«
»

Monitored: Malware su falso aggiornamento di sicurezza Microsoft via E-mail

monitoredStato News: Nuova

OS Coinvolti: Microsoft Windows

Effetto: Symantec identifica il malware come Trojan Info-Stealer, altri invece come variante del ZBOT.

Descrizione: L’attacco effettuato assume una forma strutturata, comprendendo elementi di Social Engineering, Phishing e Malware Dropping & Execution. La prima fase si basa sul recapito, presso la casella email dell’utente da colpire, di un messaggio con un ind. Hostname recante la scritta “Microsoft.com” e, come soggetto del messaggio, “Windows Critical Security Update”. Nel testo dell’email viene descritta la disponibilità di una nuova patch disponibile per il sistema operativo impiegato fornendo i link per il download.
Qualora l’utente clicki nei collegamenti presentati, viene avviata la ricezione di un file (con nome simile a quello impiegato nelle patch reali di MS) precedentemente caricato presso un host remoto compromesso.

Immagini

Photobucket

Considerazioni & Consigli

- Si consiglia di cestinare immediatamente l’email, evitando di clickare sui Link URL riportati.

- Molti antivirus noti identificano la minaccia virale tramite nomi generici. Alcuni AV, tuttavia, non hanno rilevato alcun problema (in data 15/12: ClamAV, Comodo, Norman, TrendMicro)

- Microsoft non invia URL Link a chi utilizza Windows, al fine di porlo a conoscenza dei nuovi aggiornamenti di sicurezza disponibili. In caso di aggiornamento, l’OS si avvale del funzionamento del “Windows Update”, il quale, se mantenuto attivo secondo le impostazioni consigliate, provvede nell’effettuare il download di tutte le correzioni messe a disposizione da Microsoft, al fine di ridurre eventuali problemi di sicurezza o di performance del sistema.
Inoltre, i Security Bullettin emessi dai blog ufficiali non indicano mai ove scaricare patch e service pack. Piuttosto consigliano l’attivazione della funzionalità di aggiornamento automatico, in modo da evitare casi di danni derivanti da disinformazione e attacchi via phishing.

- Microsoft non è a conoscenza delle caselle e-mail attive per ogni utente di Windows (tranne nel caso in cui quest’ultimo non si sia iscritto a qualche tipo di NewsLetter o similare, presso il sito ufficiale di MS), pertanto, non verrà mai adottato tale mezzo di comunicazione per inoltrare informazioni critiche riguardo aggiornamenti e patch, in forma autonoma. La presenza dei sistemi AntiSpam, inoltre, ne ridurrebbe ulteriormente la capacità di penetrazione.

- Tramite l’uso delle e-mail, Microsoft non potrebbe effettuare i dovuti controlli anti-pirateria, nè impedire la diffusione di aggiornamenti ad utenti non dotati di OS Windows (es. Ubuntu, Fedora, MacOSX ecc.). Anche per tale motivo, MS non impiegherà mai le email come metodo di diffusione di patch e fix.

  • Share/Bookmark

Tag: , , , ,

Questo articolo è stato pubblicato il martedì, 15 dicembre 2009 alle 19:07 e classificato in Threat News. È possibile seguire tutte le repliche a questo articolo tramite il feed RSS 2.0. Sia i commenti che i ping sono attualmente chiusi.

I Commenti sono chiusi