2016, l´anno dei malware: ecco la guida alle minacce più pericolose (2° parte)

Naviga SWZ: Home Page » Articoli
Articolo del 05 Dicembre 16 Autore: Stefano Fossati
Categoria: sicurezza
Inserisci un commento sul forum Commenta la News sul Forum
La seconda parte della guida alle principali minacce informatiche rilevate nel corso del 2016, vero e proprio “annus horribilis” per la sicurezza, in attesa di un 2017 che potrebbe essere ancora più pesante. In questo secondo articolo prendiamo in considerazione, sempre in ordine (tendenzialmente) cronologico, quelle emerse negli ultimi sei mesi.

2016, l´anno dei malware: ecco la guida alle minacce più pericolose (2° parte) - immagine 1
Vip sotto attacco – Fra la primavera e l’estate diversi importanti personaggi dell’industria tecnologica sono stati “hackerati”. Primo fra tutti il numero uno di Facebook Mark Zuckerberg, Mark Zuckerberg: alcuni cybercriminali sono riusciti ad accedere ai suoi account su Twitter e Pinterest, fra le poche piattaforme social “mainstream” non di sua proprietà. Anche perché la password che usava, “dadada”, non era né originale né sicura. In seguito è toccato con modalità diverse, fra gli altri, al CEO di Google Sundar Pichai e a quello di Oculus Brendan Iribe.

Skimmer – Sgradito ritorno nel 2016 per il primo malware che, nel 2009, aveva preso di mira i bancomat: la nuova versione evoluta, una volta installata in una macchina ATM tramite Backdoor.Win32.Skimer, resta inattiva in attesa di un comando da parte degli hacker, che possono usarlo per prelevare tutti i soldi presenti al suo interno o rubare i dati dalle carte utilizzate dai clienti, inclusi il numero di conto bancario del cliente e il codice PIN.

RAA – Il primo, pericoloso ransomware in Javascript si presenta sottoforma di documento e, non appena viene aperto, inizia a crittografare i file presenti sul computer. RAA si diffonde soprattutto via email: se solitamente Windows intercetta e blocca l’esecuzione automatica di file eseguibili come i .exe o .bat, la stessa accortezza non viene applicata dal sistema operativo ai file .js. Una volta che viene eseguito, dopo avere criptato i file sul pc il ransomware visualizza una nota scritta in russo, in cui viene chiesto un riscatto di 250 dollari per il ripristino dell’accessibilità ai dati.

Facebook phishing - Diecimila utenti Facebook in tutto il mondo nel mirino di un attacco phishing in soli due giorni: un “bombardamento” malware che ha infettato i dispositivi di numerosi utenti attraverso un falso messaggio da parte di un amico di Facebook che afferma di averli menzionati in un commento. L’attacco avveniva in due fasi: la prima comportava il download sul computer dell’utente di un trojan che installava, tra le altre cose, un’estensione nociva del browser Chrome. Proprio quest’ultima permetteva quindi la seconda fase: il furto dell’account Facebook dell’utente al successivo login effettuato tramite il browser compromesso. A questo punto gli hacker erano in grado di cambiare le impostazioni di sicurezza, rubare informazioni e altro ancora, facendo sì che il computer infetto diffondesse a sua volta l’infezione tra gli amici di Facebook della vittima o mettesse in atto altre attività nocive come spam, furto d’identità e generazione di falsi “mi piace” o condivisioni. Il malware era anche dotato di un meccanismo di autoprotezione, impedendo l’accesso ad alcuni siti, come quelli di fornitori di software di sicurezza.

2016, l´anno dei malware: ecco la guida alle minacce più pericolose (2° parte) - immagine 2
Falsi Pokemon Go – Il fenomeno del mobile game dell’anno è stato sfruttato anche dai cybercriminali: prima che il gioco fosse reso disponibile al di fuori degli Stati Uniti, molti utenti di altri paesi hanno cercato di scaricare l’app da piattaforme alternative, con il rischio è quello di installare sullo smartphone una versione infetta contenente una backdoor chiamata DroidJack, che consentiva agli hacker di prendere il controllo del dispositivo da remoto. Successivamente è emersa sul Play Store di Google una falsa “Guide for Pokémon Go”, un’applicazione in grado di ottenere i diritti di root sugli smartphone Android e usarli per installare o disinstallare app e visualizzare messaggi pubblicitari indesiderati.

Hummingbad – Scoperto a febbraio, Hummingbad è uno dei più diffusi malware per dispositivi mobili: installa un rootkit sui dispositivi Android, genera introiti dalla pubblicità ingannevole e permette l’installazione di altre app fraudolente. Il gruppo cinese Yingmob, responsabile della sua diffusione, opera infatti insieme a un’azienda del tutto legale che si occupa di analitiche per la pubblicità. Il gruppo di hacker non prende di mira solo Android: sarebbe infatti dietro anche a un malware per iOS chiamato Yispecter, che utilizza i permessi aziendali di Yingmob per installarsi nei dispositivi. Entrambi i malware installano app fraudolente per trarne guadagni.

Stampado – L’ennesimo ransomware può essere acquistato sul deep web a meno di 50 dollari, con licenza illimitata, da chiunque voglia utilizzarlo per lanciarsi nel business (illegale ma purtroppo redditizio) di questi malware. A differenza di altri, Stampado non richiede i privilegi di amministratore per installarsi sul pc, il che lo rende ancora più pericoloso. Una volta infettato il computer, il ransomware cripta i dati presenti sull’hard disk e concede alla vittima 96 ore per pagare un riscatto, dopodiché - se l’utente non paga - inizia a cancellare dei file a caso ogni sei ore.

Project Sauron - Una sofisticata forma di malware si è diffusa senza mai essere identificata per almeno cinque anni. Project Sauron potrebbe essere stata creata da un gruppo di cyberspionaggio supportato da un governo, si nasconde fra i file di sistema e non opera in maniera prevedibile, cosa che ne rende alquanto difficoltosa l’individuazione. Il malware consente agli hacker di spiare i computer infetti, “nascondendosi” al loro interno sottoforma di file con nomi simili a quelli pubblicati da note aziende come Microsoft. Non utilizza sempre gli stessi metodi per inviare i dati ai cybercriminali ed è in grado di rubare dati, registrare le sequenze di tasti battuti sulla tastiera e aprire una “back door” che dà agli hacker ampio accesso al computer compromesso. Inoltre può anche sottrarre dati sensibili su computer non connessi a internet, essendo in grado di propagarsi anche attraverso chiavette USB.

Backdoor.OSX.Mokes - Variante per la piattaforma Apple della famiglia di malware Mokes, è in grado di operare su tutti i principali sistemi operativi, compresi Windows, Linux e – appunto – Mac. Quando eseguito per la prima volta, il codice si replica in diverse library di sistema nascondendosi in cartelle appartenenti ad applicazioni e servizi “non sospetti” quali Skype, Google, Firefox e l’App Store; quindi si connette a un server “command and control” (C&C) appropriandosi di una notevole quantità di informazioni dal computer colpito. Il suo codice può registrare l’attività a schermo ogni 30 secondi, rilevare e monitorare periferiche di storage removibili e anche registrazioni video e audio, oltre a copiare documenti Office e a registrare le battiture sulla tastiera, il tutto all’insaputa dell’utente. Inoltre il malware può eseguire del codice arbitrario su un Mac per utilizzare la macchina infetta per diffondersi ulteriormente.

Guerrilla - Il nuovo trojan Android tenta di superare i meccanismi di protezione anti-frode di Google Play Store. Il malware si basa su una falsa applicazione che, una volta installata sul dispositivo, permette ai cybercriminali di condurre campagne pubblicitarie “sospette” usando i device infetti per scaricare, installare, valutare e commentare le applicazioni mobile disponibili su Google Play. Il malware riesce comunque ad aggirare i meccanismi di Google Play solo dai dispositivi su cui è stato effettuato il root, operazione sempre altamente sconsigliata agli utenti meno esperti.

2016, l´anno dei malware: ecco la guida alle minacce più pericolose (2° parte) - immagine 3
Apple spyware - Apple ha rilasciato fra agosto e settembre delle patch di sicurezza per iOS 9, le versioni Yosemite ed El Capitan di Os X e il browser Safari 9.1.3 per porre rimedio vulnerabilità che consentivano di ottenere il controllo di dispostivi di attivisti politici e giornalisti attraverso un software realizzato e venduto dalla società israeliana di cyberspionaggio NSO Group, fra i cui clienti figurano soprattutto governi di diversi Paesi. La scoperta è avvenuta dopo che un attivista per i diritti umani degli Emirati Arabi Uniti, l’avvocato Ahmed Mansoor, aveva ricevuto via sms un link che, se cliccato, avrebbe installato sul suo iPhone un malware grazie al quale gli hacker avrebbero potuto controllare i messaggi in entrata e in uscita, il microfono e la fotocamera del dispositivo e la sua localizzazione.

Cerber – Fra le più grandi reti ransomware-as-a-service del mondo, genera un business (illegale) da 2,3 milioni di dollari all’anno. Rispetto ad altri ransomware, Cerber ha un tasso di infezione molto più elevato: dando origine ogni giorno in media a otto nuove campagne. Per evitare il tracciamento, Cerber richiede il pagamento dei riscatti in bitcoin e crea un wallet specifico per ricevere il pagamento del riscatto da parte di ogni singola vittima. Nel momento in cui il riscatto viene pagato, la vittima riceve la chiave di decrittazione, mentre il bitcoin viene trasferito allo sviluppatore del malware attraverso un servizio misto che coinvolge decine di migliaia di wallet, rendendo quasi impossibile il rintracciamento.

2016, l´anno dei malware: ecco la guida alle minacce più pericolose (2° parte) - immagine 4
Quadrooter - Un set di quattro vulnerabilità ha messo a rischio 900 milioni di dispositivi Android equipaggiati con chipset Qualcomm attraverso i driver di questa azienda preinstallati su smartphone e tablet. Le quattro vulnerabilità possono essere sfruttate da cybercriminali per prendere il controllo dei dispositivi e accedere alle informazioni personali dei loro possessori, attraverso applicazioni malevole scaricate inconsapevolmente dagli utenti. Oltre il 90,6% dei dispositivi Android è automaticamente protetto da queste applicazioni grazie alla funzionalità Verify Apps, il rimanente 9,4% è quindi rappresentato da dispositivi ormai obsoleti; in ogni caso, Google ha rilasciato aggiornamenti per porre rimedio alle vulnerabilità.

Attacchi IoT - Sempre più esposti al rischio di attacchi anche i dispostivi IoT (Internet of Things). L’azienda francese di web hosting OVH è stata oggetto a settembre di quello che viene definito uno dei più grandi attacchi DDoS (Distributed Denial-of-Service) della storia, condotto attraverso una botnet basata su un gran numero di smart device compromessi, fra cui oltre 145mila webcam. L’attacco ha “bombardato” di dati i sistemi della società con una portata di oltre un terabit al secondo, allo scopo di mandarli offline, superando il record stabilito solo pochi giorni fa da quello che ha colpito il sito dell’esperto di cybersicurezza Brian Krebs, che aveva raggiunto i 620 gigabit al secondo.

Yahoo! sotto accusa – E’ probabilmente la più grande violazione di dati mai avvenuta online quella subita da Yahoo! alla fine del 2014 ed emersa a settembre, nella quale sono state rubate le informazioni personali di 500 milioni di utenti, circa la metà del miliardo di persone registrate sulla piattaforma online. In mano ai pirati informatici potrebbero essere finiti nomi, indirizzi email, numeri di telefono, date di nascita, password create con la tecnica dell´hashing e in alcuni casi anche domande e risposte di sicurezza, mentre gli hacker non sono riusciti a impossessarsi di dati relativi a carte di credito e conti bancari, non sono conservati nella rete "hackerata".

CallJam – Un nuovo malware per Android si nascondeva all’interno dell’app “Gems Chests for Clash Royale”, un gioco gratuito che da maggio scorso a settembre è stato scaricato tra le 100mila e le 500mila volte. In base ai meccanismi di sicurezza di Android, prima di eseguire le chiamate premium l’applicazione chiedeva l’autorizzazione all’utente, ma questo non sempre è stato sufficiente a evitare esborsi indesiderati: il server C&C (command & control) inviava al malware le istruzioni con i numeri da chiamare e i dati di durata delle chiamate, CallJam avviava quindi una chiamata basata su tutti i parametri ricevuti, così da generare profitti per i cybercriminali, che erano ovviamente i beneficiari degli introiti dei numeri premium in questione.

2016, l´anno dei malware: ecco la guida alle minacce più pericolose (2° parte) - immagine 5
Malware su chiavetta - La polizia di Victoria, in Australia, ha diffuso un allarme in cui mette in guardia i cittadini dall’inserire nel proprio pc eventuali chiavette USB che dovessero trovare nella casella di posta della loro abitazione, dal momento che si ritiene che possano essere “estremamente nocive”. Inserendo i drive USB nel loro computer le vittime si sono viste offrire servizi di streaming fraudolenti e hanno riscontrato seri problemi al pc.

Svpeng - Trojan per il mobile banking, sfrutta una vulnerabilità del browser Chrome di Google su Android: nascosto all’interno della rete pubblicitaria AdSense dello stesso gruppo, dalla metà di luglio Svpeng ha raggiunto una media di infezione di 37mila utenti al giorno. La campagna è iniziata con un annuncio pubblicitario infetto pubblicato su Google AdSense: la pubblicità era visualizzata normalmente su pagine web non infette e il trojan si scaricava solo quando l’utente accedeva alla pagina attraverso il browser Chrome da un dispositivo Android. Per convincere l’utente ad avviare l’installazione, Svpeng si presentava come un importante aggiornamento del browser o di un’applicazione conosciuta; una volta lanciato, scompariva dalla lista delle app installate e chiedeva all’utente i diritti di amministrazione del device. Il trojan Svpeng è in grado di rubare le informazioni delle carte di credito, ma anche di accedere al registro delle chiamate, ai messaggi di testo e multimediali, ai segnalibri del browser e ai contatti.

Strontium – Scoperta a novembre una vulnerabilità in Windows utilizzata dal noto gruppo di hacker Strontium, conosciuto anche come “Fancy Bear” o “APT 28”, per lanciare alcuni attacchi (“un numero limitato”, secondo Microsoft) attraverso email di “spear phishing” bypassando i meccanismi di sicurezza del sistema operativo. Microsoft ha già rilasciato la relativa patch.

ImageGate - Individuato un nuovo vettore d’attacco che inserisce malware in immagini e file grafici: gli hacker sono riusciti a inserire un codice malevolo in un’immagine e, in un secondo momento, a caricarlo su un social network sfruttando una falla nella configurazione dell’infrastruttura delle piattaforme social per indurre deliberatamente le loro vittime a scaricare l’immagine. Il risultato è l’infezione del dispositivo dell’utente, non appena questo clicca sul file scaricato, consentendo fra l’altro la diffusione di massa del ransomware Locky attraverso i social media e in particolare Facebook. In questo caso, una volta che l’utente scarica e apre il file malevolo che ha ricevuto, tutti i file del dispositivo vengono automaticamente crittografati e l’accesso viene ripristinato soltanto dopo il pagamento del riscatto.

2016, l´anno dei malware: ecco la guida alle minacce più pericolose (2° parte) - immagine 6
Gooligan - Più di un milione di account Google a rischio a causa di una nuova variante di malware Android. A lanciare l’allarme sono i ricercatori di Check Point Software dopo la scoperta di Gooligan, un malware che effettua il rooting dei dispositivi colpiti e ruba indirizzi email e token di autenticazione memorizzati al loro interno, informazioni che possono consentire agli hacker di accedere accesso ai dati più sensibili degli utenti su Gmail, Google Photos, Google Docs, Google Play, Google Drive e G Suite. Gooligan colpisce dispositivi con le versioni 4 (Jelly Bean, KitKat) e 5 (Lollipop) di Android, attualmente diffuse su circa il 74% dei dispositivi basati sulla piattaforma Google e ogni giorno infetta 13mila dispositivi. Gli hacker, dopo aver conquistato il controllo totale del dispositivo, generano introiti dall’installazione illecita di app da Google Play, facendole pagare alla vittima.

No More Ransom – Di fronte alla diffusione dei ransomware la polizia olandese, l’Europol e le aziende specializzate in sicurezza informatica Kaspersky e Intel Security hanno lanciato il progetto “No More Ransom”, al quale ha poi aderito anche la Polizia Postale italiana: un sito sul quale è possibile trovare informazioni su come rimuovere le infezioni dai dispositivi e come prevenire futuri attacchi e le loro conseguenze. La lista dei ransomware “crackati” dagli esperti di cybersicurezza si allunga ogni mese e oggi è disponibile un buon numero di tool gratuiti che consentono alle vittime di numerosi tipi di questi malware di riconquistare l’accesso ai loro file senza dover pagare riscatti.

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter