Notizie
Attenti al Malware di Spiderman che mina i Monero
Peter Parker non è il supereroe che tutti noi conosciamo, ma un criminale informatico esperto in estrazione di cripto valute, che utilizza il nome di Spiderman associandolo al panorama minerario. ReasonLabs, un fornitore leader di software di prevenzione e rilevamento della sicurezza informatica, ha recentemente scoperto una nuova forma di malware nei computer di alcuni clienti desiderosi di guardare l’ultimo film del personaggio aracnide della Marvel.
Visti i tempi di pandemia e le restrizioni sulla libertà di circolazione che riducono la frequenza al cinema ed in alcuni casi anche l’impossibilità di usufruire dei servizi streaming a pagamento per motivi economici, molti scaricano i film dalle piattaforme Torrent che sono munite delle ultime novità cinematografiche.
Tante persone hanno scaricato il file presentato come “trapelato” dalle sale cinematografiche, ancor prima dell’uscita, identificato come: spiderman_net_putidomoi.torrent.exe. Sebbene siano consapevoli delle minacce associate ai file sconosciuti, già il fatto che il file sia un eseguibile e non un file video, dovrebbe essere facile da distinguere come desueto se non rischioso, ma, nonostante questo, i criminali sono bravissimi a far sembrare “puliti” i loro download. Si sospetta che questo specifico malware per il mining di criptovalute sia stato già sfruttato sotto altre mentite spoglie, ad oggi identificate in Spiderman, ma si sospetta che attualmente stia circolando anche come app come Discord o Windows Updater.
Cosa fa il malware Spiderman?
Il malware inserito nel torrent Spiderman: No Way Home non è attualmente elencato da VirusTotal, nonostante sia in circolazione da un po’ di tempo ed abbia già colpito numerosi obiettivi. Quando un utente scarica il file, il codice aggiunge esclusioni a Windows Defender per impedire di tenere traccia delle sue azioni, genera watchdog per la protezione e crea persistenza. Lo scopo generale del malware è estrarre Monero (XMR). Come anticipato nel rapporto annuale di Europol, è una delle criptovalute più irrintracciabili e anonime utilizzate frequentemente nel dark web e preferite dai criminali informatici.
Come scoprire se si è infetti?
Gli utenti colpiti dal malware potrebbero non notare immediatamente alcuna modifica al proprio computer. Tuttavia, poiché la tecnologia dimining attinge alla potenza della CPU, si potrebbe riscontrare una riduzione della velocità e problemi con la funzionalità generale del computer. Inoltre, è probabile che il danno si manifesti anche nella bolletta dell’elettricità, poiché i dispositivi devono assorbire energia extra per l’estrazione.
Il numero di infezioni da malware che prendono di mira i dispositivi Linux è aumentato del 35% nel 2021, solitamente a danno di dispositivi IoT con attacchi DDoS (Distributed Denial of Service).
Gli IoT, come dispositivi smart, eseguono in genere varie distribuzioni Linux e sono limitati a funzionalità specifiche. Tuttavia, quando le loro risorse vengono combinate in grandi gruppi, possono fornire massicci attacchi DDoS anche a infrastrutture ben protette.
Oltre a DDoS, i dispositivi IoT Linux vengono reclutati anche per altre attività come minare criptovaluta, facilitare campagne di posta spam, fungere da relè, agire come server di comando e controllo o persino fungere da punti di ingresso nelle reti aziendali. Insomma un piccolo esercito al servizio di chi ha le competenze e capacità di attivarli.
Un rapporto di Crowdstrike esamina i dati sugli attacchi del 2021, li possiamo riassumere così:
- Nel 2021, rispetto al 2020, si è registrato un aumento del 35% del malware rivolto ai sistemi Linux;
- XorDDoS, Mirai e Mozi sono state le tipologie di attacco più diffuse, rappresentando il 22% di tutti gli attacchi malware mirati a Linux;
- Mozi, in particolare, ha avuto una crescita esplosiva della sua attività, con dieci volte più attacchi nel 2021 rispetto al 2020;
- XorDDoS ha avuto un notevole aumento anno su anno del 123%.
Panoramica dei malware utilizzati
XorDDoS è un trojan Linux versatile che funziona in più architetture di sistema Linux, da ARM (IoT) a x64 (server). Utilizza la crittografia XOR per le comunicazioni C2, da cui il nome. Quando attacca i dispositivi IoT, XorDDoS forza i dispositivi vulnerabili tramite SSH. Sulle macchine Linux, utilizza la porta 2375 per ottenere l’accesso root all’host senza password.
Un caso degno di nota della distribuzione del malware è stato individuato nel 2021, l’autore in quel caso era Winnti ed ha distribuito oltre al malware anche altri botnet.
Vale la pena ricordare il nostro approfondimento specifico sui botnet:
Mozi è una botnet P2P che si basa sul sistema di ricerca DHT (Distributed Hash Table) per nascondere le comunicazioni C2 sospette alle soluzioni di monitoraggio del traffico di rete. Questo botnet è in circolazione da un po’, sfrutta continuamente nuove vulnerabilità ed espande sempre di più i suoi target.
Mirai è un famigerato botnet che ha generato numerosi casi critici grazie al suo codice sorgente pubblicamente disponibile e continua ad affliggere soprattutto il mondo IoT.
I vari derivati implementano diversi protocolli di comunicazione C2, ma in genere sfruttano le credenziali deboli per attacchi di forza bruta sui vari dispositivi. Nel 2021 sono state avvistate diverse varianti di Mirai come Dark Mirai, che si concentra sui router domestici e Moobot, che prende di mira le telecamere.
Mihai Maganu, ricercatore di Crowdstrike, nel report specifico afferma: “Alcune delle varianti più diffuse monitorate dai ricercatori di Crowdstrike coinvolgono Sora, IZIH9 e Rekai…Rispetto al 2020, il numero di campioni identificati per tutte e tre le varianti è aumentato rispettivamente del 33%, 39% e 83% nel 2021”.
La tendenza continuerà nel 2022
I risultati di Crowdstrike non sono sorprendenti in quanto confermano una tendenza già emersa negli anni scorsi. Ad esempio un rapporto Intezer, che analizza le statistiche del 2020, ha rilevato che le famiglie di malware Linux sono aumentate del 40% nel 2020 rispetto all’anno precedente.
Nei primi sei mesi del 2020 è stato registrato un forte aumento del 500% del malware Golang, a dimostrazione del fatto che gli autori di malware stavano cercando modi per far funzionare il loro codice su più piattaforme.
Purtroppo l’utilizzo di Golang è già stato confermato in alcuni casi di inizio 2022 ed è probabile che questa tendenza continui.
Continueremo il monitoraggio sui malware Linux anche durante il 2022 per capire le novità e tendenze per i mesi futuri.
Nella prima metà di settembre 2021, una dozzina di temi e plug-in WordPress ospitati sul sito Web di uno sviluppatore, sono stati sottoposti a backdoor con codice dannoso al fine di infettare altri siti. La backdoor ha fornito agli aggressori il pieno controllo amministrativo sui siti Web che utilizzavano 40 temi e 53 plug-in appartenenti ad AccessPress Themes, una società con sede in Nepal che vanta non meno di 360.000 installazioni di siti Web attive.
“Le estensioni infette contenevano un dropper per una shell web che offre agli aggressori il pieno accesso ai siti infetti“,
hanno affermato in un rapporto pubblicato questa settimana i ricercatori di sicurezza di JetPack, sviluppatore di plugin per WordPress. “Le stesse estensioni andavano bene se scaricate o installate direttamente dalla directory di WordPress[.]org.” Alla vulnerabilità è stato assegnato l’identificatore CVE-2021-24867. La piattaforma di sicurezza dei siti Web Sucuri, in un’analisi separata, ha affermato che alcuni dei siti Web infetti trovati utilizzando questa backdoor avevano payload di spam risalenti a quasi tre anni fa, il che implica che gli attori dietro l’operazione stavano vendendo l’accesso ai siti agli operatori di altre campagne di spam. All’inizio di questo mese, la società di sicurezza informatica eSentire ha rivelato come i siti Web WordPress compromessi appartenenti ad aziende legittime vengano utilizzati come focolaio per la distribuzione di malware, servendo utenti ignari alla ricerca di accordi postmatrimoniali o di proprietà intellettuale su motori di ricerca come Google con un malware chiamato GootLoader.
E’ stato consigliato, quindi, ai proprietari di siti che hanno installato i plug-in direttamente dal sito Web di AccessPress Themes di aggiornare immediatamente a una versione sicura o di sostituirla con l’ultima versione di WordPress[.]org.
Inoltre, è necessario che venga implementata una versione pulita di WordPress per ripristinare le modifiche apportate durante l’installazione della backdoor. I risultati arrivano anche quando la società di sicurezza di WordPress Wordfence ha divulgato i dettagli di una vulnerabilità di cross-site scripting (XSS) ora patchata che ha un impatto su un plug-in chiamato “WordPress Email Template Designer – WP HTML Mail” installato su oltre 20.000 siti Web.
Secondo le statistiche pubblicate da Risk Based Security questo mese, sono stati scoperti e segnalati ben 2.240 difetti di sicurezza nei plugin di WordPress di terze parti verso la fine del 2021, con un aumento del 142% rispetto al 2020, quando sono state rivelate quasi 1.000 vulnerabilità. Ad oggi, sono state scoperte un totale di 10.359 vulnerabilità dei plugin di WordPress.
L’ultima analisi sul malware che ha preso di mira dozzine di agenzie ucraine all’inizio di questo mese ha rivelato “somiglianze strategiche” con il malware NotPetya che è stato scatenato contro l’infrastruttura del paese e altrove nel 2017.
L’attuale attacco, soprannominato WhisperGate, è stato scoperto da Microsoft la scorsa settimana, che ha affermato di aver analizzato la campagna informatica che ha preso di mira enti governativi, senza scopo di lucro e informatici nella nazione”.
“Sebbene WhisperGate abbia alcune somiglianze strategiche con il famigerato NotPetya che ha attaccato le entità ucraine nel 2017, tra cui mascherarsi da ransomware e prendere di mira e distruggere il master boot record (MBR) invece di crittografarlo, in particolare ha più componenti progettati per infliggere danni aggiuntivi” Cisco Talos ha dichiarato in un rapporto che descrive in dettaglio i suoi sforzi di risposta.
Affermando che le credenziali rubate sono state probabilmente utilizzate nell’attacco, la società di sicurezza informatica ha anche sottolineato che l’attore della minaccia aveva accesso ad alcune delle reti delle vittime con mesi di anticipo prima che si verificassero le azioni distruttive: un classico segno di sofisticati attacchi APT.
Non Petya e WhisperGate
La catena di infezione di WhisperGate è modellata come un processo a più fasi che scarica un payload che cancella il record di avvio principale (MBR), quindi scarica un file DLL dannoso ospitato su un server Discord, che rilascia ed esegue un altro payload del wiper che distrugge irrevocabilmente i file tramite sovrascrivendo il loro contenuto con dati fissi sugli host infetti.
I risultati arrivano una settimana dopo che circa 80 siti web di agenzie governative ucraine sono stati deturpati, con le agenzie di intelligence ucraine che hanno confermato che gli incidenti gemelli fanno parte di un’ondata di attività dannose mirate alla sua infrastruttura critica, osservando anche che gli attacchi hanno sfruttato il Log4j recentemente divulgato vulnerabilità per accedere ad alcuni dei sistemi compromessi.
I Malware Linux crescono del 35% nel 2021
Non solo Log4J: WordPress sotto costante attacco. Attenti ai Plugin malevoli
Che cos’è la rete 1 INCH (1 INCH)? E’ davvero la più veloce e la più redditizia?
Bomba logica, conoscere una minaccia imprevista
Dietro gli attacchi informatici in Ucraina si nasconde l’APT Sandworm?
Che cos’è Compound (COMP)?
Guerra cibernetica in Nord Corea. Lazarus: l’apt che ha devastato banche, Tv, siti governativi e Sony
Asl Napoli 3 Sud nel panico.
FTX (FTT)? Un token di derivati crittografici
Prometeo porta l’hacking a domicilio con il software del Governo americano
VPNLAB.net chiusa dall’Europol: utilizzata per crimini informatici
Hedera Hashgraph (HBAR): un sistema alternativo alla solita Blockchain
FIN8 risorge dalla tana del “white rabbit” con un nuovo ransomware
Il gioco porno che rende i pc zombie e pronti a sferrare attacchi DDOS
Axie Infinity: un gioco di scambio e combattimento basato su blockchain
2200 Greenpass su Telegram, dati dei vaccinati a rischio. Link per scaricarli
Sesso online, sito di webcam esposto: tremano mariti e mogli infedeli
Mangia sushi e muore. Su Trip Advisor i racconti dei clienti del ristorante dell’orrore
Arrestata la Ransomware gang Revil. Venduta dalla Russia ad Usa ed Europa
Asl Napoli 3 Sud sotto un “sinistro” attacco informatico: sospesi i servizi sul Green Pass
Greenpass “falso originale”: nuovo rischio per il certificato verde
Ransomware: cos’è e come funziona la doppia estorsione?
Scarica 2200 Greenpass Italiani
Dal dark web a 4chan: il Green Pass si è bucato da solo?
Facebook, Instagram e Whatsapp down: cosa succede?
Dazn perde la sfida contro il “Pezzotto”, vittoria dell’Antistato nell’IT
Greenpass italiani falsi: l’analisi degli esperti sui 2200 certificati verdi esposti
QRishing: cos’è e come la truffa si nasconde dietro un QR Code
Attenzione ai dirottatori di browser, gli hijacker web
Attacchi zero-day, scoprirli è già troppo tardi. Anche per gli antivirus
-
Notizie2 settimane faArrestata la Ransomware gang Revil. Venduta dalla Russia ad Usa ed Europa
- Notizie2 settimane fa
Asl Napoli 3 Sud sotto un “sinistro” attacco informatico: sospesi i servizi sul Green Pass
- DeFi2 settimane fa
Come sarà il 2022 per le criptovalute? 5 possibili scenari.
- DeFi3 settimane fa
Ethereum colabrodo? Ricercatori scoprono 47 vulnerabilità sulla blockchain
- Inchieste2 settimane fa
FIN7: una “società” da 1,5 miliardi di fatturato specializzata in attacchi APT
- Editoriali2 settimane fa
Caro Riccardo Luna, non è una occasione persa, ma incapacità. Oppure volontà e quindi malafede?
- Inchieste2 settimane fa
Asl Napoli 3 vittima dei 54bb47h. Coinvolti nell’attacco Hyper-V di Windows e Paloaltonetworks
- Tech2 settimane fa
Cos’è lo smishing e come proteggersi
