MassimilianoForner.it – Live ProtectionCare Blog

Archivi per la categoria ‘Malware Analysis’

Android & Mobile Malware: La situazione e la Top 5 delle famiglie di codici maligni più diffusi

martedì, 3 gennaio 2012

Negli ultimi 6 mesi, l’andamento delle minacce malware presenti nelle tecnologie “mobile”, ha palesato un trend ormai già abbastanza chiaro, in merito ai sistemi dotati di OS Android, confermando questi come fulcro d’interesse da parte dei mobile-vyxer, in quanto parte di una considerevole fetta del market share complessivo rappresentato da questo tipo di dispositivi (a novembre, la valutazione di diffusione globale dell’OS di Google era del 52,5%), nonché dall’apertura e dai controlli marginali operati presso gli applicativi pubblicati nel market ufficiale. Le registrazioni scaturite dall’attività di monitoraggio anti-malware, han segnato un incremento di mobile-malicious code del 37%, nell’ultimo quadrimestre del 2011, confermando lo stesso trend, anche per il 1°Q del 2012. Tra le forme d’attacco più in voga, nell’ultimo periodo, è spiccato l’impiego di Trojan horse finalizzati nella sottrazione d’informazioni private e nell’invio di SMS fraudolenti, verso numeri telefonici a valore aggiunto.

Al momento i laboratori FortiGuard hanno stillato una Top 5 riguardante i principali tipi di mobile-malware identificati nel 2011:

Geinimi: Prima botnet ufficiale, ideata per sistemi Android e creata allo scopo di permettere l’invio delle informazioni geografiche ottenute dal sistema infetto, oltre a permetterne il controllo da remoto;
Hongtoutou: Trojan Horse camuffato da innocuo live wallpaper, istituito allo scopo di sottrarre le informazioni private custodite nel dispositivo, tra cui il codice IMSI (International Mobile Subscriber Identity; identificatore numerico univoco, assegnato alla singola SIM ed impiegato per contattare ed avviare una conversazione telefonica) ed imporre la visualizzazione di certi siti web, impartiti dal vyxer;
DroidKungFu: Altra botnet per sistemi Android, istituita principalmente al fine di garantire il controllo remoto da parte dell’attacker. Permette un discreto numero di operazioni eseguibili presso il terminale compromesso;
JiFake: Applicazione IM fasulla, creata allo scopo di permettere un introito economico, da parte dell’attacker, tramite la spedizione fraudolenta di SMS a numeri a valore aggiunto;
BaseBridge: Semplice Trojan Horse istituito al fine di permettere un introito economico all’attacker, tramite l’invio fraudolento di SMS a numeri a valore aggiunto. Inizialmente diffuso attraverso la collocazione di software dropper, presso l’Android Market ufficiale;

Tag:android, BaseBridge, DroidKungFu, FortiGuard Labs, Geinimi, google, Hongtoutou, JiFake, mobile, mobile-vyxer, Premium Numbers, sms, trojan horse, vyxer
Pubblicato in Malware Analysis, Malware News | I Commenti sono chiusi

[Aggiornato] Low Threat: Analisi malware Win32/Popureb

mercoledì, 29 giugno 2011

Stato News: Nuova

OS Coinvolti: Microsoft Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista

Descrizione: La famiglia di malware nota (secondo Microsoft) con il nome Win32/Popureb (o Win32/Phanta, Win32/Ghodow.NAG, Win32/Donloz, Trojan.Alipop, Trojan.Alworo secondo il naming convention adottato da altri prodotti di sicurezza anti-virale), è stata inizialmente individuata nell’Aprile del 2011.
Il malware è composto principalmente da 3 elementi, identificati come segue: Win32/Popureb.A, responsabile delle operazioni di cifratura dei settori di contenimento della copia del file maligno successivamente depositata nel sistema e di by-pass del record d’avvio principale, al fine di permettere l’esecuzione delle istruzioni detenute nei settori criptati, VirTool: WinNT/Popureb.A componente di Win32/Popureb.A, driver hook a basso livello, il cui scopo è quello d’impedire la modifica del contenuto dei settori criptati e Win32/Popureb.B, parte del malware depositata da Win32/Popureb.A nel sistema, finalizzata nella comparsa di popup di advertisement e modifica illecita della configurazione dei browser più diffusi in circolazione.

Win32/Popureb.A, durante la sua esecuzione, provvede nel depositare ed avviare un file eseguibile dal nome casuale ed estensione .tmp (file temporale di sistema in realtà fasullo), nella directory %ALLUSERSPROFILE%\my videos (cioè in tutte le cartelle “Video” dei profili-utente presenti). L’infezione procede quindi con l’inserimento, presso la directory principale di Windows (ad es. C:\Windows), del file mgr.exe (responsabile della comparsa dei popup pubblicitari e della modifica delle impostazioni dei browser più diffusi in circolazione). Viene inoltre modificato il registro di sistema nell’intento di garantire l’autoesecuzione del codice maligno, ad ogni riavvio.

La particolarità più rilevante, causa dell’inalzamento del livello di pericolosità del codice maligno in questione, da parte di Microsoft, riguarda il metodo d’inoculamento adottato dal codice maligno, il quale rende necessario il ripristino del Record di Avvio Principale, attraverso la formattazione ad alto-livello o la riscrittura dell’MBR e ripristino dei componenti principali dell’OS attraverso funzionalità quali ASR (Automated System Restore, presente nei sistemi WinXP e precedenti), Complete PC Backup (disponibile in Windows Vista) o System Image (presente in Windows Seven ed entrambi parte del Windows Backup and Restore Center dislocato nei due sistemi operativi).

I settori ove il codice maligno risiede inizialmente, risultano essere cifrati ed inaccessibili grazie alla presenza del componente VirTool: WinNT/Popureb.A, il quale impedisce ogni azione manuale da parte di tool esterni.

Tipologia/e di Malware: Boot Rootkit (BootKit), ADware, Dropper (multi-malware carrier)

Browser coinvolti:

Chrome
FireFox
Internet Explorer
Maxthon
Sogou Explorer

Note: A causa delle ridotte capacità d’infezione potenzialmente presenti nel sistema operativo, in caso di corretta configurazione del medesimo e di assenza di sfruttamento, da parte del codice maligno, di 0-day correlati a vulnerabilità non ancora corrette, durante l’opera di compromissione dei terminali, MF IT-UESC considera la minaccia “Low Threat” sebbene Microsoft riporti un livello di gravità “Severe” presso i propri bollettini di sicurezza pubblicati nel Malware Protection Center.

Cronologia Bollettino: 1.0, Creazione Bollettino 28/06/2011; 1.1, Inserito naming Symantec, Aggiornata lista OS e browser potenzialmente esposti alla minaccia 29/06/2011;

Consigli Utili

- Occorre sottolineare come l’ASR (Automated System Restore) non effettui alcuna forma di backup dei dati depositati dagli utenti, ma solamente delle informazioni necessarie al fine di permettere il ripristino del sistema ad uno stato di funzionamento precedente. L’utente deve provvedere nell’istituire altre forme di backup dei dati, al fine di ridurre la potenziale perdita dei medesimi, in caso di re-installazione del sistema operativo. Lo scopo dell’ASR infatti, è quello di permettere all’utilizzatore, la possibilità d’accesso ad un ambiente operativo sicuro e funzionante, da cui procedere nel completamento delle attività necessarie al fine di garantire un totale recupero di tutti i dati residenti precedentemente, attraverso altre soluzioni di ripristino.
L’ASR inoltre, dev’essere considerata come ultima risorsa, in quanto responsabile della formattazione della partizione contenente i file di sistema e di boot, rendendo successivamente, ogni altra forma di ripristino delle informazioni, totalmente impraticabile.
Le funzionalità di Complete PC Backup e System Image, al contrario dell’ASR, se eseguite nella maniera corretta e con cadenza periodica, provvedono nel backup totale dei file di sistema ed aree dati contenute nel terminale. Le funzionalità integrate in tale strumento però, cambiano a seconda della versione di OS installato. Solo le edizioni di Windows Vista Home Premium, Business, Enterprise o Ultimate permettono una pianificazione automatica dei backup, mentre solo Windows Vista Business, Enterprise e Ultimate supportano la funzionalità ” Complete PC Backup”.

- Il dislocamento dei dati prodotti dagli utenti, presso partizioni diverse da quelle di boot (ove in genere risiedono anche i file critici del sistema operativo), evita la perdita dei medesimi, in caso di riscrittura dell’MBR.

- A causa del tipo di malware in oggetto e suoi effetti, il grado di pericolosità è principalmente dettato dal livello di privilegi presenti nel profilo ove il codice maligno inizia la sua opera di compromissione del sistema. Account ad accesso limitato possono mitigare enormemente le capacità di danno.

- E’ consigliata la lettura degli articoli di Knowledge Base “Considerazioni di Sicurezza riguardanti la necessità d’Utilizzo di un Account Utente ad Accesso Limitato (MF Knowledge Base Article # 0207ID10)” e “Considerazioni di Sicurezza riguardanti la potenziale influenza dei Malware, negli Account Utenti ad Accesso Limitato su sistemi Windows (MF Knowledge Base Article # 0409LC10)” per maggiori informazioni a riguardo.

Tag:ASR, Automated System Restore, bootkit, Complete PC Backup, dropper, malware, mgr.exe, microsoft, multi-malware carrier, rootkit, System Image, Trojan.Alipop, Trojan.Alworo, VirTool:WinNT/Popureb.A, Win32/Donloz, Win32/Ghodow, Win32/Phanta, Win32/Popureb.A, Win32/Popureb.B
Pubblicato in Malware Analysis | I Commenti sono chiusi

OSX/MusMinim-A: Nuovo malware-backdoor per sistemi MacOSX

lunedì, 28 febbraio 2011

Negli ultimi giorni Sophos ha identificato un nuovo Remote Administration Tool (il cui codice sembra ancora essere nella fase “Beta” dello sviluppo), denominato OSX/MusMinim-A (“BlackHole RAT” per l’autore del medesimo) e ricavato da una controparte conosciuta presso i sistemi Windows con il nome di “darkComet”.

OSX/MusMinim-A presenta un’interfaccia di base riconoscibile anche dalla presenza di un mix di lingue (inglese e tedesco; fig.1).

(fig.1)

Il RAT maligno include le seguenti funzionalità:

* Posizionamento di file sul desktop
* Invio di segnali di riavvio, spegnimento, e stop (conosciuto anche come “sleep”)
* Esecuzione arbitraria di comandi da shell
* Posizionamento di finestre a pieno-schermo, contenenti messaggi ed un pulsante per richiedere il riavvio del sistema
* Invio di URL al client web per forzare l’apertura di una pagina web
* Visualizzazione di false finestre di richiesta password amministrativa, al fine di ottenere, in maniera fraudolenta, tale informazione dal videoterminalista (fig.2)

(fig.2)

Qui di seguito viene presentato un esempio del contenuto visualizzato dal malware, durante l’invocazione delle schermate, ove s’impone il riavvio del sistema da parte della vittima:

"I am a Trojan Horse, so i have infected your Mac Computer. I know, most people think Macs can't be infected, but look, you ARE Infected!
I have full controll over your Computer and i can do everything I want, and you can do nothing to prevent it. So, Im a very new Virus, under Development, so there will be much more functions when im finished."

La traduzione e l’interpretazione del testo è: “Sono un Trojan Horse ed ho infettato il tuo computer Mac. Lo so, molte persone pensano che i Mac non possano essere infettati, ma controlla pure, tu sei infetto! Ho il totale controllo del tuo computer e posso fare tutto ciò che voglio, senza che tu possa fare nulla per impedirlo. Io sono un nuovo virus, in via di sviluppo e quando verrò completato, conterrò molte più funzioni.”

(fig.3)

Solitamente, malware di questo genere viene diffuso attraverso lo sfruttamento delle vulnerabilità insite nei software di navigazione (specie se datati e non aggiornati), o in alternativa inseriti in software piratati, siti di torrent o comunque ove sia possibile effettuare il download di file eseguibili per sistemi MacOSX (anche qualora queste siano delle semplice pagine web, hackate in precedenza e dotate di link e materiali maligni a totale insaputa del webmaster e/o del possessore dello spazio medesimo).

Consigli & Considerazioni

- Sebbene l’installazione di un malware nel sistema possa rappresentare un problema per l’integrità dell’ambiente operativo e dei dati contenuti in esso, in questo caso, il codice maligno in oggetto non presenta funzionalità specifiche atte nell’impedirne la sua rimozione. Per tale motivo, la presenza di una soluzione antivirale adeguata risulta essere sufficiente al fine di debellare la minaccia in questione. Inoltre, la maggior parte delle operazioni citate dall’autore del malware, attraverso messaggi e similari, sono ottenibili anche attraverso lo sfruttamento di una semplice connessione SSh con il terminale.

- Si consiglia di mantenere aggiornati costantemente tutti i software installati nell’ambiente operativo, al fine di mitigare eventuali compromissioni perpetrate con l’intento d’inoculare il malware in oggetto.

Tag:backdoor, BlackHole RAT, macosx, malware, MusMinim, OSX/MusMinim-A, Remote Administration Tool, sophos
Pubblicato in IT Security News, Malware Analysis | I Commenti sono chiusi

OddJob: Nuovo Trojan Horse creato per colpire l’Online-Banking

mercoledì, 23 febbraio 2011

Negli ultimi giorni è stata identificata una nuova tipologia di Trojan Horse creata al fine di prendere il controllo delle sessioni di Online-Banking. Infatti, dalle analisi condotte dalla compagnia Trusteer, responsabile dell’identificazione di questo nuovo esemplare di malware (di nome OddJob), pare che il software maligno possegga capacità tali da permettere il controllo dei token ID di sessione, generati in fase di login nelle pagine d’accesso interne ai siti di Online-Banking, mantenendo le istanze attive anche dopo il logout e quindi permettendo agli attacker il controllo dei conti bancari, senza che l’utente ne sia a conoscenza ed anche qualora quest’ultimo abbia rispettato scrupolosamente le normali procedure di sicurezza (es. controllo anti-phishing, conservazione delle credenziali d’accesso in luoghi sicuri ecc.).
Questo nuovo tipo di malware presenta una forma d’approccio totalmente innovativa rispetto alle tecniche usualmente impiegate in questo genere d’attacchi, aggirando abilmente molti dei sistemi di sicurezza ormai diffusi e finalizzati al contrasto dei Trojan Horse.
Il team di ricerca della Trusteer ha identificato alcuni elementi particolari in merito al codice maligno. Pare che il software malevolo venga ampiamente sfruttato dalle organizzazioni criminali dell’Est-Europa. Inoltre il codice di programmazione, oltre a contenere delle routine introdotte al fine di permettere un suo download ed aggiornamento, presenta delle parti ancora sottoposte a sviluppo attivo da parte dei creatori. Trusteer ha infatti notato, negli ultimi esemplari del malware, l’introduzione di un nuovo engine di gestione costituito in maniera da rendere il Trojan Horse controllabile da remoto attraverso un server di Commando & Controllo (C&C), particolarità usuale nelle ZombieNet viste negli ultimi anni.
Una delle peculiarità più importanti di OddJob è la capacità d’intercettazione delle comunicazioni ed operazioni attuate attraverso il browser web, sottraendo e forzando l’inserimento d’informazioni in esso. Tale caratteristica permette il controllo remoto del software di navigazione, in tempo reale, in maniera totalmente occultata all’utilizzatore. Sfruttando quindi il Token ID di sessione generato inizialmente dall’utente, è possibile per l’attacker impersonificare la vittima, operando all’interno dei portali di Online-Banking senza alcuna difficoltà e bisogno delle credenziali d’accesso (come invece accadeva in precedenza). La capacità di OddJob nel controllare il funzionamento del Browser web inoltre, permette a quest’ultimo di proporre delle finte interfacce di logout all’utente, traendo in inganno il medesimo attraverso la comparsa di finte procedure di disconnessione dal portale di Online-Banking, quando in realtà le sessioni vengono mantenute attive, a sua insaputa.
Infine, a differenza dei malware comuni, OddJob non deposita alcuna informazione nel disco, impedendo quindi ai software di sicurezza odierni l’identificazione della minaccia e l’avviso all’utente.Le funzionalità d’aggiornamento interne infatti, permettono il download del core maligno, ogni qualvolta il browser web venga attivato, di fatto aggirando molte delle funzionalità antivirali di controllo impiegate oggigiorno.

Finora il malware sembra colpire solamente Internet Explorer e Mozilla Firefox.

Tag:account hijacking, browser web, internet explorer, Mozilla Firefox, oddjob, online banking, trojan horse
Pubblicato in Malware Analysis, Malware News | I Commenti sono chiusi

Interfaccia d’avviso “sito web maligno” utilizzata da un Trojan Scareware Ransomware diffuso su Twitter

venerdì, 17 dicembre 2010

Nelle ultime ore è stato individuato un nuovo Trojan-Scareware-Ransomware diffuso attraverso Twitter.

L’attacco viene effettuato attraverso messaggi inviati nella rete, con l’ausilio di account compromessi e sfruttando l’URL Shortener di Google goo.gl.

In caso di click presso il link pubblicato nei tweet, il browser verrà pilotato presso una pagina ov’è presente un dispositivo di controllo della sicurezza del terminale fasullo, dalle sembianze molto simili all’interfaccia d’avviso “sito web maligno” presentata da Google (fig.1):

(fig.1)

La versione contraffatta invece risulta essere (fig. 2):

(fig. 2)

Com’è possibile notare fin dalla prima analisi, la somiglianza tra le due schermate è chiaramente visibile. L’attacker, in questo caso, tenta di trarre in inganno l’utente accostando molteplici elementi legati alla sicurezza di sistema (tutti considerati importanti dall’utente inesperto). Con l’ausilio di un layout riconosciuto e noto a molti utenti, il malintenzionato tenta d’incentivare ulteriormente la confusione della vittima, allo scopo di abbattere ogni resistenza e dubbio all’operazione incoraggiata (causa in realtà dell’infezione).
In caso di click presso il tasto “Start Protection”, viene inizializzata la richiesta di download di un file denominato “Setup.exe”, contenente il Rogue AV “ThinkPoint”. La dinamica di disturbo dell’utente, nel momento d’esecuzione del malware in oggetto, è quella classica (cioè finto popup di scan, il quale identifica delle minacce fasulle residenti nel sistema e richiede l’acquisto della versione PRO del software al fine di permettere la rimozione di ogni problema individuato; definito specificatamente come comportamento da Ransomware). Questo Scareware però, si distingue dagli altri a causa della sua particolare caratteristica, finalizzata nell’infastidire la vittima attraverso il blocco della fase di caricamento finale del Desktop. Tale disturbo gioca in particolare favore all’organizzazione responsabile della creazione di questo Rogue AV, in quanto tende a provocare il pagamento della quota con maggior efficacia, da parte degli utenti, in quanto spaventati dall’apparente totale inaccessibilità ai dati precedentemente depositati nel sistema e non sempre sottoposti a backup di sicurezza.

Consigli Utili

- Il Trojan-Scareware-Ransomware/Fraud-Tool “ThinkPoint”, sebbene inizialmente intralci il caricamento del Desktop, può essere configurato al fine di disabilitare tale caratteristica, permettendo il recupero del controllo del sistema, da parte del suo utilizzatore. La disattivazione del popup invasivo visualizzato in fase di avvio infatti, è possibile impostando (presso il menù settaggi del Rogue AV) la voce “Allow unprotected startup” (permetti lo Startup non protetto).

- Il Rogue AV “ThinkPoint” è già ampiamente riconosciuto da molte soluzioni antivirali legittime. L’esecuzione della protezione antivirale precedentemente installata nel sistema, o di un’eventuale versione “portable”, adeguatamente aggiornata alle ultime definizioni antivirali, può essere sufficiente al fine di porre fine all’infezione, in maniera adeguata.

- Lo strumento utilizzato da Google per contrassegnare ed impedire l’accesso ai siti web contenenti malware e phishing (fig. 1), non può controllare il contenuto presente nei terminali, nè tantomeno consigliare l’installazione di soluzioni antivirali di alcun genere. Per tale ragione, ogni sito dotato di un layout similare, contenente elementi o frasi atte ad incoraggiare l’avvio o l’inserimento di software nel sistema (anche se all’apparenza semplici e banali, come ad es. degli applet Java), va considerato come pericoloso.

Tag:fraud tool, goo.gl, malware, rogue-av, ThinkPoint, Trojan-Scareware-Ransomware, twitter, url shortener
Pubblicato in Malware Analysis, Malware Manual Removal, Social Networks | I Commenti sono chiusi

MacOSX: Boonana Trojan & Social Network

lunedì, 8 novembre 2010

Stato News: Nuova

OS Coinvolti: Apple MacOSX 10.6 e precedenti.

Descrizione: Come vettore di diffusione primario, il trojan horse sfrutta il sistema di comunicazione e messaggistica presente nei Social Network (in particolar modo Facebook), camuffando i file d’inizio compromissione sottoforma di semplici video. I link impiegati nella fase di start-up vengono dotati di elementi di Social Engineering finalizzati nell’attrarre l’attenzione dei lettori ed indurne la fruizione.

In caso di navigazione in questi:

viene eseguito un Java Applet presso il browser della vittima, destinato all’attivazione del codice maligno;
il malware procede completando il download delle parti mancanti, tramite il reperimento delle medesime presso alcuni server remoti ;
l’installer d’inizio compromissione, scaricato durante l’ultimo step, viene eseguito automaticamente, iniziando la propria opera di manomissione del sistema, attraverso la modifica delle configurazioni presenti in esso, al fine di permettere l’accesso ai file locali, da remoto, occultare la propria presenza all’utente (sopprimendo tutte le informazioni inerenti al proprio processo e al traffico di rete generato) e garantire l’auto-esecuzione del codice maligno primario, ad ogni avvio del sistema;
nel periodo d’attività del malware, quest’ultimo provvede ad una sua ulteriore diffusione attraverso l’invio di messaggi di Spam via e-Mail e su Social Network

Durante il regolare svolgimento dell’attività infettiva, il malware contatterà periodicamente dei nodi di controllo-botnet (detti Command & Control, C&C), inviando a quest’ultimi molteplici dati riguardanti lo stato del sistema compromesso.
Il componente Java utilizzato inizialmente nella fase di start-up dell’infezione, è “platform-independent”, cioè viene avviato dal browser indipendentemente dal tipo di sistema operativo presente al momento della navigazione nella pagina d’attacco. Tale fattore sta ad indicare un certo qual tipo d’interesse, da parte dell’attacker, nell’estendere la capacità d’azione del codice maligno, a più sistemi operativi, ipotesi avvalorata anche dalla tipologia di file recuperata durante i primi step di compromissione, i quali comprendono elementi sia per MacOSX, sia per Windows.

Effetto: Compromettere il sistema al fine d’istituire di convertire quest’ultimo in nodo integrante di una Botnet maligna; provvedere nell’ulteriore diffusione del codice maligno, attraverso la propagazione di e-Mail e link finalizzati per indurre l’infezione di altri terminali.

Status: In-The-Wild in entrambe le versioni (Windows e MacOSX).

Note: La variante “b” del Trojan provvede nell’aggiornarsi dopo aver completato la prima fase di compromissione. Inoltre, sono state identificate delle funzionalità interne di Keylogging, introdotte al fine di sottrarre molteplici informazioni presenti nel sistema, tra cui le credenziali d’accesso a siti e servizi.
Occorre sottolinea come alcuni studi operati nel codice abbiano identificato delle potenziali capacità d’inoculamento anche presso sistemi Linux.

Cronologia Bollettino: 1.0, Creazione Bollettino 7/11/2010

Considerazioni & Consigli

- A causa della disiformazione diffusa in ambito delle capacità d’infezione insite nei sistemi MacOSX, erroneamente considerate nulle da parte dell’utenza comune, molto spesso i sistemi prodotti da Apple non vengono dotati di software di sicurezza antivirale, da parte dei loro utilizzatori. E’ bene però sottolineare come la millantata immunità ai software maligni più comuni, sia erroneamente attribuita a causa del diverso tipo di approccio esistente tra gli applicativi prodotti per ambienti Microsoft e quelli per ambienti Apple, nonché delle differenze concettuali di funzionamento alla base dei due OS. Tali fattori però, non devono essere assolutamente intesi come baluardo di protezione insormontabile da parte degli attacker, nella produzione di software maligni mirati nel causare danni e sottrarre dati anche in tale sistema operativo. E’ quindi consigliata l’installazione di un software antivirale, nonché il rispetto di tutte le regole pratiche di base, durante l’utilizzo saltuario del terminale Apple.

- La presenza di software di wrapping d’esecuzione, quali WineBottle e similari (differenti dalle soluzioni di virtualizzazione le quali, principalmente, tendono ad isolare virtualmente il sistema principale con quello ospite virtualizzato, impedendo il propagarsi di effetti collaterali tra i due ambienti), permette in certi casi l’esecuzione di malware scritti per Windows, anche su MacOSX. Qualora vi sia l’esigenza d’uso di software creati in primis per altri sistemi operativi, è consigliato un loro controllo attraverso degli Antivirus specificatamente studiati nell’identificare le minacce tipicamente presenti in tali ambienti.

- E’ consigliata la disattivazione dell’auto-interpretazione del codice Java, nel browser impiegato per la normale navigazione in Internet. L’utilizzo di add-on per l’esecuzione selettiva di tali parti dei siti web visitati, può rappresentare una valida alternativa di sicurezza (sempre se utilizzata in maniera responsabile).

- L’installazione di software antivirali è fortemente consigliata nel caso in cui il terminale sia dotato di più account di lavoro e quindi maggiormente esposto alla probabilità d’incontro di pagine web maligne

- Si consiglia l’adozione di Addon finalizzati nel controllo dei link visualizzati dal browser stesso, in merito alla loro veridicità e sicurezza.

Tag:boonana, facebook, macosx, OSX, social network, trojan
Pubblicato in Malware Analysis, Malware News | I Commenti sono chiusi

Trj-KoobFace: In-the-Wild una variante creata per sistemi MacOSX

giovedì, 28 ottobre 2010

Malware: OSX/Koobface.A
Rischio infezione: Ridotto
Descrizione Minaccia: Intego ha identificato una variante per sistemi MacOSX del Network Worm per Social Network (diffuso attraverso Facebook, Twitter e MySpace), KoobFace.

L’attacco all’utente viene compiuto attraverso l’utilizzo di Java applet maligni. Classificabile come malware multi-ripartito, il proprio engine di propagazione è identificabile con quello impiegato dai worm di rete più comuni. La procedura d’installazione appare sottoforma di Trojan Horse, mentre durante la fase di compromissione, il malware deposita nel sistema vari tools, tra cui un Rootkit, una Backdoor ed un sistema C&C (comando e controllo; impiegato dalle BotNet maligne presenti in rete e responsabili del volume di Spam considerevole recapitato ogni giorno nelle caselle e-Mail).

Analisi dell’Attacco

Il payload viene diffuso attraverso la divulgazione di link diretti a siti web maligni istituiti come prima parte dell’attacco, presso i Social Network più famosi (Facebook, Twitter, MySpace). In genere, l’attività di Social Engineering adottata per ingannare la potenziale vittima, sfrutta la curiosità dell’utente solitamente correlata nella visualizzazione di video presentati con descrizioni dai contenuti appetibili (es. a sfondo sessuale, shockanti ecc.). In questa variante ad esempio, all’utente vengono presentati dei contenuti apparentemente certificati da una firma digitale, con l’intento di rassicurare il navigante riguardo l’integrità degli elementi in fase di fruizione. Tale stratagemma provoca l’invocazione di un’istanza di permesso esplicitamente visualizzata dal browser, focalizzata nella necessità di accettazione del contenuto certificato presentato. Qualora la risposta fornita al prompt sia negativa, il browser provvederà nel bloccare ogni istanza d”esecuzione in fase d’attesa, impedendo l’avvio del Java applet e quindi dell’infezione, mentre al contrario, in caso d’accettazione, tale azione garantirà l’avvio delle operazioni d’infezione presso il sistema locale.
Durante la prima fase di compromissione, il malware procede effettuando il download di altri componenti maligni, collegandosi ad alcuni host remoti gestiti dall’attacker. Quest’ultimi vengono successivamente occultati presso le directory accessibili dall’account locale. I file ottenuti da remoto sono misti, per attacchi su più piattaforme (Windows, Linux ecc.).

Il rischio complessivo derivato dall’infezione è ridotto, in quanto i campioni analizzati finora riportano la presenza di vari bug insiti nel loro codice, tali da prevenire una corretta attività di compromissione nei sistemi delle vittime. In certi casi inoltre, i server maligni contattati da remoto non risultano essere disponibili o contengono files del tutto estranei alla procedura d’infezione.

Modifiche operate al sistema compromesso

In caso d’esecuzione del malware, le attività maligne compiute nel sistema ricalcano principalmente quelle perpetrate presso Windows, tra cui:

L’esecuzione in locale di un server web ed IRC
La partecipazione come nodo in una botnet maligna
La capacità di modifica del motore DNS presente nel sistema
L’esecuzione di molteplici funzioni, anche attuate attraverso il download successivo di tool maligni integrativi

Tag:apple, backdoor, botnet, c&c, hostile, java applet, koobface, macosx, ostile, OSX/Koobface.a, rootkit, social network, trojan horse, worm
Pubblicato in Malware Analysis, Malware News, Threat News | I Commenti sono chiusi

Rogue:MSIL/Zeven mima il Microsoft Security Essentials

lunedì, 6 settembre 2010

E’ stato identificato un nuovo Trojan-Scareware nella rete, identificato da Microsoft con il nome di Rogue-AV: MSIL/Zeven.

Una delle ragioni che caratterizzano il potenziale rischio insito in questo malware è la tipologia di attacco perpetrata nei confronti delle vittime, la quale sfrutta un gran numero di elementi già noti all’utente (es. interfacce software, schermate d’avviso ecc.), allo scopo d’indurre in errore l’utente ed aumentare le probabilità d’installazione del codice maligno. Il Trojan-Scareware infatti, inizia il proprio attacco identificando il tipo di Browser web impiegato dall’utente, durante la navigazione di quest’ultimo in un sito contraffatto adibito alla funzione di “starter” dell’attacco. Tramite tale controllo, la routine di compromissione iniziale sceglie la schermata di avviso-malware più idonea (cioè con layout e scritte simili ai warning tipicamente presentati all’utente, durante la navigazione in pagine web potenzialmente sospette) (fig.1, 2, 3).

(fig. 1)

(fig. 2)

(fig. 3)

Sebbene in prima analisi le pagine appaiano esattamente come quelle tipicamente impiegate dai browser, è possibile notare qualche elemento aggiuntivo insolito in esse.
In tutte e tre le versioni (Firefox, Chrome, Internet Explorer), le schermate di avviso presentano sempre delle parole comuni: “Update” (Aggiorna) e “Solution” (soluzione). In realtà i link presentati sono fittizi e tutti impostati nell’indurre il download del Rogue-AV suddetto.

In caso d’installazione del Rogue-AV, l’interfaccia appare fin da subito molto credibile, visualizzando varie funzionalità tipiche di un qualsiasi software anti-virale. Sebbene in primo acchito l’utente sia persuaso nell’ottenere dei benefici dalle operazioni compiute dall’applicativo, in realtà queste non vengono attuate realmente (fig.4):

(fig.4)

Ovviamente, come in tutte le scansioni eseguite dai Rogue-AV, i risultati di sicurezza presentano un gran numero di malware residenti nel computer della vittima, richiedendo un corrispettivo economico per la loro rimozione e ai fini dell’attivazione del relativo abbonamento istituito allo scopo di garantire all’utente la ricezione periodica delle definizioni antivirali.

In caso di acquisto della licenza, il malware avvia una pagina HTML creata al fine d’indurre l’utente nel credere che la connessione in atto sia cifrata e quindi, la procedura di pagamento veritiera. In realtà gli elementi presentati sono puramente posizionati allo scopo d’ingannare la vittima. La homepage di presentazione inoltre, è molto simile a quella ufficiale impiegata da Microsoft per il proprio tool “Microsoft Security Essentials” (fig. 5, 6). Anche in questo caso, la somiglianza tra i due siti web ha intenti fraudolenti.

(fig. 5)

(fig. 6)

Considerazioni

Com’è possibile notare da ogni elemento dell’attacco, i perpetratori tentano di sfruttare la somiglianza grafica e denominativa di uno strumento di sicurezza già noto e abbastanza conosciuto (il Microsoft Security Essential), al fine di aumentare la probabilità complessiva d’installazione del Rogue-AV, nei sistemi impiegati da utenti poco informati o accorti delle differenze presenti tra i software. Questo tipo di trend, che include la copia di marchi, icone, interfacce grafiche di prodotti noti e conosciuti alla moltitudine (anche solo visivamente), rappresenta un metodo ormai molto sfruttato dagli attacker, al fine di trarre in inganno le vittime.
In passato, proprio in questo blog era già stato presentato un caso ove non solo il Trojan-Scareware appariva molto simile alla soluzione antivirale prodotta da ESET, ma, dopo la sua installazione, tentava inoltre di sabotare le soluzioni di sicurezza lecite già attive in questo, inducendo in errore l’utente con dei falsi messaggi d’allarme, al fine di comportarne la loro rimozione consenziente. In caso l’utente ignorasse comunque i prompt inviati dal falso antivirus, quest’ultimo procedeva ugualmente nelle operazioni di rimozione forzata.
Questa situazione non solo rappresenta un serio pericolo per l’utente, in quanto i falsi tools di sicurezza sono sempre più difficili da distinguere anche visivamente, qualora la vittima non sia particolarmente esperta nel coglierne i particolari, ma introduce anche ad una condizione d’insicurezza scaturita dai tentativi aggressivi di sabotaggio nei confronti delle protezioni anti-malware installate nel sistema, sfruttando sia gli ipotetici bug residenti e derivanti dalla mancata applicazione degli aggiornamenti rilasciati dal prodottore del sistema operativo utilizzato, sia l’ignoranza dell’utente stesso, il quale, colto dalla paura della sottrazione o perdita di dati importanti, tende a fidarsi per istinto di ciò che gli viene presentato a video (specie se fiorito di termini tecnici ed elementi grafici familiari con contesti di pericolo grave ed imminente). Per ridurre l’esposizione ai rischi pertanto, è bene affidarsi sempre a tecnici preparati nel contrasto a questo genere di attacchi, più votati nel colpire l’utente, che non il sistema.

Note Aggiuntive

- L’articolo originale, scritto da Daniel Radu per il Techblog Microsoft è raggiungibile a questo Link.
- Le fotografie impiegate per questo articolo sono state ottenute da questo Link.

Tag:chrome, fake, google, internet explorer, Microsoft Security Essentials, MSIL/Zeven, rogue-av, warning page, Zeven
Pubblicato in Malware Analysis, Malware News | I Commenti sono chiusi

Archivi per la categoria ‘Malware Analysis’

Android & Mobile Malware: La situazione e la Top 5 delle famiglie di codici maligni più diffusi

[Aggiornato] Low Threat: Analisi malware Win32/Popureb

OSX/MusMinim-A: Nuovo malware-backdoor per sistemi MacOSX

OddJob: Nuovo Trojan Horse creato per colpire l’Online-Banking

Rogue:MSIL/Zeven mima il Microsoft Security Essentials

Pagine

Anti-Phishing Italia – Ultime News

Categorie

Blogroll

Meta