trojan

BlackHole RAT : un malware per Mac OS X

6 marzo 2011 in Apple News, Sicurezza Informatica

E’ stato individuato da parte della società di sicurezza informatica Sophos, un malware concepito per infiltrarsi nel sistema operativo Mac OS X che permette il controllo parziale del Mac a distanza. L’antidoto per rimuovere la minaccia è già pronto ma il cracker promette che la versione definitiva sarà molto più insidiosa.

La release Beta del RAT (Remote Administration Tool) per Mac OS X che circola online al momento è ancora limitata, ma un utente malizioso potrebbe usarlo per riavviare e spegnere il computer da remoto, impartire comandi nella shell, far comparire un file di testo sulla scrivania o una finta finestra di log-in che richiede l’inserimento della password administrator.

Come tutti i trojan, anche BlackHole deve comunque trovare un modo per arrivare ad installarsi sul computer dell’utente. Antivirus o meno, sarà quindi buona consuetudine evitare l’apertura di allegati sospetti,

A quanto pare, BlackHole RAT è stato creato partendo dal codice del “collaudato” darkComet, cavallo di Troia digitale nato sui computer con sistema operativo Windows.

Secondo i ricercatori Sophos, neanche il prossimo Mac OS X Lion potrà considerasi al riparo dalla minaccia.

Mobile malware : la nuova minaccia per gli smartphone

6 ottobre 2010 in Sicurezza Informatica

Nel solo mese di settembre sono state inviati oltre 1500 files dannosi contenenti malware, virus, trojan verso smartphone.

Sono questi i dati emersi dalla riunione degli esperti di sicurezza che si sono riuniti a Arlingthon , in Texas.

Queste minacce sono potenzialmente molto gravi perché gli smartphone vengono usati anche per acquistare servizi e contenuti su Internet. Ma c’é anche il pericolo di inviare sms a pagamento all’insaputa dei proprietari.

Tim Armstrong, analista del KasperskyLab, afferma che

“il 2010 potrebbe essere l’anno del mobile malware. Assisteremo presto a infezioni seriali”

Parole che rimbombano pesanti, sopratutto se si pensa che al momento la piattaforma Symbian di Nokia è il maggiore obiettivo di questa nuova ondata di attacchi, anche se non vi sono stati casi di particolare interesse.

Attacco a LinkedIn. Social Network nel mirino!

29 settembre 2010 in Sicurezza Informatica

Problemi di sicurezza anche un’altra delle piattaforme più utilizzate del panorama Web 2.0. , il noto social network professionale LinkedIn. Da qualche ora, infatti, Cisco Security Intelligence segnala un attacco di spam che. Da ieri circolano e-mail spazzatura indirizzate ai membri della rete sociale professionale, che hanno ricevuto messaggi di posta con false richieste di contatto. Le e-mail contengono il link a una pagina web con il messaggio ‘WAITING 4 SECONDS‘, un tempo utile per infettare i PC (sistemi operativi microsoft windows ) con un malware in grado di rubare i dati personali. L’attacco è iniziato circa alle ore 12 del 27 settembre e, segnala Cisco, «Tali messaggi hanno rappresentato il 24% dello spam totale inviato in 15 minuti».

L’email chiede in particolare false richieste di contatto sul noto social network, approfittando quindi dell’ignaro click dell’utenza per avviare la pagina verso un download del tutto indesiderato

Dalle analisi di Cisco l’obiettivo di questo attacco è quello di effettuare il download e l’installazione del malware ZeuS (noto anche come Zbot) a insaputa degli utenti che vengono indirizzati verso una pagina web che mostrava un avviso .Questo è il secondo attacco di spam di questo mese di tale portata, che segue a distanza di poche settimane il worm diffuso via email intitolato “Here You Have”. Ovviamente lo scopo è sempre quello di entrare in possesso di dati sensibili, spesso riguardanti le aziende i cui profili sono presenti su LinkedIn.

Il consiglio è sempre lo stesso da tempo ormai : evitare di visualizzare qualsiasi tipo di richiesta proveniente da social network di cui non abbiamo certezza.

Secondo l’Fbi, gli autori dell’attacco sono con tutta probabilità gli stessi che nel 2009 hanno portato a termine un’operazione simile incassando oltre 100 milioni di dollari.

Twitter : Nuovo attacco

27 settembre 2010 in Sicurezza Informatica

A volte gli attacchi avvengono senza consapevolezza, ma causano ugualmente disservizi.

E ‘ il caso di un adolescente di Melbourne, Australia, che ha causato un attacco informatico al social network Twitter .

Il ragazzo, Peter Delphin , 17 anni , ha scoperto un difetto del sistema che permetteva il reindirizzamento verso altri siti.

“Ingenuamente”, ammette, lo ha rivelato in rete, scatenando però gli attacchi di milioni di utenti che hanno causato il caos nel sito per oltre 5 ore e milioni di utenti che venivano reindirizzati verso siti porno che contenevamo, ovviamente, virus e malware.

PandaLabs : Report Trimestrale sulle minacce informatiche

10 settembre 2010 in Sicurezza Informatica

I laboratori anti-malware di Panda Security hanno pubblicato il report trimestrale relativo alle principali minacce informatiche rilevate da Aprile a Giugno 2010.

Ecco una breve estratto del documento

Il 52% delle nuove minacce è rappresentato ancora una volta da Trojan

I virus tradizionali arrivano alla soglia del 25%, con una crescita del 10% rispetto ai primi 3 mesi del 2010

Viene segnalata una nuova tecnica di pishing , chiamata Tabnabbing, che consiste nello sfruttamento dei sistemi di navigazione tab dei moderni browser, al fine di ingannare gli utenti facendo credere loro di essere in una pagina lecita e quindi entrare in possesso di dati sensibili , come login e password.

Il modus operandi indicato nel documento è il seguente :

Verificare che un utente acceda a una determinata pagina Web, sfruttando messaggi spam, o via email su social network o forum, etc.
Attraverso un comando JavaScript si rileva quando un utente non sta visualizzando la pagina aperta in precedenza. Questo codice può essere usato per riscrivere automaticamente il contenuto della pagina, inclusi icona e titolo, creandone una identica all’originale.
Se dopo aver navigato su diverse pagine Web e aver aperto molti tab, l’utente volesse tornare, ad esempio, sul proprio account di Gmail, dovrebbe verificare il tab corrispondente. In questo caso, la pagina sarebbe un falso, ma l’utente non ricordando quando ha effettuato l’accesso e visualizzando la pagina di login potrebbe pensare che la sessione sia scaduta.
Quando l’utente inserisce i propri di dati di accesso, la finta pagina archivia le informazioni e riconduce poi gli utenti alla pagina originale.

Mozilla sniffer. Furto di password con un Add-on per Firefox

21 luglio 2010 in Sicurezza Informatica

Con un comunicato nel blog, Mozilla ha reso noto come un add-on , pubblicato il 6 Giugno 20010 è stato rimosso perchè pericoloso e nocivo per la sicurezza dei dati degli utenti che lo avevano installato.

Mozilla Sniffer,uno dei migliaia di add-on per Firefox, infatti trasmetteva le username e le password verso un indirizzo IP stabilito ogni volta che una form veniva compilata e inviata on line. L’IP in questione è 74.220.219.77, server localizzato in Amerca.

Questo il codice che indentifica le credenziali di accesso e le inoltra al server indicato precedentemente

Ho effettuato un trace dell’indirizzo del server che viene localizzato in America

Mozilla ha sottolineato che l’add-on Mozilla Sniffer si trovava in uno stato sperimentale tale da non essere controllato manualmente dal suo staff ( ). Ha inoltre precisato che , come tutti gli altri add-on in fase di testing, al momento del download vengono forniti degli avvisi sui potenziali rischi per la sicurezza, lasciando agli utenti la facoltà di procedere con l’installazione.

A prescindere da questo loro giustificazione appare abbastanza grave che un keylogger sia rimasto sul portale ufficiale degli add-on di Firefox per oltre un mese, un arco di tempo durante il quale, dai dati forniti da Mozilla, l’estensione è stata scaricata circa 1800 volte ed utilizzata quotidianamente da 334 utenti.

Mozilla ha già comunicato di ave provveduto ad inviare delle notifiche a tutti quelli utenti che avevano installato l’add-on incriminato, raccomandando loro di eliminarlo e di cambiare tutte le password utilizzate nel frattempo sul Web.

Mozilla ha inoltre cancellato dal suo portale la versione 3.0.1 di CoolPreviews, che a suo dire contiene una grave vulnerabilità di sicurezza causata dalla possibilità di eseguire codice Javascript da remoto. In ogni caso, è già disponibile la nuova versione rivista e corretta.

Risulta certamente singolare come l’attenzione rivolta da Mozilla nella ricerca di trojan, virus o exploit nei suoi prodotti non sia stata applicata in questo caso. Sbagliare è umano e infatti stanno lavorando a una nuova procedura per evitare che questo tipo di problema possa ripresentarsi in futuro..

Aggiornamento Segreto Anti-Trojan di OS X

21 giugno 2010 in Apple News, Sicurezza Informatica

Nell’ultimo aggiornamento 10.6.4 di Mac OS X è presente un patch, non documentato, per correggere una backdoor per possibili malware.

E’ stato aggiornato il file XProtect.plist che contiene indicazioni per identificare possibili minacce al sistema. XProtect.plist adesso ingloba le informazioni necessarie per individuare il trojan HellRTS, che viene distribuito travestito da iPhoto.

Notizie come questa destano preoccupazioni, perchè anche se al momento i sistemi Apple non siano presi di mira dagli hacker, non implica che in futuro questo possa diventare possibile.

Solitamente gli utenti Apple prendono sotto gamba la protezione dai virus, ma questa potrebbe essere la prima delle falle di sicurezza per futuri attacchi.

Apple non ha dichiarato i dettagli di sicurezza relativi all’aggiornamento, ma io credo che ogni produttore di sistemi operativi deve avere l’obbligo di rivelare i suoi utenti ogni aggiornamento relativo alla sicurezza.

Vi allego un video sulla sicurezza di Snow Leopard, prelevato dal sito di Sophos