immagine-preview

Set 18, 2018

Evoluzione della minaccia. I 10 malware che hanno colpito di più questa estate

L’aumento delle minacce sui dispositivi IoT, la nuova modalità di attacco sfruttando i fax e la rinnovata campagna a mezzo Ursnif provano che la minaccia evolve, si diversifica e si specializza per aumentare le vittime potenziali

La diffusa percezione che durante il periodo di ferie si verifichino meno attacchi o che i malintenzionati si fermino per vacanza, non è purtroppo realistica, tanto che l’Italia scivola al 104esimo posto nella classifica dei paesi più colpiti. Oltre alle minacce che hanno imperversato nei mesi precedenti, principalmente Cryptomining e Trojan bancari, si concretizzano modalità di attacco aggiuntive che diversificano il target (dispositivi IoT e Fax) o che rinnovano campagne di attacco di successo come nel caso della minaccia Ursnif.

Aggiornamento minacce e vulnerabilità

Sul fronte della diffusione dei malware, in Italia, Cryptominer, worm e trojan bancari spadroneggiano con Conhive che si mantiene al primo posto nella Top 10 dei malware più diffusi, per il settimo mese consecutivo per un impatto di oltre il 14% sulle imprese locali, seguito a giugno e luglio da Cryptoloot e Conficker, mentre ad agosto sono risultati in crescita  Darkbot e Andromeda (Fonte Check Point Software Technologies).

 

Coinhive è uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero. Il JavaScript installato utilizza una grande quantità di risorse computazionali delle macchine degli utenti finali per estrarre monete e potrebbe causare l’arresto anomalo del sistema.

 

Cryptoloot utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta e rappresenta un competitor di Coinhive perche cerca di accaparrarsi più vittime del concorrente chiedendo ai siti una percentuale minore in termini di profitti.

 

Conficker è invece un worm che si diffonde sulle piattaforme Microsoft per garantire guadagni agli attaccanti con vari mezzi. Resta alta anche la presenza dei Trojan bancari con un trend iniziato da giugno secondo cui questo tipo di minaccia ha registrato un impatto globale del 50%. In particolare, al secondo posto della classifica si trova Dorkbot, un Trojan bancario IRC-worm progettato per consentire l’esecuzione di codice da remoto dal proprio operatore e il download di ulteriori malware sul sistema infetto. Ruba informazioni sensibili, lancia attacchi DoS (denial-of-service) ed ha colpito il 7% delle aziende di tutto il mondo.

 

Andromeda è un bot modulare utilizzato principalmente come backdoor per recapitare un malware aggiuntivo agli host infetti, e può essere modificato per creare diversi tipi di botnet. Anche il Trojan bancario Ramnit, che ruba credenziali bancarie e password FTP, è entrato nell Top 10.  Salito nella classifica dei Top Malware dalla posizione cinquanta alla posizione undici e diffusosi rapidamente negli ultimi due mesi, si trova Emotet, un Trojan bancario che ruba le credenziali dei conti bancari delle vittime e utilizza la macchina infetta per diffondersi.

Analizzato dai ricercatori anche l’insieme delle vulnerabilità più sfruttate dai criminali informatici: la Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) ha il primo posto con un impatto globale del 47%, seguita a luglio dalla Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638) che ha interessato il 42% delle organizzazioni. Ad agosto invece il secondo posto spetta a OpenSSL TLS DTLS Heartbeat Information Disclosure con un impatto del 41%. Il terzo posto lo raggiunge D-Link DSL-2750B Remote Command Execution.

 

In particolare, la CVE-2017-7269 viene sfruttata inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0 ed eseguendo un codice arbitrario o causando una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP. La CVE-2017-5638 è legata all’esecuzione di codice remoto in Apache Struts2 che utilizza il parser Jakarta Multipart. Un malintenzionato potrebbe sfruttare questa vulnerabilità inviando un tipo di contenuto non valido come parte di una richiesta di caricamento file. In caso di sfruttamento, si avrebbe l’esecuzione di codice arbitrario all’interno del sistema infetto.

 

La OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) è una vulnerabilità legata all’intercettazione di informazioni personali in OpenSSL. La vulnerabilità è dovuta a un errore durante la gestione dei pacchetti heartbeat TLS / DTLS che un attaccante può sfruttare per divulgare il contenuto della memoria di un client o server connesso. Infine D-Link DSL-2750B Remote Command Execution è una vulnerabilità legata all’esecuzione remota di un codice, segnalata nei router D-Link DSL-2750B. Lo sfruttamento di questa falla porterebbe all’esecuzione di un codice illegittimo sul dispositivo.

 

Dispositivi IoT e Fax come target

I dati dal Global Threat Index di luglio di Check Point mostrano un aumento, più che raddoppiato da maggio, per gli exploit che hanno come obiettivo tre delle più importanti vulnerabilità IoT, ovvero Mirai, IoTroop/Reaper e VPNFilter. Tuttavia, il trend di attacco verso gli IoT è talmente diffuso che fra le prime dieci vulnerabilità più sfruttate quelle relative agli IoT occupano il quinto posto con MVPower DVR router Remote Code Execution, settimo posto con D_Link DSL-2750B router Remote Command Execution e decimo posto con Dasan GPON router Authentication Bypass.

Queste vulnerabilità consentono a tutti gli attaccanti di eseguire codici malevoli e ottenere il controllo remoto dei dispositivi colpiti. Considerate tutte insieme sono state in grado di colpire il 45% delle organizzazioni di tutto il mondo, rispetto al 35% registrato a giugno 2018 e al 21% di maggio.

 

Fax e stampanti sotto attacco

Un diverso e forse inatteso target di attacco è quello di fax e stampanti multifunzione causato dalla falla nei protocolli di comunicazione utilizzati da decine di milioni di macchine in tutto il mondo. I ricercatori della società di sicurezza israeliana, Yaniv Balmas e Eyal Itkin, infatti, hanno trovato le vulnerabilità sia nella linea di stampanti all-in-one, HP Officejet Pro sia in altri modelli di fax e stampanti multifunzione ma anche nei più diffusi servizi online di invio fax, come per esempio fax2email che potrebbero, quindi, essere colpiti utilizzando la stessa tecnica.

 

Dopo aver ottenuto il numero di fax facilmente estraibile dai siti web aziendali, il malintenzionato manda via fax un file immagine creato ad hoc all’organizzazione. Le vulnerabilità permettono al malware (ransomware, cripto-miner o spyware) codificato nell’immagine, di essere decodificato e caricato nella memoria del fax. Il malware potrebbe quindi violare i dati sensibili o causare interruzioni diffondendosi attraverso le reti ai quali il fax è collegato. Il problema interessa potenzialmente più di 45 milioni di apparecchiature fax in uso, con 17 miliardi di fax inviati ogni anno.

La notizia è stata diffusa durante il DEF CON 26, la principale conferenza dedicata alla sicurezza e all’hacking che si svolge a Las Vegas. Avvisata della falla la società HP, ha risposto rapidamente rilasciando una patch di aggiornamento per i propri dispositivi. L’installazione puntuale delle patch unitamente alla pratica di segmentazione e isolamento della rete per aziendale, prevedendo una sottorete dedicata ai dispositivi di fax e stampa, consente di prevenire futuri problemi connessi a questo tipo di vulnerabilità.

 

Leggi anche: Faxploit | Come compromettere una rete sfruttando falle nel Fax

 

Malspam a mezzo Ursnif

Il trojan Ursnif scoperto a Luglio non ha esaurito i danni e la pericolosità ma anzi i ricercatori hanno scoperto un’altra campagna di malspam basata su Ursnif e rivolta all’Italia. Fra i dettagli è stato scoperto che il file maligno è un file VBE (VBS codificato) denominato “SCANSIONE.vbe” recapitato tramite allegati ZIP in e-mail con un oggetto che riprende il nome di documenti in italiano.

Gli attaccanti sembrano anche operare attraverso noti servizi web-mail italiani come: tiscali.it, pec.it, libero.it ma sembra possano esserne coinvolti anche altri. La catena di contagio prevede che il file VBE scarichi lo script PowerShell dalla pagina pagamentofattura\.com/ntu. La PowerShell esegue certutil.exe per scaricare il file codificato base64 camuffato come documento certificato da pagamentofattura\.com/nt.txt. A questo punto il Certutil.exe decodifica il file, lo scrive in un nuovo file denominato notepad+.exe e lo esegue. Gli indicatori di compromissione finora identificati sono:

  • pagamentofattura\.com/ntu
  • pagamentofattura\.com/nt.txt (Certificato falso)
  • 81ced08079f3d28f458ca9cdaf64249c (VBE)
  • beb5552932bfe23215c2ca1248f58184 (PowerShell)
  • 2d4092d34a5d1c864becbca80353fb95 (exe notepad+.exe decodificato)
  • Nome del file: Notepad+.exe

Hadar Waldman, Threat Intelligence Team Leader di Check Point Software Technologies Ltd, ha sottolineato come gli aggressori cerchino di sembrare italiani utilizzando termini nella lingua italiana nell’oggetto della mail e nei nomi dei file e utilizzando indirizzi email di domini del Bel Paese (ad es. Outlook.it). Anche gli obiettivi sono tutti in Italia, per il momento, sebbene non sia ancora possibile determinare l’origine effettiva degli attaccanti.

Approfondimenti:

La lista completa delle 10 famiglie di malware più attive nel mese di luglio è disponibile sul blog di Check Point, mentre ulteriori dettagli sul faxexploit sono disponibili nel comunicato specifico.

Un focus ulteriore su faxexploit e’ presente nell’articolo Startupitalia specificamente dedicato.

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter