tag:blogger.com,1999:blog-26585257917747358142024-03-19T04:58:58.897+01:00Studio Consulenze InformaticheStudio Consulenze Informatiche forense digital forensics Francesco Di Vittorio Examinerfrancescodivittoriohttp://www.blogger.com/profile/04749329486967868991noreply@blogger.comBlogger2125tag:blogger.com,1999:blog-2658525791774735814.post-37457846377902570322019-11-17T21:04:00.003+01:002019-11-17T21:07:15.382+01:00Quando uno non basta: Questo malware losco infetterà il tuo PC con due Trojan<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;">I bassi tassi di rilevamento e l’installazione non di uno, ma di due Troiani, significano problemi.</span><br />
<span style="font-family: "verdana" , sans-serif; font-size: large;"><br /></span>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://images.idgesg.net/images/article/2019/06/trojan-horse_malware_virus_binary_by-v-graphix-getty-100799531-large.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="533" data-original-width="800" height="266" src="https://images.idgesg.net/images/article/2019/06/trojan-horse_malware_virus_binary_by-v-graphix-getty-100799531-large.jpg" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;"><br /></td></tr>
</tbody></table>
<span style="font-family: "verdana" , sans-serif; font-size: large;"><br /></span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;">Una nuova variante di malware con un basso tasso di rilevamento in grado di fornire troiani multipli ai sistemi infetti è stata rivelata dai ricercatori. </span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;"><br /></span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;">Questa settimana, il team di sicurezza informatica di Fortinet ha detto che un recente esempio rivela che il nuovo malware è stato progettato per far scaricare sia RevengeRAT che WSHRAT su sistemi Windows vulnerabili. </span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;"><br /></span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;">Il file malevolo di esempio inizia il processo di infezione con codice JavaScript e informazioni codificate URL contenute in un editor di testo. Una volta decodificato, il team ha trovato VBScript offuscato con sostituzioni di caratteri. </span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;"><br /></span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;">Questo codice VBScript è quindi in grado di chiamare un oggetto Shell.Application che genera un nuovo file di script, A6p.vbs, che recupera un payload -- un VBScript aggiuntivo -- da una fonte esterna. </span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;"><br /></span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;">Le stringhe del nuovo codice, che sono anche offuscate nel probabile tentativo di evitare il rilevamento, estraggono un file di script chiamato Microsoft.vbs da un server remoto e lo salvano nella cartella temporanea di Windows. </span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;"><br /></span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;">“Una volta che il codice di cui sopra viene eseguito, crea un nuovo oggetto WScript.Shell e raccoglie l'ambiente OS e i dati “hardcoded”, che alla fine finirà per eseguire lo script appena creato (GXxdZDvzyH.vbs) chiamando l'interprete VBScript con il parametro "//B",” dicono i ricercatori. </span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;">“Questo abilita la modalità "batch-mode" e disabilita qualsiasi potenziale avviso o avviso che può verificarsi durante l'esecuzione”.</span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;"><br /></span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;">Una nuova chiave viene quindi aggiunta al registro di Windows, i comandi PowerShell vengono eseguiti per bypassare le politiche di esecuzione e viene distribuito il payload di Revenge RAT. </span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;"><br /></span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;">Revenge RAT è un Trojan precedentemente collegato a campagne rivolte agli istituti finanziari, ai governi e alle aziende IT. </span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;"><br /></span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;">Una volta distribuito dal nuovo file infetto da malware, Revenge RAT si connette a due server di comando e controllo (C2) e raccoglie i dati di sistema dalla vittima prima di trasferire queste informazioni ai C2. </span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;"><br /></span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;">Gli indirizzi IP, i dati sui volumi, i nomi delle macchine, i nomi degli utenti, se è stata rilevata o meno una webcam, i dati della CPU, la lingua e le informazioni relative ai prodotti antivirus e alle installazioni firewall vengono rubati. </span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;"><br /></span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;">Il Trojan è anche in grado di ricevere comandi da un C2 per caricare codice ASM dannoso in memoria per ulteriori exploit. </span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;"><br /></span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;">Tuttavia, lo spiegamento di un Trojan non è la fine della catena di attacco. Il file infetto dal malware esegue anche WSH RAT come payload, utilizzando lo stesso script Microsoft.vbs - con alcune modifiche. </span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;"><br /></span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;">WSH RAT è spesso distribuito attivamente nei messaggi di phishing che si mascherano come banche note. Il Trojan viene venduto pubblicamente online in abbonamento ad autori della minaccia. </span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;"><br /></span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;">La versione 1.6 di WSH RAT viene caricata e questo malware contiene più funzionalità rispetto alla sua controparte, compresi i metodi per mantenere la persistenza, il furto di dati e l'elaborazione delle informazioni. </span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;"><br /></span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;">Tra le 29 funzioni c'è la possibilità di controllare i diritti dell'utente corrente, e “a seconda di quali sono utilizzati, rimarrà così com'è o si eleverà (startupElevate()) ad un livello di accesso utente superiore”, dicono i ricercatori. </span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;"><br /></span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;">Il Trojan eseguirà anche un controllo di sicurezza per disabilitare l'attuale contesto di sicurezza.</span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;"><br /></span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;">WSH RAT si concentra sul furto di informazioni raccolte da browser popolari come Google Chrome e Mozilla Firefox. Tuttavia, il malware contiene anche altre funzioni, come l'esecuzione dei file, il riavvio del computer della vittima, la disinstallazione dei programmi e il keylogging. </span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;"><br /></span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;">Da notare anche la comparsa di Emotet con nuove funzionalità. Il malware modulare, che si è dimostrato popolare tra i criminali informatici, sembra ora utilizzare le tattiche stealth (nascoste) un tempo utilizzate da Trickbot.</span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;"><br /></span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;">(Fonte: <a href="https://www.zdnet.com/article/when-one-isnt-enough-this-shady-malware-will-infect-your-pc-with-two-trojans/" target="_blank">zdnet.com - When one isn't enough. This shady malware will infect your pc with two trojans</a>)</span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;"><br /></span></div>
<div style="text-align: justify;">
<span style="font-family: "verdana" , sans-serif; font-size: large;"><br /></span></div>
francescodivittoriohttp://www.blogger.com/profile/04749329486967868991noreply@blogger.comtag:blogger.com,1999:blog-2658525791774735814.post-4139328993652400992018-03-23T23:13:00.000+01:002018-03-23T23:13:35.008+01:00DoubleLocker, il ransomware per Android che ruba i dati bancari<br />
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<span style="font-family: Arial;">Il malware denominato DoubleLocker è stato scoperto
dai ricercatori di Eset: il virus cambia il Pin del dispositivo chiedendo un
riscatto. E potrebbe evolversi in trojan bancario.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<span style="font-family: Arial;">I ricercatori di Eset, la più grande casa di software
per la sicurezza digitale dell’Unione Europea, hanno scoperto che
DoubleLocker:<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; margin-left: 18.0pt; mso-list: l0 level1 lfo1; tab-stops: list 18.0pt; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Arial; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">1.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="font-family: Arial;">mescola un
meccanismo di infezione con due potenti strumenti per estorcere denaro
alle vittime;<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; margin-left: 18.0pt; mso-list: l0 level1 lfo1; tab-stops: list 18.0pt; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Arial; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">2.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="font-family: Arial;">si
diffonde principalmente come falso aggiornamento di Adobe Flash Player
tramite siti compromessi;<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; margin-left: 18.0pt; mso-list: l0 level1 lfo1; tab-stops: list 18.0pt; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Arial; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">3.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="font-family: Arial;">sfrutta
i servizi di accessibilità di Android, secondo uno schema tipico di questo
genere di attacchi;<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; margin-left: 18.0pt; mso-list: l0 level1 lfo1; tab-stops: list 18.0pt; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Arial; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">4.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="font-family: Arial;">è in grado di
cambiare il Pin del dispositivo (impostandone uno a caso che non viene
registrato sul dispositivo o inviato da qualche parte, così da
impedire all’utente o a un esperto di sicurezza di recuperarlo) per
tagliare fuori il legittimo proprietario;<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; margin-left: 18.0pt; mso-list: l0 level1 lfo1; tab-stops: list 18.0pt; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Arial; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">5.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="font-family: Arial;">codifica i dati,
rendendoli irrecuperabili;<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; margin-left: 18.0pt; mso-list: l0 level1 lfo1; tab-stops: list 18.0pt; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Arial; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">6.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="font-family: Arial;">richiede
l’attivazione del fantomatico <b style="mso-bidi-font-weight: normal;">“Servizio
di Google Play”;</b><o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; margin-left: 18.0pt; mso-list: l0 level1 lfo1; tab-stops: list 18.0pt; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Arial; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">7.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="font-family: Arial;">acquisisce le
autorizzazioni di accesso e le sfrutta per attivare i diritti di
amministratore del dispositivo;<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; margin-left: 18.0pt; mso-list: l0 level1 lfo1; tab-stops: list 18.0pt; text-align: justify; text-indent: -18.0pt;">
<!--[if !supportLists]--><span style="font-family: Arial; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">8.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="font-family: Arial;">si imposta come
applicazione Home predefinita. Cliccando il tasto Home, insomma, lo si
manda ripetutamente in esecuzione.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<span style="font-family: Arial;">Dunque un un malware che chiede un riscatto (per la
precisione di 0.0130 Bitcoin, circa 54 dollari entro 24 ore) per
recuperare, in realtà senza alcuna sicurezza, l’accesso ai propri
contenuti, ma anche lo sviluppo di un trojan bancario (Android.BankBot.211.origin)
in cui i ricercatori di Eset erano già incappati. <o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<span style="font-family: Arial;">Secondo gli esperti la funzionalità che consentirebbe
a questo malware di sottrarre le credenziali bancarie dai sistemi delle
vittime potrebbe essere aggiunta molto facilmente. <o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<span style="font-family: Arial;">Se così si evolvesse, DoubleLocker diventerebbe una
sorta di “ransom-banker”, già identificato in una versione di test in
the wild lo scorso maggio.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<span style="font-family: Arial;">“Considerando la sua natura di malware bancario, il
DoubleLocker potrebbe facilmente trasformarsi in quello che possiamo definire
un ransom-banker – ha spiegato Lukáš Stefanko, il ricercatore malware di Eset
che ha scoperto il DoubleLocker – un malware a due fasi che prima tenta di
svuotare il tuo conto bancario o quello di PayPal e successivamente blocca
il tuo dispositivo e i tuoi dati per richiedere un riscatto”.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: 150%; text-align: justify;">
<span style="font-family: Arial;">Fonte: Simone Cosimi – <a href="http://www.repubblica.it/tecnologia/sicurezza/2017/10/14/news/doublelocker_un_nuovo_ransomware_minaccia_android-178263965/">La
Repubblica</a><o:p></o:p></span></div>
<br />francescodivittoriohttp://www.blogger.com/profile/04749329486967868991noreply@blogger.com