Articoli

Nuovo Trojan in Mac OS X, sfrutta una vulnerabilità di MS Office

All’inizio di questo mese i ricercatori di AlienVault e Intego hanno rilevato un nuovo attacco che ha colpito l’organizzazione non governativa ONG Tibetana. L’attacco permetteva attraverso la visita dell’utente ad un sito Web dannoso lo sfruttamene della vulnerabilità Java CVE-2011-3544 per eseguire un Payload sul terminale della vittima.

Il Payload provvedeva a caricare nei sistemi Windows una variante del trojan Gh0st RAT, ma con sorpresa caricava nei sistemi Mac OS X un nuovo payload chiamato OSX/Lamadai.A.

Il Payload OSX/Lamadai.A ha lo scopo di infettare tutti i documenti di Microsoft Word, il trojan si attiverà all’apertura dei documenti inviando ad un server Cinese informazioni private quali IP, Nome del mac, username e password. Lo scopo è chiaramente quello di rubare informazioni private attraverso la creazione di una backdoor nel proprio terminale.
Il consiglio è quindi quello di aggiornare quanto prima il pacchetto di Microsoft Office per MAC.

La Top List dei Malware che chiude il 2011!

 

Bochum (Germania) – 09 gennaio 2012. I GData SecurityLabs rendono nota la lista dei dieci malware più attivi nel mese di dicembre  2011.  La percentuale  di diffusione nel mese conclusivo dell’anno appena trascorso  è la più bassa  ad essere stata registrata nella seconda metà dell’anno.  Di contro, però, il numero di attacchi registrati è cresciuto quasi costantemente e lo scenario dei diversi rilevamenti si fa sempre più ampio.

La classifica si rinnova con l’ingresso di due nuovi malware:  Trojan.IFrame.YX, legato alla diffusione degli adware  e Gen: Variant.Kazy.45847 che attacca il gioco per computer Anno 2070.

Riamane nella top 10, guadagnando adesso, il primo posto, l‘ Exploit.CplLnk.Gen già utilizzato da Stuxnet e ancora attivo; mentre sale in seconda posizione rafforzando, quindi,  la sua persistenza il Trojan.Wimad.Gen.1, file audio diffuso principalmente attraverso le reti di file sharing.

Dettaglio Top 10 dei malware – Dicembre 2011.

Exploit.CplLnk.Gen

Questo exploit utilizza una verifica difettosa dei file .lnk e .pif nel trattamento dei collegamenti di Windows ed è nota come CVE-2010-2568 a partire dalla metà del 2011. Non appena una versione manipolata di questi file viene aperta in Windows per visualizzare l’icona inclusa all’interno di Windows Explorer, il codice dannoso viene eseguito all’istante. Questo codice può essere caricato da un file system locale (ad esempio da un dispositivo di archiviazione rimovibile che ospita anche il file .lnk manipolato) o  tramite condivisione WebDAV su Internet.

Trojan.Wimad.Gen.1

Questo Trojan finge di essere un normale file audio .wma anche se uno di quelli che può essere riprodotto solo dopo aver installato un codec/decodificatore speciale sui sistemi Windows. Se un utente esegue il file, l’utente malintenzionato può installare tutti i tipi di codice dannoso sul sistema. I file audio infetti sono principalmente diffusi attraverso le reti di file sharing.

Java.Exploit.CVE-2010-0840.E

Questo programma malware basato su Java è un applet di download che tenta di utilizzare una vulnerabilità (CVE-2010-0840) per aggirare il meccanismo di protezione sandbox e scaricare malware addizionale sul computer. Una volta che l’applet ha ingannato il sandbox, si scarica un file .dll. Questo file non viene eseguito immediatamente ma registrato come un servizio con l’aiuto del Registro di Microsoft Server (regsvr32). Quindi, viene avviato automaticamente all’avvio del sistema.

Win32:DNSChanger-VJ [Trj]

Win32: DNSChanger-VJ [Trj] fa parte di un rootkit che cerca di proteggere altri componenti malware, ad esempio bloccando l’accesso a siti di aggiornamento per gli aggiornamenti di sicurezza e gli aggiornamenti delle firme. Qualsiasi accesso ai siti host sarà risolto a “localhost”, che lo renderà, in realtà, irraggiungibile. Questo è il motivo per cui viene chiamato DNSChanger, perché manipola risoluzioni DNS.

Worm.Autorun.VHG

Questo programma software maligno è un worm che si diffonde utilizzando la funzione autorun .inf nei sistemi operativi Windows. Utilizza supporti rimovibili come le unità flash USB o i dischi rigidi esterni. Si tratta di un worm Internet e di rete che sfrutta la vulnerabilità CVE-2008-4250 di Windows.

Trojan.AutorunINF.Gen

Si tratta di una rilevazione generica che rileva file autorun.inf dannosi, sia noti che sconosciuti. I file autorun.inf sono file di avvio che possono essere utilizzati come un meccanismo di distribuzione per i programmi informatici maligni su dispositivi USB, supporti rimovibili,  CD e DVD.

Trojan.IFrame.YX

Questa rilevazione è collegata alla potenziale diffusione degli adware ed è stata riscontrata principalmente su siti di hosting gratuito. Viene controllato se l’ IP del visitatore ha già avuto accesso al sito negli ultimi 30 minuti e se il controllo ha esito negativo, il frame avvia la “consegna” di pubblicità che può essere potenzialmente infetta.

Application.Keygen.BG

Si tratta di un generatore di chiavi molto popolare nelle reti P2P e siti warez in quanto consente (presumibilmente) l’uso di software altrimenti a pagamento. L’esecuzione di questa applicazione non è solo una questione legale, ma ha molti rischi connessi alla sicurezza.

Java.Trojan.Downloader.OpenConnection.A

Questo Trojan downloader si trova in applet Java manipolate sui siti web. Quando l’applet viene scaricata, viene generata una URL dai parametri dell’applet. Il downloader la utilizza per scaricare un file maligno eseguibile sul computer dell’utente e avviarne l’esecuzione. Questi file possono essere di qualsiasi tipo di software dannoso. Il downloader sfrutta la vulnerabilità CVE-2010-0840 al fine di bypassare la sandbox di Java e quindi scrivere i dati locali.

Gen: Variant.Kazy.45847

Gen: Variant.Kazy.45847 appartiene al gruppo di programmi potenzialmente indesiderati (PUP). Si tratta di un file .dll di nome solidcore32.dll, che viene utilizzato per crepare il gioco per computer Anno 2070. La modifica del file di gioco viene rilevato come dannoso.
Metodologia
La Malware Information Initiative (MII) si basa sulla forza della community online community ed ogni utente delle soluzioni di sicurezza di G Data ne può far parte. L’unico prerequisito è quello di attivare questa funzione all’interno dei programmi G Data. Se un attacco malware viene respinto questo evento viene riportato in maniera completamente anonima ai G Data SecurityLabs dove i dati vengono archiviati ed analizzati statisticamente.

 

Hacker Highschool – Una guida completa al mondo Hacker

Il progetto Hacker High School ha l’intento di fornire materiali istruttivi sul mondo dell’Hacking partendo dalle basi dell’etica Hacker affrontando i principali argomenti.
L’obbiettivo è quello di formare gli utenti sul mondo della Sicurezza Informatica scoprendo le principali tematiche partendo da una corretta etica Hacker, passando dalle porte e servizi di rete per finire in un capitolo dedicato alla legislatura.

Il progetto vede il patrocinio della ISECOM e anche se è datato (2005) è ancora ad oggi un ottima guida per tutti gli aspiranti Hacker, la versione Italiana è stata realizzata grazie alla partecipazione di:

Raoul Chiesa, ISECOM
Doriano Azzena, centro CSAS del progetto Dschola IPSIA Castigliano – Asti
Sophia Danesino, centro CSAS del progetto Dschola ITIS Peano – Torino
Nadia Carpi, centro CSAS del progetto Dschola ITIS Peano – Torino
Fabrizio Sensibile, OPST&OPSA Trainer, @ Mediaservice.net Srl, Torino – ISECOM Authorized
Training Partner
Claudio Prono, @ Mediaservice.net Srl, Torino – ISECOM Authorized Training Partner

È possibile scaricare i dodici capitoli del manuale attraverso i seguenti link:

Lezione 01 – Essere un hacker 26-01-05
Lezione 02 – Windows e Linux 26-01-05
Lezione 03 – Porte e Protocolli 26-01-05
Lezione 04 – Servizi e Connessioni 26-01-05
Lezione 05 – Identicazione del Sistema 26-01-05
Lezione 06 – Malware (Virus, Trojan, etc.) 26-01-05
Lezione 07 – Analisi di un attacco 26-01-05
Lezione 08 – Digital Forensics “casalinga” 26-01-05
Lezione 09 – Sicurezza nell’E-mail e Privacy 27-01-05
Lezione 10 – Sicurezza Web e Privacy 24-07-06
Lezione 11 – Le Password 27-01-05
Lezione 12 – Internet: Legislazione ed Etica 31-07-06
,

Rootkit Hunter – Lo scanner dei Rootkit

Rootkit Hunter è un software grazie al quale è possibile individuare all’interno del proprio sistema Unix eventuali RootKit. I RootKit permettono ad un malintenzionato a di avere accesso completo, di root, alla nostra macchina permettendoli di utilizzare a proprio piacimento il terminale.

RkHunter si basa principalmente su cinque fattori per determinare la vulnerabilità:

  • Comparazione del Hash MD5;
  • Analisi dei file comunemente utilizzati dai rootkit;
  • Analisi di eventuali stringhe sospette nei moduli LKM e KLD;
  • Analisi dei file invisibili;
  • Analisi dei permessi dei file

Installarlo è veramente facile, basterà effettuare il Download del software dal sito ufficiale, una volta scaricato procediamo all’estrazione dell’archivio e procediamo all’installazione da riga di comando digitando:

$ sudo ./installer.sh –install

per avviare la scansione del sistema invece basterà imputare il seguente comando

$ sudo rkhunter –check

automaticamente verrà generato un dettagliato report ad analisi conclusa.

RkHunter permette di individuare eventuali minacce ma non permette l’eliminazione, la quale sarà a nostra cura una volta determinato il nome del rootkit che ci ha infettato.

Gemini, un nuovo trojan per Android!

Lookout Mobile Security ha scovato un trojan, nome in codice “Geinimi“, che si installa all’interno del sistema grazie ad apk scritti ad hoc e scaricati da market esterni o applicazioni illegittime che ha colpito per adesso soltanto il mercato cinese.

Il trojan si comporta come quelli che conosciamo, una volta entrato all’interno del sistema tenta di creare una botnet Android e infettare altri sistemi memorizzando l’IMEI di ogni dispositivo su cui si installa, tentando una connessione ogni 5 minuti a dei domini creati appositamente che non elenchiamo.

Se la connessione riesce vengono trasmessi informazioni personali grazie ai seguenti comandi a sua disposizione:

  • Send location coordinates
  • Send device identifiers
  • Download and prompt a user to install an app
  • Prompt a user to uninstall an app
  • Enumerate and send a list of installed apps to the server

Raccomandiamo quindi di diffidare da applicazioni di terze parti di cui non conosciamo la fonte ma soprattutto il loro funzionamento.

Fonte | HDBlog

Exploiting DLL Hijack, esempi reali!

Lo scorso Agosto vi avevo introdotto la nuova tecnica di DLL Hikacking in questo articolo, ma stanotte mi sono imbattuto in un interessante articolo di Bruno Filipe che dimostra come può essere sfruttata tale tecnica nella realtà!

Utilizzando una cartella condivisa su un server SMB / WebDav

Questa è forse la tecnica più comune di come il dll hijack  viene sfruttato, sicuramente perché può essere sfruttata da remoto.  Esiste già un modulo per Metasploit che utilizza questa tecnica. Esso prevede l’inserimento in una cartella condivisa di una DLL infetta e di un file pulito con l’obbiettivo di far aprire al target il file pulito. All’appertura del file pulito realmente viene caricata la DLL infetta che procede ad installare un malware/trojan sul PC della vittima.

Un archivio compresso (. zip, . tar.gz, . rar, ecc ecc)

Questa tecnica prevede l’inserimento in un archivio di un gruppo di file più una DLL, l’obbiettivo sarà quello di far estrarre l’intero contenuto dell’archivio e procedere all’appertura di un file “pulito” che provvederà a richiamare la DLL infetta contenuta nell’archivio.

Torrent

Sicuramentr questa tecnica ha il vantaggio di avere una diffusione su grande scala pertanto è da considerarsi veramente dannosa, il principio si basa sulla precedente tecnica dell’archivio ma grazie alla difffusione dei Torrent e di un minimo di Social Engineering sarà possibile ottenere un grande numero di bersagli.

Ipotizziamo di distribuire sul canale Torrent l’ultimo album di Shakira (sicuramente richiestissimo), ovviamente l’archivio non conterrà esclusivamente l’album ma anche la DLL infetta. L’utente una volta completato il download dell’ablum provvederà ad estrarlo ed ad ascoltare l’album…ed ecco che viene caricata la DLL.

Multi Exploiting DLL Hijack

Questa tecnica prevede l’inserimento di più DLL infette all’interno di una risorsa condivisa, un archivio o un torrent in modo da aumentare notevolmente le possibilità di attaccare la vittima.

Prendendo spunto dal precedente esempio dell’album di Shakira non possiamo avere una certezza di quale player multimediale utilizza la vittima per riprodurre gli mp3 per cui inseriremo all’interno dell’archivio contenente l’album più DLL infette (ognuna per ogni lettore multimediale) dandoci così la possibilità di incrementare il buon esito dell’attacco.

Spanair 5022 del 20 agosto 2008, si schiantò a causa di un Trojan!

Il volo 5022 della Spanair si è schiantato al suolo il 20 agosto 2008 subito dopo il decollo, l’aereo avrebbe dovuto compiere la tratta dall’aeroporto di Madrid all’aeroporto di Las Palmas de Gran Canaria.

Secondo El Pais il computer centrale, responsabilie delle verifiche tecniche e della segnalazioni di eventuali problemi sarebbe stato infettato da un trojan ed avrebbe provocato il mancato allarme dei problemi che affliggevano l’aereo.

Via | DownloadBlog

Il primo SMS Trojan sbarca su Android

Il Kaspersky Lab avrebbe rilevato la presenza di un Trojan sulla piattaforma Android, denominato Trojan-SMS.AndroidOS.FakePlayer.a.

Il software portare di tale Trojan permetterebbe di caricare un leggerissimo lettore multimediale (appe 13Kb)  ma realmente sfrutterebbe il cellulare per inviare SMS a numeri di telefono premium.

Via | Kaspersky

Il Sito di Nokia Italia afflitto dal Trojan JS:Illredir

Il sito Nokia Italia è attualmente afflitto dal Trojan JS:Illredir-CB che viene richiamato da uno script java per il caricamento di un banner nella homepage.

Nel dettaglio, analizzando il codice HTML, il richiamo avviene tramite il seguente script:

<script type="text/javascript" src="/NOKIA_ITALY_4/Home/home_banner/highway2/js/swfobject.js"></script>

Sarà un falso positivo di Avast oppure vi è una reale falla sul sito internet di Nokia? Intanto vi lasciamo con uno screen shot dopo il salto…

Continua a leggere

Servizio delle Iene – Pericolo Hacker

Il 7 Aprile 2010, sul famoso programma televisivo Le Iene, è andato in onda un sigolare servizio sul mondo degli Hacker.

Nel servizio, un anonimo Hacker Italiano dimostra quanto sia “facile” penetrare nella macchina di un ignaro navigatore che apre una eMail sbagliata e subisce tutto ciò che il malfattore desidera.

Anche se non è ben visibile dal servizio è plausibile che l’Hacker sfrutta l’ormai famoso Trojan Zeus per penetrare nella macchine delle vittima.