Il provider olandese XS4ALL ha infatti scoperto che alcuni suoi clienti dotati di iPhone sono infettati da un programma che tenta attivamente di intrufolarsi negli iPhone altrui, saccheggiando i loro archivi di SMS alla ricerca di messaggini usati per autenticare le transazioni bancarie.

L’attacco funziona soltanto sugli iPhone che sono stati sbloccati dagli utenti usando i vari sistemi di jailbreaking disponibili in Rete per potervi installare software (in particolare SSH) senza dover passare dalle autorizzazioni (e dalle casse) di Apple, e soltanto se l’utente è stato così malaccorto da non cambiare la password di root standard del telefonino.

Leggi tutto l’articolo di Paolo Attivissimo

Sono queste alcune delle domande a cui risponde la guida messa a punto dal Garante per la privacy “Social Network: Attenzione agli effetti collaterali”. Non un manuale esaustivo, ma un agile vademecum sia per persone alle prime armi, sia per utenti più esperti, pensato per aiutare chi intende entrare in un social network o chi ne fa già parte a usare in modo consapevole uno strumento così nuovo.

La guida è organizzata in quattro capitoli pensati in forma modulare, così da offrire a tutti i lettori elementi di riflessioni e consigli, adatti alla propria formazione e ai differenti interessi.

1. Avviso ai naviganti

Spunti di riflessione sul funzionamento dei social network e su alcuni dei principali rischi che si possono incontrare nell’uso dei social network.

2. Ti sei mai chiesto?

La semplice check list che ogni utente dovrebbe controllare prima di pubblicare su Internet i propri dati personali, le informazioni sulla propria vita e o su quella delle persone a lui vicine.

Per facilitare la lettura, le domande sono raggruppate in cinque sezioni, in base al tipo di lettori cui ci si rivolge: ragazzi, genitori, persone in cerca di lavoro, “esperti” e professionisti. In realtà, anche gli utenti esperti possono trovare domande interessanti nella sezione dedicata ai ragazzi, e viceversa.

3. Consigli per un uso consapevole dei social network

Il “decalogo” stilato dal Garante, con consigli utili per tenere sotto controllo i pericoli che si possono incontrare nell’uso dei social network.

4. Il gergo della rete

La spiegazione, rigorosamente non tecnica, dei termini informatici o delle espressioni gergali che si incontrano con maggiore frequenza nelle “reti sociali”.

L’opuscolo in formato cartaceo può essere richiesto all’Ufficio relazioni con il pubblico, Piazza di Monte Citorio n. 123, lunedì-venerdì ore 10,00-13,00 e-mail: urp@garanteprivacy.it

La guida è disponibile anche presso i maggiori uffici postali italiani.

Leggi l’articolo di Michele C. Soccio su oneITsecurity

Il file .zip inviato in allegato contiene un file eseguibile “module.exe” che, una volta lanciato, istalla un cavallo di Troia. L’obbiettivo principale del software maligno è quello di spiare i dati delle carte di credito e i dati di log-in per l’online banking. Il Trojan identificato come Trojan.Win32.Sasfis.vbw si connette a diversi server situati in Ucraina o negli Stati Uniti per trasmettere i dati rubati e scaricare ulteriore malware. I nomi delle più grandi aziende americane come Microsoft, Citrix, Delta Airlines, Starbucks, Yahoo, Novell, Black & Decker e Avis sono artatamente utilizzati come mittenti di queste mail.

Stando a quanto riportato sul proprio blog, lo studente Anil Kurmus dichiara di essere riuscito a rubare la password di un account Twitter mediante un attacco man-in-the-middle. Quello che sembrava una vulnerabilità più teorica che pratica, ha trovato a quanto pare una reale “applicazione”.

Kurmus è riuscito a sfruttare il bug, iniettando del codice che tramite le Twitter API effettuasse il dump del contenuto della richiesta http e lo pubblicasse come Tweet una volta decrittato.

Leggi l’articolo su oneITsecurity

Negli ultimi due anni abbiamo parlato spesso di quei programmi che dicono di fare una cosa, e poi ne fanno un’altra. I più noti tra loro sono senza dubbio i falsi antivirus, che avvisano l’utente della presenza di virus o malware nel computer, ma in realtà non individuano (né rimuovono) un bel niente. Hanno infatti un’altra funzione: convincere l’utente della presenza di inesistenti minacce per il computer e spingerlo a pagare per l’attivazione di un “programma antivirus”. Questo tipo di programma, secondo la classificazione di Kaspersky Lab, si chiama FraudTool e appartiene alla classe dei RiskWare.

La finestra principale di FraudTool.Win32.SpywareProtect2009

Si tratta di programmi molto diffusi, e la loro popolarità tra i truffatori è in continua crescita. Mentre nella prima metà del 2008 gli specialisti di Kaspersky Lab avevano individuato circa tremila falsi antivirus, nello stesso periodo del 2009 la cifra è lievitata fino a raggiungere i 20.000 esemplari.

I metodi principali di diffusione

Per cominciare diamo un’occhiata al modo in cui i falsi antivirus finiscono nel computer dell’utente-vittima. Per la diffusione utilizzano certamente gli stessi metodi della maggior parte dei malware, ad esempio il download all’insaputa dell’utente, con l’aiuto di Trojan-Downloader, e lo sfruttamento di vulnerabilità di siti compromessi/infetti.

Ma non è tutto qui: molto spesso è proprio l’utente a scaricare sul proprio computer FraudTool. Per ottenere questo scopo, i cybercriminali utilizzano programmi speciali (Hoax) e pubblicità su Internet.

Hoax è un altro dei tanti programmi truffa: la sua principale funzione è convincere l’utente della necessità di scaricare un antivirus “magico” per risolvere i problemi, ma anche di installare il programma fittizio nel sistema (anche se l’utente dovesse rifiutarsi di farlo!).

Gli Hoax si scaricano sui computer principalmente grazie all’aiuto dei backdoor oppure sfruttando le vulnerabilità del sito. Dopo l’installazione del programma compare una finestra che informa l’utente della presenza di molti errori nel sistema, o del fatto che il registro è stato danneggiato oppure ancora che qualcuno si sta impossessando dei suoi dati riservati.

Finestra visualizzata da Hoax.Win32.Fera sullo schermo del computer

Questa schermata mostra un falso avviso di possibile infezione del computer da parte di spyware, e richiede l’installazione di uno “spyware remover”. Indipendentemente dalla risposta dell’utente, il programma procede con l’installazione di FraudTool.

Per la diffusione dei falsi antivirus i truffatori utilizzano anche le pubblicità su Internet. Al giorno d’oggi la gran parte dei siti usa banner informativi che parlano di nuovi prodotti antivirus, vere bacchette magiche capaci di risolvere una miriade di problemi. Va detto però che anche in numerose risorse Web non illegali e ad alto livello di affidabilità è possibile trovare banner lampeggianti o pubblicità Flash dei “nuovi antivirus”, e capita anche spesso che durante la navigazione in Internet appaiano pop-up che offrono la possibilità di scaricare gratuitamente un nuovo antivirus, come nella schermata che vi mostriamo di seguito.

Finestra visualizzata dal browser Opera sullo schermo del computer

Di regola, queste finestre non offrono alcuna scelta all’utente, ma contengono solo il pulsante «OK» o «YES». Ma anche in quei casi in cui apparentemente viene offerta una scelta, il falso antivirus viene installato comunque, indipendentemente dal tasto premuto dall’utente.

Di recente gli specialisti di Kaspersky Lab hanno identificato la procedura di download dinamico del falso antivirus. In un indirizzo, ad esempio ********.net/online-j49/yornt.html, viene collocato uno script che al successivo passaggio genera un indirizzo del tipo http://******. mainsfile.com.com/index.html?Ref=’+encodeURIComponent(document.referrer).

L’indirizzo generato dipende dal sito da cui proviene l’utente prima di raggiungere la pagina con lo script (ciò è possibile grazie alla funzione document.referer). Nel nostro caso l’accesso è stato effettuato da http://easyincomeprotection.cn/installer_90001.exe, dove gli specialisti di Kaspersky Lab hanno individuato il nuovo antivirus falso FraudTool.Win32.AntivirusPlus.kv.

La diffusione dinamica permette ai cybercriminali di nascondere l’indirizzo IP della pagina da cui vengono scaricati i malware, ostacolando così la ricezione dei file dal produttore degli antivirus e, di conseguenza, la loro individuazione. Questo tipo di diffusione è utilizzato anche da molti worm e virus.

Ad esempio il worm Internet Net-Worm.Win32.Kido.js, da cui poi sono stati sviluppati intere botnet, utilizza la tecnologia DDNS, e inoltre scarica e installa sul sistema il falso antivirus FraudTool.Win32.SpywareProtect2009.s. Ciò dimostra che, molto probabilmente, lo stesso gruppo di autori di virus che sviluppa i worm Internet si occupa anche di falsi antivirus, questo perché i primi vengono utilizzati per spianare la strada all’installazione dei secondi.

Obiettivo: seminare il panico

Abbiamo chiarito come fanno i falsi antivirus ad arrivare nel sistema. Resta da stabilire cosa fanno realmente dopo l’installazione.

Prima di tutto c’è la scansione del sistema. Durante la scansione il falso antivirus invia una sequenza di messaggi pensata in modo geniale, ad esempio: errore di Windows, individuazione di un malware, necessità di installare un antivirus. A volte, per illudere l’utente in modo convincente dell’efficacia del programma, insieme al falso antivirus viene installato anche un file speciale che viene poi rilevato durante la “scansione”.

Il falso antivirus si offre di correggere tutti gli eventuali errori rilevati e di rimettere a posto il sistema… ma a pagamento! Tanto più l’imitazione di un autentico e legale software antivirus è ben realizzata, tanto maggiori saranno le possibilità, per i truffatori, di venire effettivamente retribuiti per il “lavoro” dello pseudo-antivirus.

Vediamo ad esempio come funzionano FraudTool.Win32.DoctorAntivirus e FraudTool.Win32.SmartAntivirus2009. Le seguenti schermate mostrano chiaramente come tali malware rilevino problemi che non esistono in Windows XP Professional Service Pack 2, e addirittura chiedano di pagare per l’attivazione del prodotto. DoctorAntivirus, ad esempio, ha trovato 40 backdoor, Trojan e spyware e ci ha avvisato che la loro presenza poteva causare errori di sistema. Un programma simile, SmartAntivirus2009, ha individuato ancora più problemi oltre a segnalarne la pericolosità.

Risultati della “scansione” del sistema da parte dei falsi antivirus
DoctorAntivirus 2008 (a sinistra) e Smart Antivirus 2009 (a destra)

In entrambi i casi, se si preme il pulsante di rimozione delle minacce compare una finestra che propone l’acquisto di un altro prodotto fittizio. Se l’utente decide di acquistare il presunto “antivirus”, gli verranno offerte diverse modalità di pagamento: PayPal, American Express e così via. Dopo il pagamento l’utente riceve il codice per la registrazione e, per non suscitare sospetti, entrambi i programmi verificano che il codice di registrazione usato dall’utente sia corretto e rifiutano eventuali codici immessi a caso.

La proposta di attivazione di FraudTool.Win32.DoctorAntivirus
(a sinistra) e FraudTool.Win32.SmartAntivirus 2009 (a destra)

È evidente che le finestre di attivazione di DoctorAntivirus e di SmartAntivirus2009 sono praticamente identiche. Questo ci fa pensare che gli sviluppatori di programmi di questo tipo probabilmente utilizzano un generatore di codice, che modifica solo alcune stringhe e gli stili delle finestre lasciando tutto il resto uguale.

Di regola l’avviso della necessità di pagare per la scansione viene inviato sotto forma di richiesta di attivazione di una versione di prova, come nella schermata riportata qui di seguito. All’utente inoltre viene promesso un prodotto di alta qualità, corredato di assistenza tecnica post “attivazione”.

Finestra con offerta di attivazione di un falso antivirus,
generata da FraudTool.Win32.AntiMalware2009

La schermata successiva mostra una finestra con l’offerta di attivazione di Smart-Anti-Spyware, da cui si deduce chiaramente l’origine russa del prodotto offerto. Decisamente interessante la modalità di pagamento: SMS a un numero breve (a pagamento). È opportuno ricordare che l’estorsione di denaro agli utenti per mezzo dell’invio di un SMS a un numero breve è pratica comune nei diversi sistemi di truffa informatica usati nell’Internet russa.

Smart- Anti-Spyware: il miglior alleato di ogni utente!
Per riparare tutto ciò che non va nel computer e ottimizzarne il funzionamento, è necessario acquistare la versione completa. Per acquistare, invia un SMS con il testo “+q007” al numero 1171. Immettere il codice che verrà visualizzato nel seguente form:
Ripara e ottimizza.

La catena di montaggio

Come visto in precedenza, l’aspetto esteriore e le strutture di alcune finestre generate da falsi antivirus distinti sono in realtà praticamente identiche tra loro. È probabile quindi che gli autori di questi tipi di programmi utilizzino lo stesso generatore di codice per svilupparli.

È importante notare che per contrastare gli veri antivirus, quelli falsi si avvalgono degli stessi meccanismi utilizzati in diversi worm e virus polimorfi, ovvero: con la cifratura dei dati nascondono le parti principali del programma che, di solito, contengono link e stringhe in bella vista. Per far funzionare il programma, nel file viene nascosto un codice dinamico che, prima di iniziare a svolgere le sue funzioni principali, decifra le parti di codice.

Facciamo degli esempi osservando due tipici falsi antivirus: FraudTool.Win32.MSAntivirus.cg e FraudTool.Win32.MSAntispyware2009.a. Si tratta dei rappresentanti di due distinte famiglie di malware che però utilizzano come difesa analoghi sistemi polimorfi di decrittazione. Di seguito sono riportati alcuni frammenti dei file di entrambi i FraudTool che contengono i decodificatori: la struttura dei due file è identica.

Frammento del decrittatore polimorfo FraudTool.Win32.MSAntivirus.cg

Frammento del decrittatore polimorfo FraudTool.Win32.MSAntispyware2009.a

L’utilizzo di sistemi già pronti permette di generare una grande quantità di programmi dello stesso tipo con un dispendio di tempo minimo, nonché di aggirare i sistemi classici di individuazione degli antivirus (firme). Oggi i nuovi falsi antivirus vengono sfornati a ciclo continuo, e l’evoluzione di FraudTool è orientata a verso una maggiore complessità del programma, per complicare la vita agli antivirus che cercano di identificarlo usando la firma.

Statistiche fin troppo chiare

È facile notare come il 2007 sia stato interessato da una crescita dei falsi antivirus.

Quantità di nuove firme che identificano i falsi antivirus, dal 2007 al 2009

Come mostra il grafico, la crescita principale del numero di firme dei falsi antivirus è avvenuta nella prima metà del 2008, seguita però da un rallentamento già alla fine dello stesso anno. Viceversa, a maggio 2009 si è verificata una vera e propria esplosione nel numero di nuove firme.

Il notevole aumento di popolarità dei falsi antivirus è dovuto innanzitutto alla facilità con cui è possibile svilupparli, ma anche agli efficaci sistemi di diffusione e crescita e ai notevoli guadagni che i truffatori ottengono in brevissimo tempo da questi prodotti.

Oggi negli archivi di Kaspersky Lab ci sono 318 diverse famiglie di falsi antivirus. La tabella seguente rappresenta la prima Top 20 delle famiglie più popolari di questi prodotti, quelle che dal 2007 hanno generato il maggior numero di firme di identificazione. Le prime cinque famiglie, da sole, riuniscono il 51,69% di tutte le firme per l’individuazione di FraudTool. I programmi di questo tipo portano sempre il nome dell’antivirus che imitano.

Percentuale di nuove firme che identificano Hoax e FraudTool,
rispetto al numero complessivo di firme del mese, 2007-2009

Questo grafico mostra che le firme dei programmi pensati per truffare gli utenti, in linea di massima, non crescono in proporzione al numero complessivo degli oggetti individuati, ma proprio in proporzione all’aumento della popolarità dei vari antivirus falsi.

Oggi la comparsa di nuovi antivirus falsi è divenuta un evento piuttosto comune: ogni giorno Kaspersky Lab individua tra 10 e 20 nuovi programmi collegati a Hoax o a FraudTool. Un fatto del genere, anche solo due o tre anni fa, sarebbe sembrato impossibile: allora i nuovi malware appartenenti a uno di quei due tipi comparivano circa una volta ogni due giorni.

Metodi di difesa

Anche se l’infezione del computer da parte di un antivirus falso di per sé non danneggia il sistema, grazie ad essa i truffatori possono estorcere denaro agli utenti meno smaliziati. L’interfaccia chiara e d’effetto, la vasta gamma di messaggi che seminano il panico da virus e gli inviti all’acquisto del “prodotto” possono facilmente ingannare e spingere a regalare soldi ai truffatori. Per proteggersi adeguatamente è necessario ricordare alcune semplici regole.

Se nel proprio computer si attiva un antivirus sconosciuto, occorre studiarlo con attenzione, verificando che l’assistenza tecnica sia effettivamente disponibile e andando a controllare sul sito ufficiale. Se ciò non da esiti soddisfacenti, si a che fare con un programma falso.

Inoltre, occorre ricordare che nessun vero programma anti-malware prima scansiona il computer e poi chiede soldi per attivarsi. Se ci si imbatte in un programma antivirus sconosciuto che si comporta in questo modo, NON pagare per utilizzarlo! Occorre invece installare un antivirus di marca conosciuta e di propria scelta, e sbarazzarsi delle minacce al proprio computer.

Bisogna prestare attenzione solo ai messaggi provenienti dall’antivirus installato, e non a tutte le finestre contenenti messaggi di infezione del computer, le quali possono apparire visitando alcuni siti.

Inoltre, è importante non posizionare il mouse sulle varie finestre che compaiono, anche nei casi in cui riescano a superare le difese del browser o quelle del pacchetto di Internet Security. Con questi semplici accorgimenti impedirete al 99% dei falsi antivirus di accedere al vostro computer.

Conclusioni

Purtroppo la popolarità dei programmi pensati per truffare gli utenti è in continua crescita. Oggi non abbiamo più a che fare con un unico programma, ma con una nuova generazione di codici prodotti in continuazione. Si tratta di un tipo di programmi truffa che cresce e si evolve sotto tutti gli aspetti, a partire dalla scala e dalle tecniche di diffusione, per finire con le tecniche di aggiramento degli antivirus.

È prevedibile che l’evoluzione futura dei falsi antivirus riguarderà proprio i metodi per ingannare gli antivirus veri e propri. La quantità complessiva di programmi, quasi certamente, aumenterà insieme agli utenti raggirati. In futuro ci troveremo ancora ad occuparci di nuovi ed interessanti rappresentanti della categoria dei programmi truffa.

La crescente popolarità dei falsi antivirus fa pensare che siano un sistema molto redditizio per i truffatori. E quanto più i truffatori riescono a spaventare gli utenti, tanto più facilmente riusciranno ad estorcere loro denaro. Permetteteci, ancora una volta, di consigliarvi di installare un buon programma antivirus, legale ovviamente. In tal modo sarete sicuri di difendere il vostro computer e di non buttare via i soldi.

La prima raccomandazione che si fa in caso di cedimenti di hard disk è di spegnere il computer; per procedere al recupero dei dati si può procedere utilizzando proprio una live distro (che “monta” il disco interno in sola lettura) ed evitando quindi ulteriori danneggiamenti, e se si è fortunati già con questa operazione si possono recuperare i file di dati (documenti, immagini, database,…) con un trasferimento su un’altra unità (per esempio: masterizzandoli su cd).

A maggior ragione è fondamentale evitare qualsiasi intervento di “scrittura” (che si realizza anche semplicemente avviando il computer) nei casi in cui il sistema informatico sia oggetto di indagini di polizia o analisi giudiziarie, onde evitare la seppur minima modifica ai dati presenti in un sistema informatico.

Sono state recentemente rilasciate due distro live dedicate al “computer forensics”, realizzate da due gruppi di lavoro italiani.

CAINE (Computer Aided INvestigative Environment), basata su Ubuntu Linux 8.04, contiene una serie di tools dedicati all’analisi e al recupero del sistema, delle partizionie e dei dati, ovviamente  anche quelli apparentemente cancellati, al recupero delle password. Da segnalare la presenza di una utility che ottimizza la possibilità di interfacciarsi anche con i sistemi Windows più datati.

DEFT ( Digital Evidence & Forensic Toolkit) invece è basata su Xubuntu Linux 9.10 e anche lei è corredata con una serie impressionante di tools.

Sicuramente si tratta di strumenti specialistici, non alla portata di tutti, ma molto interessanti per sistemisti e tecnici che si occupano di sicurezza e data recovery. Sono distribuiti con licenza “open source” e quindi predisposti al contributo di altri tecnici o ai suggerimenti degli utilizzatori.

Il bug affligge anche Windows Server 2008 e Microsoft ne ha confermato l’esistenza: per ora non esistono exploit pubblici che la sfruttino ma, qualora ciò avvenisse, porterebbe al blocco del computer.

Ancora non è stato comunicato se la correzione verrà rilasciata con gli aggiornamenti di dicembre o se, vista la pubblicità che la vulnerabilità ha ottenuto, sarà oggetto di una distribuzione anticipata.

Nell’attesa, Microsoft consiglia di bloccare le porte Tcp 139 e 445.

Fonti:  Zeus News, Punto Informatico e oneITsecurity

“Il protocollo di comunicazione di una botnet è alla base della botnet” spiega il primo autore dello studio Juan Caballero, perché “è in questo modo che un malintenzionato invia comandi al network”. Le attuali metodologie di analisi delle comunicazioni tra server e bot prevedono lo scandaglio manuale delle operazioni di basso livello del codice malevolo lato client, mentre i tentativi sin qui compiuti di indagine automatizzata si sono focalizzati solo sui comandi specifici inviati e ricevuti dai PC.

Il lavoro di Caballero e colleghi è invece andato alla radice delle botnet, prendendo in esame il movimento di dati nei registri di memoria attraverso una pratica che i ricercatori definiscono “buffer deconstruction”, e deducendo la struttura delle comunicazioni della rete e la funzione dei vari componenti di ogni singolo comando.

Il risultato del lavoro è un tool chiamato Dispatcher, capace di analizzare le comunicazioni cifrate delle botnet e persino di iniettare nuove informazioni – magari utili a trarre in inganno il server di c&c a tutto vantaggio dell’opera di indagine. A dimostrazione della bontà del metodo statunitense ci sarebbe il fatto che gli esperti lo hanno testato con successo su Mega-D, la complessa e nefasta rete malevola che nel 2008 era responsabile di quasi un terzo dello spam in circolazione online

Dispatcher viene descritto come il tool ideale per incrementare il volume di fuoco a danno delle botnet, capace di estendere la lotta al fenomeno ad amministratori di rete, appassionati di tecnologia e più in generale a chi altrimenti mal si presterebbe a un’analisi manuale della tecnologia base dei network malevoli. “I software delle botnet stanno diventando più complessi”,avvertono infine dalla UCB, grazie all’impiego di “varie tecniche di offuscamento e cose del genere. Quindi l’analisi manuale può al momento funzionale, ma in futuro avremo bisogno di strumenti più sofisticati”.

Pubblicato da Alfonso Maruccia su Punto Informatico