive nel mese di febbraio. Le rilevazioni antivirus nella posta sono cresciute dal 9,4 %, al 14,4%, facendo scendere alla seconda posizione gli Stati Uniti dopo molto tempo. 

Le false notifiche da parte delle diverse organizzazioni finanziarie rimangono uno degli strumenti più diffusi per la distribuzione dei malware tramite mail. Questo metodo è molto popolare in Italia, dove gli spammer il più delle volte utilizzano il Trojan-Banker.HTML.Agent.p, entrato al 2° posto nella Top 10 di febbraio come malware più diffuso. Questo Trojan appare sotto forma di pagina in formato HTML, imitando i form di registrazione delle banche o dei sistemi di pagamento. 

Una delle aziende più colpite dai truffatori è Google. Nel mese di febbraio, questi hanno lanciato un mailing di massa che includeva il nome Google, per informare gli utenti che il loro curriculum era stato preso in considerazione. Per evitare incomprensioni, il destinatario veniva incoraggiato ad aprire il file allegato per verificare che il proprio curriculum fosse corretto. L'attacco consisteva in un malware sotto forma di archivio zip, progettato per rubare le password e altri dati riservati dal computer dell'utente. 

Sorgenti di spam in tutto il mondo per  ciascun paese a febbraio 2013

Nel corso del mese Kaspersky Lab ha assistito ad importanti cambiamenti nella diffusione delle fonti di spam. Nel mese di febbraio, la Corea del Sud è stato il paese che inviato più mail di spam agli utenti europei. Il volume delle email indesiderate prodotto da questo paese è cresciuto di 27,7 punti percentuali, con una media del 50,9%. Il mese scorso il paese primo in classifica era la Cina (3%), che è scesa al 6° posto nel mese di febbraio con un calo di 36,6 punti percentuali.

Questi importanti cambiamenti delle quote di spam prodotte da questi due paesi è la conseguenza del fatto che un gruppo di spammer ha iniziato la distribuzione da una botnet diversa. Nel mese di febbraio, gli Stati Uniti hanno superato il rating delle principali fonti di spam in tutto il mondo. La quantità di spam inviato dalla Cina è diminuito, scendendo al secondo posto. Come è avvenuto nel mese di gennaio, anche a febbraio la Corea del Sud si è posizionata al terzo posto. 

Nel mese di febbraio, il Trojan-Spy.html.Fraud.gen (11%) è rimasto il programma maligno più diffuso  tramite e-mail, nonostante il fatto che la sua quota è diminuita di 2,2 punti percentuali rispetto a gennaio. È stato seguito dal Trojan-Banker.HTML.Agent.p (7,8%). Entrambi i programmi maligni appaiono sotto forma di pagine HTML che imitano le forme di registrazione di note banche o sistemi e-pay che vengono utilizzati dai phisher per rubare le credenziali degli utenti per i sistemi di online banking. È interessante notare che Backdoor.Win32.Androm.phh è arrivato 3°. 

Top 10 dei programmi dannosi che si diffondono via e-mail a febbraio 2013

Questa famiglia di programmi backdoor permette agli utenti malintenzionati di controllare segretamente un computer infetto, ad esempio, per scaricare e lanciare altri file dannosi che poi inviano i vari dati dal computer dell'utente, ecc. Nel mese di febbraio, Kaspersky Lab ha rilevato 85 varianti della Backdoor.Win32.Androm. Nella maggior parte dei casi, la backdoor è stata distribuita in email fasulle inviate presumibilmente per conto di Booking.com, DHL, British Airways, ecc. Inoltre, molti computer infettati da backdoor a far parte di una botnet. Lo stesso metodo è stato utilizzato in passato per distribuire programmi appartenenti alla famiglia ZeuS/Zbot.

"Questo aumento della quantità di spam nel mese di febbraio segna l'inizio di una nuova tendenza. Ciò è stato probabilmente causato da un calo della quota di email spazzatura durante le vacanze di gennaio, quando molti dei computer che costituiscono le botnet utilizzate per distribuire lo spam sono stati disattivati​​. Inoltre, la percentuale di messaggi indesiderati nel mese di febbraio era leggermente più bassa rispetto alla media nel 2012. In ogni caso, non ci aspettiamo ulteriori cambiamenti significativi nel prossimo futuro", ha dichiarato Darya Gudkova, Head of Content Analysis & Research di Kaspersky Lab. 

"Di particolare interesse in questo momento, è il fatto che la maggior parte degli allegati nocivi presenti nelle email di spam sono programmi progettati per rubare le credenziali degli utenti sui sistemi di online banking. Essi appaiono come pagine in formato HTML, che imitano i form di registrazione. Gli utenti devono prestare particolare attenzione a queste e-mail e gli allegati non devono essere aperti". La versione completa dello Spam Report di Febbraio 2013 di Kaspersky Lab è disponibile su www.securelist.com/en/analysis/204792284/Spam_in_February_2013

Informazioni su Kaspersky Lab

Kaspersky Lab è la più grande azienda privata del mondo che produce e commercializza soluzioni di sicurezza per gli endpoint. L’azienda si posiziona tra i primi quattro vendor al mondo in questo mercato*. Nel corso dei suoi 15 anni di storia, Kaspersky Lab è stata un pioniere nella sicurezza IT, offrendo al mercato soluzioni di sicurezza IT per la protezione di utenti finali, Piccole e Medie Imprese e grandi aziende. Kaspersky Lab, la cui holding è registrata in Gran Bretagna, opera in 200 paesi e protegge oltre 300 milioni di clienti in tutto il mondo. Per ulteriori informazioni: www.kaspersky.com/it. 

* L’azienda si è posizionata al quarto posto nel Worldwide Endpoint Security Revenue by Vendor, 2011 di IDC. La classifica è stata pubblicata nel report IDC Worldwide Endpoint Security 2012-2016 Forecast and 2011 Vendor Shares (IDC #235930, July 2012). Il report ha classificato i vendor software in base al fatturato da soluzioni di sicurezza endpoint nel 2011.

MiniDuke, nuovo programma nocivo per spiare Enti Governativi e Istituzioni

Oggi il team di esperti di Kaspersky Lab ha pubblicato un nuovo report che analizza una serie di incidenti che hanno coinvolto l’utilizzo di recenti exploit scoperti nei documenti PDF di Adobe Reader (CVE-2013-6040) e un nuovo programma nocivo personalizzato conosciuto con il nome di MiniDuke. La backdoor MiniDuke è stata utilizzata per attacchi multipli contro enti governativi e istituzioni in tutto il mondo durante la scorsa settimana. Gli esperti di Kaspersky Lab, in collaborazione con CrySys Lab, hanno analizzato gli attacchi nel dettaglio e pubblicato i risultati.

Kaspersky Lab individua Red October, campagna di spionaggio informatico

Kaspersky Lab ha pubblicato un nuovo rapporto di ricerca che ha individuato un inafferrabile campagna di cyber-spionaggio che ha come targeting diplomazia, organizzazioni di ricerca governative e scientifiche in diversi paesi per almeno cinque anni. L'obiettivo principale di questa campagna è rivolta a paesi dell'Europa dell'Est, ex Repubbliche URSS, e paesi in Asia centrale, anche se le vittime possono essere trovate in tutto il mondo, tra cui l'Europa occidentale e il Nord America. 

L'obiettivo principale degli aggressori era quello di raccogliere documenti sensibili da parte delle organizzazioni compromesse, tra cui l'intelligenza geopolitica, le credenziali per accedere ai sistemi informatici classificati, e i dati personali da dispositivi mobili e apparecchiature di rete. 

 A ottobre 2012 il team di esperti di Kaspersky Lab di esperti ha avviato un'inchiesta a seguito di una serie di attacchi contro reti informatiche destinate ad agenzie internazionali di servizio diplomatico.  Una attività in larga scala di cyber-spionaggio di rete è stato rivelato e analizzato nel corso dell'inchiesta. Secondo il rapporto di analisi di Kaspersky Lab, l'Operazione Red October (Ottobre Rosso), chiamata "Rocra" in breve, è ancora attiva a gennaio 2013, ed è una campagna che risale fino al 2007. 

Principali Research Findings

Ottobre Rosso, cyber-spionaggio di rete avanzato: gli aggressori sono attivi almeno dal 2007 e si sono concentrati sulle agenzie diplomatiche e governative di diversi paesi in tutto il mondo, oltre a istituti di ricerca, gruppi di energia e nucleare, obietivi commerciali e aerospaziali. Gli stessi aggressori di Ottobre Rosso hanno progettato il loro malware, identificato come "Rocra", che ha la sua singolare architettura modulare composta di codice dannoso, moduli info-stealing e Trojan backdoor. 

Gli aggressori utilizzano informazioni di frequente exfiltrate dalle reti infette come un modo per entrare nei sistemi aggiuntivi. Ad esempio, le credenziali rubate sono state riportate in un elenco e utilizzato quando gli attaccanti dovevano indovinare le password o frasi di accedere ai sistemi aggiuntivi. Per controllare la rete di computer infetti, gli attaccanti hanno creato più di 60 nomi a dominio e posizionato vari server di hosting in diversi paesi, la maggior parte in Germania e in Russia. 

Le analisi di Kaspersky Lab delle infrastrutture di Command & Control di Rocra (C2) dimostrano che la catena di server ha lavorato in realtà come proxy per nascondere la posizione del server di controllo della "mothership". Le informazioni rubate da sistemi infetti includono i documenti con le estensioni: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, chiave, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. In particolare, l'esetnsione "acid" sembra riferirsi al software classificato "Acid Cryptofiler", che viene utilizzato da diversi enti, dall'Unione Europea alla NATO. 

Vittime dell'infezione

Per infettare i sistemi gli attaccanti hanno inviato una e-mail di spear-phishing mirata a una vittima che ha incluso un Trojan dropper personalizzato. Per installare il malware e infettare il sistema, il messaggio di posta elettronica dannoso include exploit che sono stati costruiti per colpire vulnerabilità di sicurezza all'interno di Microsoft Office e Microsoft Excel [CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) e CVE-2012-0158 (MS Word)].

Gli exploit dei documenti utilizzati nelle e-mail di spear-phishing sono stati creati da altri attaccanti e impiegati durante attacchi informatici diversi, che includono attivisti tibetani e obiettivi militari e del settore energetico in Asia. L'unica cosa che è stata modificata nel documento utilizzato dal Rocra era l'eseguibile incorporato, che gli attaccanti lo hanno sostituito con il proprio codice. In particolare, uno dei comandi del Trojan dropper ha cambiato la tabella codici di sistema predefinita della sessione di prompt dei comandi a 1251, che è necessario per il rendering dei caratteri cirillici. 

Le vittime e le organizzazioni colpite 

Gli esperti di Kaspersky Lab hanno utilizzato due metodi per analizzare le vittime colpite. In primo luogo, hanno usato le statistiche di rilevamento da Kaspersky Security Network (KSN), il servizio di sicurezza basato su cloud utilizzato dai prodotti Kaspersky Lab per segnalare la telemetria e offrire una protezione avanzata delle minacce sotto forma di blacklist e le regole euristiche. 

KSN aveva rilevato il codice dell'exploit utilizzato dal malware già nel 2011, che ha consentito agli esperti di Kaspersky Lab di svolgere analoghe rilevazioni inerenti a Rocra. Il secondo metodo utilizzato dal team di ricerca di Kaspersky Lab è stata la creazione di un server sinkhole in modo da poter monitorare i computer infetti che si connettono a server C2 di Rocra. I dati ricevuti durante l'analisi di entrambi i metodi ha fornito due modi indipendenti correlati e confermano le loro scoperte. 

• Statistiche KSN: diverse centinaia di sistemi unici infetti sono stati rilevati dai dati di KSN, con gli obiettivi  che erano per lo più ambasciate, reti governative e organizzazioni, istituti di ricerca scientifica e consolati. Secondo i dati KSN, la maggior parte delle infezioni che sono state identificate erano situate essenzialmente in Europa orientale, ma altre infezioni sono state rilevate anche in Nord America e nei paesi dell'Europa occidentale, come la Svizzera e il Lussemburgo.
• Statistiche Sinkhole: L'analisi sinkhole di Kaspersky Lab ha avuto luogo dal 2 novembre 2012 al 10 gennaio 2013. Durante questo periodo più di 55.000 connessioni da 250 indirizzi IP infetti sono stati registrati in 39 paesi. La maggior parte delle connessioni IP infette provenivano dalla Svizzera, seguita da Kazakistan e Grecia.

Rocra malware: architettura funzionalità uniche
Gli attaccanti hanno creato una piattaforma di attacco multifunzionale che include diverse estensioni e file maligni progettati per adattarsi rapidamente alle configurazioni di diversi sistemi e dei gruppi di intelligence delle macchine infette. La piattaforma è unica per Rocra e non è stato identificata da Kaspersky Lab in precedenti campagne di cyber-spionaggio. Le notevoli caratteristiche includono:

• Modulo "Resurrezione": un modulo unico che consente ai malintenzionati di "resuscitare" le macchine infette. Il modulo è incorporato come plug-in all'interno di Adobe Reader e le installazioni di Microsoft Office e fornisce agli attaccanti un modo infallibile per riottenere l'accesso a un sistema di destinazione se il corpo del malware principale viene scoperto e rimosso, o se il sistema è patchato. Una volta che i sever C2S sono nuovamente operativi gli attaccanti inviano via e-mail un file specifico (PDF o un documento Office) alle macchine delle vittime, che attiverà il malware nuovamente.

• Moduli-spia crittografati avanzati: lo scopo principale dei moduli di spionaggio è quello di rubare informazioni. Ciò include i file da sistemi crittografici differenti, come Acid Cryptofiler , che è noto per essere utilizzato in organizzazioni come la NATO, l'Unione europea, il Parlamento europeo e la Commissione europea a partire dall'estate del 2011 per proteggere le informazioni sensibili.

• Dispositivi mobile: oltre a colpire postazioni di lavoro tradizionali, il malware è in grado di rubare dati da dispositivi mobile, come smartphone (iPhone, Nokia e Windows Mobile). Il malware è anche in grado di rubare le informazioni di configurazione di dispositivi di rete aziendale, quali router e switch, così come i file cancellati da unità disco rimovibili.

•  Identificazione Attaccante: sulla base dei dati di registrazione dei server C2 e le tracce lasciate in numerosi eseguibili del malware, vi è una forte evidenza tecnica che indica l'origine degli attaccanti di lingua russa. Inoltre, i file eseguibili utilizzati dagli aggressori erano sconosciuti fino a poco tempo, e non sono stati identificati dagli esperti di Kaspersky Lab durante l'analisi dei precedenti attacchi di cyber-spionaggio.

Kaspersky Lab, in collaborazione con le organizzazioni internazionali, le forze dell'ordine e Computer Emergency Response Team (CERT) continua la sua indagine Rocra offrendo consulenza tecnica e le risorse per le procedure di bonifica e di mitigazione. Kaspersky Lab desidera esprimere il suo ringraziamento a: US-CERT, il  CERT rumeno e il CERT bielorusso per la loro assistenza durante l'inchiesta. Il malware Rocra viene rilevato con successo, bloccato e bonificato dai prodotti Kaspersky Lab, classificato come Backdoor.Win32.Sputnik. Leggete il rapporto completo di ricerca di Rocra dagli esperti di Kaspersky Lab all'indirizzo http://www.securelist.com/en/blog/785/The_Red_October_Campaign_An_Advanced_Cyber_Espionage_Network_Targeting_Diplomatic_and_Government_Agencies

Kaspersky Lab scopre miniFlame, nuovo malware per cyber spionaggio

Oggi Kaspersky Lab ha annunciato la scoperta di MiniFlame, un programma nocivo piccolo e molto flessibile, progettato per sottrarre i dati e controllare i sistemi infetti durante le operazioni di spionaggio informatico mirate. miniFlame, conosciuto anche con il nome di SPE, è stato rilevato dagli esperti di Kaspersky Lab nel luglio 2012 e inizialmente era stato identificato come un modulo di Flame. La scoperta di miniFlame è avvenuta durante l’analisi approfondita condotta su Flame e Gauss, un complesso "attack-toolkit", sponsorizzato a livello di stati nazionali, in grado di compiere delicate operazioni di cyber-spionaggio.

Worm su Skype blocca il PC e ruba dati di accesso a Facebook e Twitter

Skype, la nota piattaforma di comunicazione VoIP su Internet, viene utilizzata dagli hacker per distribuire un "worm" che infetta i PC Windows. I ricercatori di sicurezza hanno rilevato una nuova campagna di malware che tenta di infettare gli utenti Skype, inviando loro dei link fraudolenti ai contatti nella loro rubrica. L'attacco di social-engineering, che è stato in primo luogo segnalato Venerdì, da GFI Labs, tenta di installare una variante del worm Win32/Dorkbot che prima minacciava gli utenti di Facebook e Twitter. Dorkbot è stata scoperta la prima volta nel 2011 e viene utilizzata principalmente per rubare informazioni, permettendo agli aggressori di mettere le mani sulle credenziali di vari social.

Attenti alle e-mail provenienti da falso mittente Microsoft con virus incluso

Se avete ricevuto una e-mail, apparentemente proveniente da Microsoft, che afferma di spiegare "importanti modifiche al Contratto di servizi Microsoft", prestate attenzione. In effetti, il contratto che regola molti servizi online, inclusi l'account Microsoft e molti prodotti, è stato recentemente aggiornato e Microsoft sta inviando delle e-mail informative a tutti i suoi clienti. Ma gli esperti di Sophos hanno individuato delle e-mail fraudolente apparentemente identiche a quelle spedite dall'azienda di Redmond. Nel testo della mail si legge:

Pericolosa falla 0-day in Internet Explorer colpisce tutti i sistemi Windows

Microsoft ha notificato attraverso un advisory di sicurezza l'esistenza di una falla zero-day in Internet Explorer. I tecnici di Redmond stanno lavorando a una patch correttiva, ma in attesa del rilascio è possibile ricorrere ad un workaround. La società ha invitato gli utenti di Internet Explorer 9 e precedenti versioni di adottare misure per proteggere i computer dagli attacchi pubblici sul buco di sicurezza recentemente scoperto da da Eric Romang, IT Security Advisor presso e-Business & Resilience Centre e Co-fondatore CTO di ZATAZ.com.

Crisis: virus per Windows, Mac e smartphone che registra le conversazioni

Crisis, noto anche come Morcut, è un rootkit che infetta macchine sia Windows che Mac OS X utilizzando un falso programma di installazione di Adobe Flash Player. Scoperto nel mese di luglio da Symantec, Kaspersky ha poi riferito che arriva sul computer infetto tramite un file JAR utilizzando tecniche di ingegneria sociale. Nell'esempio portato da Sergey Golovanov di Kaspersky, il trojan Mac viene chiamato Backdoor.OSX.Morcut e viene distribuito per mezzo di un file JAR con il nome AdobeFlashPlayer.jar e firmato da VeriSign Inc.

Se l'utente consente l'esecuzione del file JAR, viene creato il file eseguibile payload.exe in una cartella temporanea e lo avvia. Tuttavia, è ora venuto alla luce che il malware può essere diffuso in quattro ambienti diversi, tra cui le macchine virtuali. Il trojan Crisis ha come obiettivi utenti Windows e Mac OS X ed è in grado di registrare le conversazioni di MSN Messenger, Skype, acquisire il traffico di messaggistica istantanea e tracciare i siti web visitati in Firefox o Safari e gli Url dei browser.

Si sviluppa attraverso attacchi di ingegneria sociale, ovvero cerca di ingannare gli utenti nell'eseguire l'applet Java dell'installer Flash di Adobe, rilevando il sistema operativo, ed eseguendo il programma trojan di installazione adeguato attraverso un file JAR. File exe aprono una backdoor che compromettere il computer. In origine, si è creduto che il malware potesse diffondersi solo su questi due sistemi operativi. Tuttavia, Symantec ha rilevato una serie di ulteriori mezzi di replica, come unità disco rimovibili, macchine virtuali e Windows Phone.

Un metodo è la possibilità di copiare se stesso e creare un file autorun.inf su un'unità disco rimovibile, un altro è quello di insinuarsi su una macchina virtuale VMware, e il modo finale è far cadere i moduli su un dispositivo Windows Mobile. Questo malware per la prima volta prende di mira le macchine virtuali, ma Symantec insiste sul fatto che questo non è dovuta a falle di sicurezza o vulnerabilità del software VMware sfruttate in sé, piuttosto il trojan Crisis sfrutta la forma di VM, che non è altro uno o più file sul disco di una macchina host.

Anche se la macchina virtuale non è in esecuzione, i file possono ancora essere montati o manipolati da codice dannoso. Takashi Katsuki scrive sul blog ufficiale di Symantec: "La minaccia ricerca l'immagine di una macchina virtuale VMware sul computer infetto e, se trova un immagine, la monta e poi si copia sulla stessa utilizzando uno strumento di VMware Player. Questo può essere il primo malware che tenta di diffondersi su una virtual machine". Symantec rileva il file JAR come Trojan.Maljava, la minaccia per Mac come OSX.Crisis, e la minaccia di Windows come W32.Crisis.

Crisis può anche attivare la webcam integrata e microfono per guardare e ascoltare, scattare screenshot istantanei di Safari e Firefox, registrare i tasti premuti, e rubare i contatti dalla rubrica della macchina. Tuttavia, vi è una buona notizia per gli utenti di dispositivi iOS e Android. Dato che usano il Remote Application Programming Interface (RAPI), questi sistemi non sono tenuti in ostaggio dalle vulnerabilità come i modelli di telefoni Windows.

"Questa variante Crisis non fa altro che, quando è eseguita su un sistema Windows, verranno montate tutte quelle immagini di unità virtuali che avete creato e poi farà una copia di quel sistema operativo all'interno del vostro sistema operativo. E' come se fosse un disco fisico come una chiavetta USB, e il malware si copia sul disco. Così, quando un utente infetto tenta di accedere a quelle immagini ancora una volta, il malware spierà senza che l'utente ne sia a conoscenza", scrive Lysa Myers sul blog di Intego.

Secondo Intego, che ha pubblicato una prima analisi Martedì a cui hanno fatto seguito ulteriori informazioni, il codice di Crisis si collega ad un software di una ditta italiana che vende un kit di strumenti di spionaggio per 245.000 dollari all'intelligence nazionale e alle forze dell'ordine. Intego ha definito Crisis come "una minaccia molto avanzata e completamente funzionale", in parte a causa del collegamento col codice del malware di origine con il software commerciale di spionaggio.

Come scrive Computer World, in una brochure di marketing [download PDF] della società italiana Hacking Team, il Remote Control System (RCS) viene descritto come "La suite di hacking per l'intercettazione del governo", che il software viene utilizzato in tutto il mondo, e si vanta che il software in grado di monitorare centinaia di migliaia di computer infetti o smartphone alla volta. Il software RCS è commercializzato dall'impresa italiana ed "è una soluzione progettata per eludere la crittografia per mezzo di un agent direttamente installato sul dispositivo per il monitoraggio".

Guarda caso, questa è una buona definizione di "malware", ed in particolare di rootkit. Se questa teoria è corretta, Crisis diventa dunque molto più pericoloso di Gauss, Mahdi, Stuxnet, Flame o Shamoon, il malware che sovrascrive il Master Boot Record. Perché mentre questi ultimi sembrano mirare al Medio Oriente, mentre Crisis non avrebbe un target geografico specifico. Il consiglio è quello di non installare il Flash Player mediante siti diversi da quello ufficiale di Adobe e di mantenere il software antivirus aggiornato alle ultime definizioni.

Kaspersky Lab presenta l'evoluzione del malware nel 2° trimestre del 2012

Secondo i dati raccolti tramite il Kaspersky Security Network (KSN), nel corso del secondo trimestre del 2012 le soluzioni anti-malware di Kaspersky Lab hanno rilevato e neutralizzato oltre 1 miliardo di oggetti nocivi. E' stata rilevata la distribuzione di programmi malware da ben 89,5 milioni di URL. Sono stati individuati 14.900 file relativi a software nocivi specificamente destinati a colpire il sistema operativo mobile Android. Rispetto al trimestre precedente, nel corso del periodo analizzato nel presente report il numero dei programmi Trojan appositamente sviluppati dai virus writer per attaccare la piattaforma mobile Android è in pratica quasi triplicato.

"Nel breve volgere di tre mesi, difatti, sono stati aggiunti alla nostra 'collezione' oltre 14.900 software nocivi", hanno dichiarato gli esperti di Kapserky Lab. Uno sviluppo così rapido dei programmi dannosi specificamente destinati a colpire il sistema operativo Android testimonia inequivocabilmente come un numero sempre maggiore di autori di virus si stia attivamente dedicando all’elaborazione di software dannosi per dispositivi mobili. Così come è avvenuto per i software dannosi rivolti alla piattaforma Windows, il repentino sviluppo del malware mobile ha generato la formazione di un vero e proprio mercato nero specializzato in ogni genere di servizi preposti alla sua diffusione.

I principali canali di distribuzione dei programmi nocivi per smartphone, tablet ed altri apparecchi mobili sono attualmente rappresentati dagli app store non ufficiali e dai programmi di partenariato. Circa la metà (49%) dei file malevoli analizzati e trattati da Kaspersky Lab nel corso del secondo trimestre del 2012 è costituita da Trojan multifunzionali di vario tipo, volti principalmente a realizzare il furto di dati dagli smartphone degli utenti (nominativi presenti nell’elenco dei contatti, indirizzi di posta elettronica, numeri di telefono e via dicendo); al tempo stesso, i suddetti software nocivi sono in grado di generare il download di moduli aggiuntivi dai server predisposti dai malintenzionati.

Esattamente un quarto dei programmi malware destinati alla piattaforma mobile Android è rappresentato dai cosiddetti Trojan-SMS. Sino ad un paio di anni fa, i suddetti programmi dannosi risultavano diffusi esclusivamente nei paesi ubicati nello spazio geografico precedentemente occupato dalle repubbliche dell’Unione Sovietica, così come in Cina e nel Sud-Est asiatico. "Al momento attuale, - spiegano gli esperti di Kaspersky Lab - tali software nocivi si stanno invece rapidamente propagando in ogni angolo del pianeta: basti pensare che, nel secondo trimestre del 2012, le nostre soluzioni antivirus hanno protetto nei confronti dei famigerati Trojan-SMS gli utenti di ben 47 diversi paesi".

Il 18% dei malware rivolti al sistema operativo mobile Android, individuati e neutralizzati nel corso del secondo trimestre del 2012, è rappresentato da programmi Backdoor. Si tratta, nella circostanza, di software dannosi malevoli che offrono ai cybercriminali l’opportunità di ottenere il pieno controllo del dispositivo contagiato. Difatti, è proprio sulla base dei Backdoor che vengono create le botnet mobili. E’ diminuito, rispetto al primo trimestre dell’anno in corso, il numero dei programmi dannosi - individuati dalle soluzioni anti-malware di Kaspersky Lab - appositamente elaborati dai virus writer per attaccare il sistema operativo Mac; nei database antivirus di Kaseprsky sono state difatti aggiunte soltanto 50 nuove firme in grado di rilevare e neutralizzare software dannosi destinati a Mac OS X.

A seguito dell’inattesa scoperta, nel precedente trimestre, dell’estesa botnet FlashFake, composta da oltre 700.000 computer targati Apple, la società di Cupertino si è occupata ancor più attivamente delle questioni inerenti alla sicurezza del proprio sistema operativo. Sono state ad esempio rilasciate alcune patch critiche per Oracle Java, contemporaneamente alle versioni per Windows. Apple ha inoltre annunciato nuove funzionalità di protezione che saranno implementate nella prossima versione del sistema operativo Mac OS X, quali l’impostazione di default relativa alla possibilità di effettuare esclusivamente l’installazione di programmi provenienti dallo store ufficiale, l’utilizzo di una specifica sandbox per le applicazioni scaricate dal negozio online, l’installazione automatica degli aggiornamenti, e così via.

Nel corso del secondo trimestre del 2012 hanno suscitato particolare clamore le notizie relative alla violazione dei database degli hash delle password relative agli account di alcuni servizi online particolarmente popolari presso il pubblico della Rete. Uno degli avvenimenti più eclatanti in tal senso è indubbiamente rappresentato dall’attacco hacker che ha portato alla pubblicazione online di una consistente porzione del database (ben 6,5 milioni di hash delle password) di LinkedIn. Per non divenire vittima di attacchi informatici del genere, gli utenti debbono in primo luogo ricorrere all’impiego di password sufficientemente lunghe e complesse, che non possano essere utilizzate dai malintenzionati nei cosiddetti “attacchi a dizionario”, spiegano gli esperti di Kaspersky Lab.

Non bisogna oltretutto dimenticare che l’uso di un’unica password per accedere a vari servizi online amplifica considerevolmente i possibili danni derivanti dal furto della stessa. Agli amministratori dei siti web, relativamente alla custodia delle password, consigliamo invece di utilizzare contemporaneamente, come minimo, hash e salt. Tuttavia, l’impiego di un algoritmo di hash rapido (quale può essere, ad esempio, SHA-1 o MD5) e del relativo salt, viste le notevoli potenzialità che sono attualmente in grado di dispiegare le GPU nel processo di raccolta delle password, può rivelarsi non sufficiente ad impedire la violazione dei database da parte degli hacker.

Una soluzione ben più efficace è indubbiamente rappresentata dall’impiego di algoritmi quali PBKDF2 (Password-Based Key Derivation Function 2) o “bcrypt”, i quali non solo utilizzano di default il salt crittografico, ma permettono allo stesso tempo di rallentare considerevolmente il processo di raccolta delle password. Il tema di maggior rilievo del secondo trimestre dell’anno in corso è tuttavia rappresentato dalla scoperta di Flame, il sofisticato programma malware utilizzato per compiere mirate operazioni di cyber-spionaggio. Si tratta di un software nocivo di notevoli dimensioni, per di più strutturato in maniera incredibilmente complessa. Il rapporto completo è disponibile a questo link: http://www.kaspersky.com/it/about/news/virus/2012/Evoluzione_delle_minacce_informatiche_nel_secondo_trimestre_del_2012

Sophos, malware diffuso attraverso false notifiche Facebook di tag a foto

Gli utenti di Facebook sono nuovamente nel centro del mirino degli spammer. Martedì scorso lunedì alcuni utenti hanno denunciato di essere stati oggetto dell'invio di messaggi diretti presumibilmente provenienti dal social network. In realtà non è proprio così. L'ultima minaccia, in questo senso, combina il classico spam con l’invito a visionare un tag in una foto. Diffidate, infatti, delle e-mail che affermano di provenire da Facebook, e dicono che siete stati taggati in una foto. Perché potreste essere voi la prossima vittima potenziale di un attacco malware. I SophosLabs hanno intercettato una campagna email di spamming-out, progettata per infettare i computer dei destinatari con del malware.