Facebook Malware: Identificato nuovo network worm diffuso via messaggi privati e software di Instant Messagging

19 maggio 2012

Nelle ultime ore, Trend Micro ha diramato un avviso inerente l’identificazione di un nuovo network worm, diffuso sia attraverso l’ausilio dei software di Instant Messagging, connessi al sistema di chat integrato presso il social network Facebook, sia tramite allegati propagati via messaggistica privata (funzione presente nella piattaforma stessa).

Il file malevolo recapitato, risulta essere un archivio compresso (d’estensione .zip), dotato di un nome potenzialmente fuorviante (May09-Picture18.JPG_www.facebook.com.zip, secondo quanto riscontrato nei campioni ricevuti da Trend Micro). Al proprio interno, risulta contenuto un file-eseguibile, (May09-Picture18.JPG_www.facebook.com; la denominazione è presente proprio per ingannare le vittime).
Il malware contenuto nel medesimo, risulta identificato da Trend Micro come WORM_STECKCT.EVL, ed, in caso d’esecuzione, provvede sia nell’identificare la presenza in memoria di una lista di processi correlati alle più comuni e note soluzioni antivirali disponibili in commercio, procedendo ad una loro disattivazione, sia nel connettersi ad un server remoto, al fine d’indurre il download e l’attivazione nel sistema di un altro network worm, identificato come WORM_EBOOM.AC e potenzialmente capace nella raccolta delle informazioni contenute presso il sistema compromesso, nonché nella cancellazione dei messaggi pubblici e privati veicolati attraverso le piattaforme Facebook, Myspace, Twitter, WordPress e Meebo.

Social Network & Follower fasulli

18 maggio 2012

Articolo originariamente pubblicato da PMI.it

“Le aziende che cinguettano su Twitter si possono distinguere dal numero di follower; più sono è più l’immagine dell’azienda ne guadagna. Tuttavia, il numero di “seguaci” può essere ingannevole, poiché è fin troppo facile acquistare sul web imponenti pacchetti di profili; un’abitudine diffusa e dalle conseguenze assai pesanti.

Hanno suscitato scalpore le dichiarazioni di Marco Camisani Calzolari: «ho comprato, e ottenuto sul mio profilo 50.000 followers su Twitter (@marcocc) per $20 su seoclerks.com».

Le parole di Camisani Calzolari portano alla luce un fenomeno per nulla nuovo, ma che merita di essere preso in seria considerazione dalle imprese che hanno deciso di adottare tale tecnica o che intendono perseguirla in un prossimo futuro.

Innanzitutto, è possibile acquistare online  follower Twitter, accedendo a portali quali Letusfollow.com o Growfollowers.com. E’ così possibile adottare finti profili, creati automaticamente da un bot, oppure utilizzare profili veri ottenuti da appositi portali che propongono l’affiliazione come moneta di scambio, come ad esempio Seoclerks.com.

Con un prezzo normalmente inferiore ai 30 dollari per pacchetti da 50mila follower o 6mila “Mi Piace” su Facebook, è molto difficile resistere alle tentazione quando si portano avanti le proprie campagne di marketing.

Tuttavia, come ricorda Camisani Calzolari, «è tempo di cambiare le cose», poiché numerose aziende mostrano numeri falsi per una semplice questione di immagine, senza creare vero consenso e ritorno da parte di che le segue e contribuendo ad incrementare in modo fittizio la popolazione dei social network.

Un’azienda con decine di migliaia di follower può apparire “vincente”, ma ai tratta solamente di una facciata, destinata a cadere sotto il peso del ridotto coinvolgimento da parte degli utenti (fasulli), dalla scarsa attività dei follower (acquistati) o dei fan.

Le aziende, insomma, «non possono continuare a pensare che fan e like siano tutti veri, così come molte company di Internet PR devono iniziare a vendere meno fuffa…»; in ballo c’è la credibilità dell’intero sistema.”

Occorre inoltre aggiungere che la rivendita e l’acquisto di profili, creati presso i circuiti di social networking, è un attività a rischio, in quanto spesso vietata dalle policies di gestione dei medesimi servizi. Per tale motivo, eventuali acquirenti potrebbero subire danni d’immagine, blocchi permanenti (ban) o comunque accusare perdite, a seguito dell’acquisto di pacchetti-follower, successivamente disattivati in blocco dai gestori delle singole piattaforme.

Ransomware: Identificata nuova variante contenente una proposta di risarcimento fasulla, da parte della SIAE

16 maggio 2012

Nelle ultime ore, l’azienda di sicurezza informatica TGSoft, ha diramato un comunicato contenente alcune interessanti informazioni, inerenti l’evoluzione degli attacchi perpetrati attraverso malware ransomware, destinati specificatamente nel colpire l’utenza italiana. Secondo quanto riportato, al momento risulterebbero presenti In-The-Wild, alcune varianti del Trojan-Ransomware identificato da Microsoft con il nome: Trojan:Win32/LockScreen (nel link, risulta essere presente la scheda originale del malware, mentre quella descritta da questo bollettino, è una variante che conserva parte delle caratteristiche del suo progenitore), già ampiamente diffuso in tutta europa e responsabile di una nutrita pletora d’attacchi perpetrati attraverso la visualizzazione di un messaggio d’avviso alla vittima, indirizzato nell’incutere timore e nel provocare l’invio di SMS a numerazioni premium (o versamenti a conti bancari attivi presso paradisi fiscali o nazioni ove la capacità di rogatoria internazionale risulti essere inefficace), con la promessa di ricevimento dei codici di sblocco necessari al fine di permettere la restituzione del controllo dell’OS, all’utente.
In realtà, com’è stato identificato in più casi, l’esecuzione delle operazioni richieste dall’attacker, in genere tende nel risultare in una continua azione estorsiva a danno delle vittime.

Nel caso specifico identificato da TGSoft, la schermata visualizzata dal Trojan-Ransomware, appare come segue (fig. 1):

(fig. 1)

Il comunicato, visualizzato durante l’avvio del sistema, impedisce la vittima nel poter accedere regolarmente al desktop, di fatto rendendo inutilizzabile il computer, fino ad avvenuta esecuzione delle direttive impartite dal perpetratore e riportate nel testo presentato.

Nel contenuto riportato, è possibile individuare alcuni elementi che potrebbero indurre l’utente nel ritenere lecita e valida sia la sorgente del messaggio, sia le richieste avanzate (stemma SIAE, linguaggio formale, citazione di leggi e commi, informazioni apparentemente correlate alla propria connessione di rete Internet). In realtà, la formattazione ed i contenuti della pagina sono stati creati allo scopo di spaventare la vittima, al fine d’indurre la stessa (con maggior decisione), nel seguire strettamente quanto riportato dal testo. SIAE, polizia ed altri organi di Stato risultano essere totalmente estranei all’intera vicenda.

Consigli Utili

- Il computer è infetto. A seconda della tipologia di variante del ransomware attivo nel sistema, può accadere che le informazioni precedentemente contenute nell’elaboratore, risultino essere sottoposte a cifratura, da parte del malware (sempre per ragioni direttamente correlate all’atto estorsivo). Spesso, tale azione viene operata dopo un certo periodo di attività del computer. Per tali ragioni, in caso di visualizzazione della pagina presentata in fig.1, è sconsigliata l’accensione del sistema per lunghi periodi. Al contrario, si consiglia di contattare il supporto tecnico (rivenditore di fiducia o eventuale negozio d’assistenza informatica ecc.), il prima possibile, descrivendo con chiarezza quanto visualizzato dal terminale, al momento dell’avvio/riavvio.

- Si consiglia di NON PROCEDERE nell’eseguire le operazioni riportate dalla schermata, al fine di ottenere il codice di sblocco. Quest’azione infatti, non comporta la ricezione di alcuna informazione utile alla vittima, ma semplicemente il susseguirsi delle richieste d’estorsione. Inoltre, le coordinate di versamento fornite dal Vyxer, potrebbero non essere corrette, complete o al momento-utile attive (in genere, i gestori di sistemi di pagamento online, tendono nel sospendere l’accesso e l’utilizzo degli account segnalati come potenzialmente coinvolti in attività criminose).

- Al fine di ridurre l’eventuale perdita di dati derivante dall’azione operata dai Trojan-Ransomware (e dai malware, in genere), è consigliata l’esecuzione di backup periodici delle informazioni contenute nel disco rigido principale. Tale operazione può essere compiuta manualmente, o tramite l’ausilio di opportuni software (i quali, provvedono nell’attuazione delle copie periodiche dei dati, in totale autonomia).

- Il Trojan:Win32/LockScreen e relative varianti, risulta inoculato durante la normale navigazione. Per poter mitigare eventuali rischi d’infezione, si consiglia l’utilizzo di browser sicuri, adeguatamente e periodicamente aggiornati (se possibile dotati di eventuali estensioni di sicurezza, plug-in o configurazioni, destinate nell’impedire l’auto-esecuzione di script ecc.), nonché l’aggiornamento costante del software antivirale attivo nel terminale.

Apple: Rilasciato aggiornamento a QuickTime 7.7.2

16 maggio 2012

Nuova Versione Disponibile: 7.7.2

Sistemi Operativi Coinvolti: Microsoft Windows 7, Vista, XP SP2

Descrizione: L’aggiornamento risolve molteplici problemi di sicurezza, i cui più gravi possono permettere l’esecuzione arbitraria di codice o l’interruzione inaspettata dell’applicativo.

Note: Nessuna nota aggiuntiva disponibile.

Cronologia Bollettino: 1.0, Creazione Bollettino 16/05/2012

Consigli & Informazioni

- Si consiglia l’aggiornamento all’ultima versione del software, al fine di mitigare eventuali problemi di sicurezza e migliorare le performance complessive dell’applicativo.

- Versione software consigliata per ambienti di produzione.

Apple: Pubblicati il Flashback Removal Security Update ed il Leopard Security Update 2012-003

16 maggio 2012

Soggetti Coinvolti: Mac OS X 10.5.x (tutte le versioni, dalla 10.5.0 alla 10.5.8; Leopard)

Descrizione: A causa della rapida ed estesa diffusione del malware Flashback, per sistemi MacOSX, Apple ha provveduto nel rilasciare degli aggiornamenti di sicurezza out of band anche per l’ormai obsoleta versione del proprio sistema operativo, 10.5 Leopard. L’installazione dei contenuti del bollettino di sicurezza è da considerarsi prioritario.
L’aggiornamento di sicurezza 2012-003 (10.6 e 10.7 hanno già ottenuto un’adeguata risoluzione al problema, con l’ultimo update rilasciato per tali piattaforme), provvederà nel disabilitare le versioni datate del plug-in Adobe Flash Player, integrato nel sistema, qualora risulti uguale o inferiore alla release 10.1.102.64. Verrà inoltre fornito un link all’utente, al fine di promuovere l’installazione delle ultime versioni del plug-in, direttamente dal sito principale di Adobe.

Note: Il tool di rimozione del malware Flashback, provvederà nell’effettuare una scansione del sistema, alla ricerca di tracce delle varianti note correlate al codice virale in oggetto. Qualora l’OS risultasse non affetto da tale tipologia di minaccia, l’utilità non fornirà alcun messaggio informativo all’utente. A differenza di quanto accade nei sistemi Snow Leopard e Lion, gli utenti dotati di OS 10.5, devono provvedere nella disattivazione manuale dei plug-in Java installati ed impiegati durante la navigazione, al fine di ridurre l’esposizione al malware.

Cronologia Bollettino: 1.0, Creazione Bollettino 16/05/2012

Consigli & Informazioni

- Si consiglia l’aggiornamento complessivo del sistema (ed eventuali suoi applicativi secondari) all’ultima versione resa disponibile dalla software house, al fine di mitigare eventuali problemi di sicurezza e migliorare la sicurezza e le performance complessive dell’OS.

- I seguenti aggiornamenti risultano essere disponibili, attraverso il consueto tool “Software Update”, già integrato nel sistema operativo.

- Versione software consigliata per ambienti di produzione.

Google Chrome: Disponibile aggiornamento alla versione Stable 19

15 maggio 2012

Nuova Versione Disponibile: 19 (per Windows, Linux, MacOSX, Chrome Frame)

Descrizione: L’aggiornamento principalmente introduce una novità, denominata “Sync Tab”, la quale permette la sincronizzazione delle tab attive presso il browser, in tutti i dispositivi interconnessi con lo stesso account. Sono state inoltre corrette molteplici vulnerabilità di sicurezza e stabilità dell’applicazione.

Note: L’aggiornamento risolve un totale di 20 vulnerabilità, di cui: 2 presenti nella versione del prodotto, disponibile per sistemi Linux, 1 per sistemi Windows e, più in generale, 8 problemi di livello “High”, 7 di livello “Medium”, 5 di livello “Low”;

Cronologia Bollettino: 1.0, Creazione Bollettino 15/05/2012

Consigli & Informazioni

- Si consiglia l’aggiornamento all’ultima versione “Stable” del browser, al fine di mitigare eventuali problemi di sicurezza e migliorare le performance complessive dell’applicativo.

- Versione software consigliata per ambienti di produzione.

CLUSIT: Rapporto della sicurezza informatica aziendale nel 2012

14 maggio 2012

Articolo originariamente pubblicato da PMI.it

L’ultima edizione del Rapporto CLUSIT (Associazione Italiana per la Sicurezza Informatica) fotografa un’Italia ancora claudicante sulla sicurezza informatica, soprattutto tra le PMI.

Lo scenario globale vede un preoccupante aumento della quantità e minacciosità degli attacchi informatici. Il 2011 è stato l’anno del Security Breach e  l’Italia non ha fatto eccezione, a causa del cosiddetto “attivismo informatico” (hacktivism), fenomeno emergente che se non altro ha contribuito ad innalzare il livello di attenzione tra i più esperti.

Per tutti gli altri, invece, valgono i dati statistici diffusi al Safer Internet Day di febbraio: in Italia solo il 2% degli utenti Internet è consapevole dei rischi ed è capace di proteggersi, mentre il 71%, pur disponendo di una protezione di base, non ha sufficienti competenze per difendersi dal furto o uso improprio di identità digitale, rimanendo esposto anche a truffe online di ogni tipo.

Le minacce

Nell’immediato futuro le minacce previste si concentrano sul settore Mobile (con attacchi malware pensati per smartphone e tablet), sui Social Network (dove gli utenti tendono ad esporre in maniera poco consapevole la propria identità digitale) e nel “vergine” ambito Cloud (dove i cyber criminali potrebbero tentare di prendere il controllo di infrastrutture per poi passarne l’utilizzo ad altri gruppi criminali).

Le attività che si vanno delineando vanno dal comune phishing all’hactivism, passando da spionaggio e sabotaggio fino alla cosiddetta Psycological warfare (PsyOp).

La situazione nelle PMI

Tra le PMI, depositarie del migliore know-how in termini di made in Italy, è in aumento il rischio di cyber spionaggio industriale. Peccato che siamo del tutto impreparate a fronteggiare questo genere di minacce, spesso perpetrato da economie che hanno costi di produzione inferiori.

La sicurezza ICT nelle PMI italiane è spesso pessima: recenti ricerche (fonte Assintel) evidenziano che solo una piccola quota di aziende è consapevole dell’importanza strategica della tutela di informazioni e sistemi digitali.

Tuttavia, I rischi percepiti riguardano solo disservizi, guasti, malware e minacce interne (causate dal personale) a scapito della percezione verso le minacce esterne. Ci è dovuto ad una scarsa diffusione di informazione sulle reali proporzioni dei rischi e degli attacchi in atto: illudendosi di un basso impatto, quindi, le PMI sottovalutano il problema.

Le PMI delegano il problema sicurezza ai fornitori ICT ma è in genere un errore: perché le imprese non sono spesso in grado di definire il livello di sicurezza necessario e i provider ICT non mettono la security come elemento imprescindibile dalla soluzione offerta. Spesso l’esigenza di abbassare il prezzo o di scegliere il fornitore che costa meno, unitamente all’incapacità di valutare correttamente la competenza specifica, causa la scelta di prodotti software e/o servizi in cui il livello della sicurezza e’ scadente.

L’unica nota positiva è l’introduzione della normativa sulla privacy che ha obbligato le PMI a rendersi conformi nel trattamento dei dati personali mediante l’introduzione di credenziali verso i sistemi aziendali, la sistematizzazione del ricorso agli antivirus e l’aggiornamento automatico del SW (patching).

La gestione della sicurezza è dunque ancora piuttosto lontana da un livello adeguato, per cui si consiglia di mantenere alto almeno il livello di aggiornamento, attingendo alle informazioni fornite da quegli istituti come il CLUSIT, che contribuiscono alla divulgazione oggettiva delle minacce.

Apple: Rilasciato nuovo Security Update 2012-002 & Service Pack 10.7.4

11 maggio 2012

Sistemi Operativi Coinvolti: Apple MacOSX 10.7.3, 10.6.8

L’aggiornamento di sicurezza per MacOSX risolve molteplici problemi di sicurezza, tra cui:

  • Una vulnerabilità (CVE-2012-0652) potenzialmente sfruttabile al fine di permettere l’ottenimento illecito delle informazioni custodite nel terminale, da parte di un utente malevolo, attraverso amministrazione remota o accesso diretto ad esso;
  • Una vulnerabilità (CVE-2012-0649) potenzialmente sfruttabile al fine di permettere l’esecuzione di codice arbitrario;
  • Una vulnerabilità (CVE-2011-3389) potenzialmente sfruttabile al fine di decrittare le informazioni trattate attraverso protocollo SSL;
  • Una vulnerabilità (CVE-2012-0036) potenzialmente sfruttabile al fine di permettere l’inserimento di dati malevoli, presso il sistema, attraverso la manipolazione delle URL e l’utilizzo concomitante di una funzionalità integrata nel sistema;
  • Una vulnerabilità (CVE-2012-0651) potenzialmente sfruttabile da remoto, al fine di permettere l’accesso all’attacker, d’informazioni sensibili riguardanti la struttura della rete ed i sistemi che la compongono;
  • Una vulnerabilità (CVE-2012-0642) potenzialmente sfruttabile al fine di causare il shutdown anomalo del sistema, attraverso il montaggio d’immagini del sistema malevoli (create ad uopo per tale finalità);
  • Due vulnerabilità (CVE-2011-0241CVE-2011-1167) potenzialmente sfruttabili al fine di comportare il crash anomalo del sistema, o l’esecuzione arbitraria di codice, attraverso la visualizzazione di file TIFF malevoli;
  • Due vulnerabilità (CVE-2011-2692CVE-2011-3328) insite nelle librerie di sistema, potenzialmente sfruttabili al fine di permettere l’accesso illecito, da parte dell’attacker, alle informazioni custodite nel sistema;
  • Una vulnerabilità (CVE-2011-3212) correlata all’uso della funzionalità “FileVault”, la quale provvede nella conservazione di parte delle proprie informazioni di funzionamento, in modalità non-sicura;
  • Due vulnerabilità (CVE-2011-1777CVE-2011-1778) potenzialmente sfruttabili al fine d’indurre il crash anomalo del sistema, o l’esecuzione arbitraria di codice, in caso d’estrazione di un file-archivio malevolo, specificatamente creato a tale scopo;
  • Una vulnerabilità (CVE-2012-0654) potenzialmente sfruttabile l’esecuzione arbitraria di codice o il crash anomalo del sistema, attraverso l’interazione con un certificato di sicurezza X.509 malevolo;
  • Una vulnerabilità (CVE-2012-0655) potenzialmente sfruttabile al fine di permettere la lettura illecita d’informazioni cifrate o la generazione di dati, identificati provenienti da una sorgente autentica, ma in realtà fasulla/malevola;
  • Quattro vulnerabilità (CVE-2011-1944CVE-2011-2821CVE-2011-2834CVE-2011-3919) potenzialmente sfruttabili al fine d’indurre il crash anomalo del sistema, o l’esecuzione arbitraria di codice, qualora la vittima visualizzi dei siti web malevoli;
  • Una vulnerabilità (CVE-2012-0656) potenzialmente sfruttabile solamente qualora, presso il sistema, risulti essere attivo l’utente “Guest”, e d’efficacia tale da garantire all’attacker il login tramite un account regolare nel terminale, senza l’inserimento della relativa password;
  • Tre vulnerabilità (CVE-2011-4566CVE-2011-4885CVE-2012-0830) insite nelle librerie PHP implementate nel sistema, la più grave delle quali può permettere l’esecuzione arbitraria di codice;
  • Una vulnerabilità (CVE-2012-0657) correlata al browser web Safari, potenzialmente sfruttabile al fine di permettere l’esecuzione dell’applicativo, in maniera illecita;
  • Una vulnerabilità (CVE-2012-0658) potenzialmente sfruttabile al fine d’indurre il crash anomalo dell’applicativo o l’esecuzione arbitraria di codice, in caso d’esecuzione di un file-video malevolo, in fase di download progressivo a seguito di una sua proiezione in streaming;
  • Dee vulnerabilità (CVE-2012-0659CVE-2012-0660) potenzialmente sfruttabile al fine d’indurre il crash anomalo dell’applicativo o l’esecuzione arbitraria di codice, in caso d’esecuzione di un file multimediale MPEG malevolo;
  • Una vulnerabilità (CVE-2012-0661) potenzialmente sfruttabile al fine d’indurre il crash anomalo dell’applicativo o l’esecuzione arbitraria di codice, in caso d’esecuzione di un file video malevolo;
  • Tre vulnerabilità (CVE-2011-1004CVE-2011-1005CVE-2011-4815) insite nelle librerie Ruby installate nel sistema;
  • Due vulnerabilità (CVE-2012-0870CVE-2012-1182) potenzialmente sfruttabile al fine d’indurre il crash inaspettato del sistema, o l’esecuzione arbitraria di codice, attraverso un azione di rete malevola, diretta nel colpire le condivisioni attive presso il terminale;
  • Una vulnerabilità (CVE-2012-0662) sfruttabile al fine d’indurre il crash inaspettato del sistema, o l’esecuzione arbitraria di codice, attraverso la manipolazione malevola del framework di sicurezza integrato nel sistema;
  • Una vulnerabilità (CVE-2012-0675) correlata al sistema di backup “Time Machine”, se impiegato via rete e collegato a dei dispositivi Airport, e potenzialmente sfruttabile al fine di permettere l’ottenimento delle credenziali d’autenticazione;
  • Una vulnerabilità (CVE-2011-2895) potenzialmente sfruttabile al fine d’indurre il crash inaspettato del sistema, o l’esecuzione arbitraria di codice, correlata al sistema grafico integrato nell’OS;

Note: La nota inerente la correzione alla vulnerabilità CVE-2012-0652, corrisponde con il problema descritto dall’articolo di blog 4207, pubblicato l’8 Maggio 2012. Apple ha rilasciato l’articolo TS4272 (in inglese), appositamente indirizzato nel permettere la risoluzione specifica del problema di sicurezza.

Cronologia Bollettino: 1.0, Creazione Bollettino 11/05/2012

Consigli & Informazioni

- Si consiglia l’aggiornamento tempestivo all’ultima versione del sistema, al fine di mitigare eventuali problemi di sicurezza e migliorare le performance complessive di funzionamento.

- Se la funzionalità Aggiornamenti automatici è già abilitata nel sistema, l’utente non dovrà intraprendere alcuna azione, poiché il sistema provvederà nel download e nell’applicazione di tutte le correzioni, in forma totalmente automatica. In caso contrario, sarà necessario provvedere nell’installazione manuale delle singole patch. A riguardo, per maggiori approfondimenti, si consiglia la lettura dell’articolo di Knowledge Base “Motivazioni inerenti alla necessità d’Aggiornamento dei Sistemi Operativi impiegati nei terminali, attraverso le funzionalità integrate di Update Automatico (MF Knowledge Base Article # 0110FG10)“.