Smart TV LG (con Google TV) colpita da ransomware

 

Dopo aver compiuto un gran numero di exploit rivolti principalmente agli smartphone, ora, come avevano previsto tempo fa alcuni esperti di sicurezza informatica, anche un televisore smart di LG – equipaggiato con il sistema di Google TV – è stato preso di mira da un attacco ransomware, con il proprietario al quale è stato richiesto il pagamento di un riscatto.

Considerando come questi device vengano utilizzati dagli utenti anche per la navigazione web, in sostituzione dei propri desktop, laptop o tablet, ora, anche i televisori smart sono esposti agli exploit: a condividere questa news è stato l’ingegnere Darren Cauthon, il quale ha mostrato sul web le immagini del televisore reso sostanzialmente inservibile.

Come al solito, gli hacker hanno richiesto il pagamento di una somma (in questo caso 500 dollari) per fornire la chiave per decriptare i dati. Il malware impiegato in questo caso sarebbe una variante di Flocker (o Frantic Locker o Dospectus), mentre sulla tv è presente l’ultima versione di Google TV.

Il ricatto del ransomware Popcorn Time: “paga o diffondilo”

Qual è il prezzo giusto per trasformarci in complici di un cyber-criminale? Secondo gli autori di Popcorn Time, un nuovo ransomware individuato nel Dark Web da alcuni ricercatori che fanno riferimento a Bleeping Computer, basterebbe 1 bitcoin (al cambio attuale 770 dollari).

Secondo quanto riportato da Lawrence Abrams, il malware (che non ha nulla a che fare con il software Popcorn Time) sarebbe ancora in una fase di sviluppo e il suo codice sarebbe incompleto. L’impianto generale di funzionamento, però, è già piuttosto chiaro.

Popcorn Time, una volta eseguito, cifra tutti i file che si trovano in determinate cartelle (Documenti, Immagini e altre) e visualizza una classica richiesta di riscatto: 1 bitcoin per ottenere la chiave crittografica che consente di decodificare i dati presi in ostaggio.

Gli autori del ransomware, però, offrono un’alternativa: al posto di pagare, la vittima può decidere di aiutarli a diffondere il virus infettando altre due persone.

Pagare o aiutare i pirati informatici a diffondere il loro malware?

A questo scopo, il messaggio contiene un link a un server sul circuito Tor (attualmente il server non è attivo) che la vittima può usare per infettare altre persone. Se due di queste pagheranno, riceverà la chiave crittografica per “liberare” i suoi file.

Come se non bastasse, il ransomware contiene un sistema di “autodifesa” decisamente aggressivo: la vittima può provare a inserire il codice per decriptare i file per un massimo di 4 volte. Se il codice è sbagliato, il malware comincerà a cancellare i dati dal disco fisso.

Per il momento, non sono ancora state rilevate campagne attive di distribuzione di Popcorn Time. Molto presto, però, l’intera Rete potrebbe essere coinvolta in uno dei più bizzarri esperimenti sociologici della storia. Scommettiamo su come potrebbe andare a finire?

Android, una backdoor per la Cina

La società di sicurezza Kryptowire ha scoperto una backdoor su certi dispositivi Android low-cost, tra cui gli smartphone prodotti da BLU Products venduti online su Amazon e Best Buy, in grado di inviare una grande quantità di dati personali a server cinesi.

Il comportamento è stato inizialmente individuato sul dispositivo BLU R1 HD e dalla sua analisi i ricercatori hanno potuto verificare l’invio di un ammontare massivo di dati relativi al telefono (l’International Mobile Subscriber Identity, IMSI e l’International Mobile Equipment Identity, IMEI), relativi alle app installate ed utilizzate, superando il modello di permessi prescritto da Android, e relativi all’utente (compresi testi interi di messaggi, cronologia delle chiamate e rubrica) a server localizzati in Cina e di proprietà del fornitore di aggiornamenti software, l’azienda Shanghai Adups Technology Co. Ltd.

Tale firmware sarebbe inoltre in grado di prendere di mira specifici utenti e di individuare e inviare messaggi nel quale vengono utilizzate determinate parole chiave, nonché di impartire comandi al dispositivo ottenendo privilegi, fino alla possibilità di riprogrammazione del dispositivo da remoto. In alcune versione del programma permette anche l’invio di specifici dati di geolocalizzazione dell’utente.Kryptowire ha inoltre confermato che non si tratta di un problema limitato a tale device, ma comune a numerosi modelli Android di fascia bassa che condividono il medesimo firmware in cui è installata la backdoor al momento della produzione: si conferma, così, il “pericolo di fabbrica” già individuato da Palo Alto Networks con la scoperta dell’Operazione CoolReaper nel 2014.

In questo caso si tratta del firmware pensato per l’udpdate Over The Air gestito da Adups, che dagli ultimi dati sembra aver installato i propri software (utili ai produttori per individuare i dispositivi non aggiornati e inviargli il necessario aggiornamento) su più di 700 milioni di dispositivi in tutto il mondo.

Tra i produttori coinvolti figura per il momento BLU Product, che ha riferito di aver già rimosso la backdoor e offerto qualche numero: 120mila i suoi telefoni colpiti dalla backdoor, quindi relativamente pochi.

Adups non ha divulgato la lista di tutti i telefoni coinvolti e non è possibile per gli utenti verificare facilmente se il proprio dispositivo sia colpito: tuttavia l’azienda ha dichiarato che si tratta di un problema limitato ai dispositivi Blu Products, nel cui firmware sono stati inavvertitamente incluse funzionalità per l’individuazione e la rimozione di messaggi di testo e chiamate indesiderate, richiesto da altri clienti Adups.

Ecco il virus che attacca le lampadine Hue di Philips

Ricercatori israeliani e canadesi hanno appena creato un worm in grado di infettare autonomamente le lampadine Hue di Philips, grazie a una vulnerabilità nella crittografia usata per l’aggiornamento che sfrutta le chiavi crittografiche universali sulla piattaforma ZigBee.

Ronen, Adi Shamir e Achi-Or Weingarten del Weizmann Institute of Science in Israele, in partnership con Colin O’Flynn dell’università canadese di Dalhousie hanno infatti scoperto che le famose, e ormai piuttosto popolari, lampadine Philips accettano di buon grado gli aggiornamenti firmware in arrivo da fonti che si firmano con delle chiavi crittografiche universali ormai note.

Il risultato è che è molto semplice infettare i dispositivi luminosi, caricando un firmware che provvede anche ad attaccare le altre lampadine alla portata della connessione senza fili.

 

 

Philips ha già rilasciato una patch che chiude la porta alla vulnerabilità, ma applicarla potrebbe essere più difficile di quanto non si pensi.

Le lampadine Hue, infatti, possono essere aggiornate solo tramite l’app dedicata, ma se nelle vicinanze ci sono altre lampadine infette, queste continueranno a bombardare tutte le loro vicine con richieste di aggiornamento, sovrascrivendo i nuovi firmware legittimi prima che vengano eseguiti o impedendo il collegamento dell’app.

Secondo quanto riportato nello studio pubblicato dai ricercatori: “Il worm si diffonde saltando direttamente da una lampadina all’altra tramite la connessione wireless ZigBee. L’attacco parte semplicemente installando una lampadina infetta in un portalampada e in pochi minuti l’infezione si estende ovunque. L’attaccante può decidere cosa fare delle lampadine, se renderle inutilizzabili, farle lampeggiare o accendere /spegnere a suo piacimento”.

In una simulazione condotta secondo la teoria della percolazione, si è visto che l’infezione tende a morire se le lampadine Hue in una città sono meno di 15.000, mentre l’infezione resta viva e attiva se il numero di elementi è superiore.

In questa simulazione, però, non è stato preso in considerazione alcun metodo di diffusione alternativo a quello proprio dell’installazione della lampadina.

Le cose cambiano decisamente se si decidesse di usare dei mezzi mobili attrezzati con un vettore di infezione, come abbiamo visto in altre simulazioni e teorie recentemente pubblicate, lo stesso sistema può essere sfruttato per altri tipi di dispositivi.

Nel video pubblicato qui sotto vediamo come una lampadina collegata a un drone possa facilmente infettare interi uffici (anche se ospitano personale che lavora nel mondo della sicurezza informatica).

 

 

fonte

Spotify sta diffondendo malware sui computer degli utenti

 

Spotify – Secondo quanto riportato su alcuni forum dedicati a Spotify e su Twitter, alcuni annunci pubblicitari della versione gratuita di Spotify stanno installando malware sui computer di alcuni utenti. L’avviso è stato prima diramato sui forum, poi su Twitter si è provveduto a segnalare i dettagli del problema in modo più accurato. Secondo tali report, il malware sta colpendo chiunque su desktop, inclusi computer che usano Windows, Linux e MacOS. Questo malware fa sì che i browser degli utenti colpiti aprano siti web che tentano di installare malware di ogni genere e tipo.

Spotify ha poi riferito a The Next Web che sta esaminando la situazione. La risoluzione immediata è facile: Spotify deve eliminare gli annunci pubblicitari corredati di malware. Finché Spotify non avrà risolto la situazione conviene o disinstallare o disconnettersi da Spotify o usare un programma che blocchi la pubblicità.

Google Play Store: trovate oltre 400 applicazioni malevoli

Nonostante i continui aggiornamenti della sicurezza su Android grazie alle patch mensili da parte di Google, i pericoli si nascondo sempre dietro l’angolo. Infatti anche se Google cerca di rendere sicuro il proprio sistema operativo, ben poco si può fare contro software di terze parti scaricati ed installati dagli utenti sui propri dispositivi.

Secondo una ricerca effettuata da TrendLabs, società che si occupa della sicurezza di sicurezza, tramite l’applicazione Mobile App Reputation Service di Trend Micro (MARS) sarebbe riuscita a trovare oltre 16.6 milioni di malware nel solo mese di Agosto 2016, un incremento del 40% rispetto ai dati rilevati a Gennaio dello stesso anno. Questa situazione, secondo le prime analisi, sarebbe dovuta alla particolare predisposizione del sistema Android verso i file conosciuti con il nome “DressCode“.

Trend Micro ha riscontrato la presenza di vari bot denominati ANDROIDOS_SOCKSBOT.A in oltre 3000 app in cui era presente un Trojan, e sono tutte applicazioni presenti su vari store per Android, incluso quello ufficiale, il Google Play Store.

Si tratta di malware che si celano all’interno del codice di applicazione innocue che riescono quindi ad eludere i controlli di sicurezza di Google e quindi arrivano sul Play Store. Una volta scaricate, queste applicazioni sono in grado di avere accesso a dati privati dell’utente, aggirando le protezioni e i privilegi concessi. Queste informazioni vengono inviate a sfruttate quindi sia a fini commerciali sia per chissà quali altri fini.

Una delle applicazioni più scaricate dagli utenti ma che al proprio interno cela un malware è una MOD di Grand Theft Auto V per Minecraft: Pocket Edition. Questa applicazione avrebbe raggiunto la cifra di oltre 500 mila download.

Significa che sono stati rubati i dati di oltre 500 mila utenti inclusi anche i dati delle reti su cui operavano i dispositivi.

Si tratta di una situazione molto spiacevole! La colpa certamente può ricadere in parte su Google e sulle sue politiche di accettazione di applicazioni sul proprio store, ma si sa che controllare centinaia di migliaia di linee di codice non è semplice ne immediato.

Il controllo più importante è quello che può e deve effettuare l’utente. Ricordiamo che è sconsigliato scaricare applicazioni da store non ufficiali e bisogna sempre controllare l’affidabilità dello sviluppatore e dell’applicazione prima di procedere al download.

Leggere le recensioni può essere un modo per capire se si tratta di un applicazione meritevole o meno di essere scaricata. Bisogna anche imparare a leggere tra le righe, perchè spesso quanto si legge non è vero. Tanti voti positivi senza commenti possono essere indice di voti comprati, così come recensioni breve e che consigliano l’acquisto o il download immediato.

Bisogna concentrarsi sulla recensioni leggermente più lunghe che approfondiscono bene il contenuto dell’app e ne valutano i pro e i contro. Certo, non si tratta di un rimedio sicuro, ma almeno è un modo per cercare di tutelarsi al meglio ed evitare fregature che possono costare caro in seguito.

 

 

fonte

 

 

Attenti a Panda Banker, il trojan che ruba dai conti italiani

Sapevamo che sarebbe accaduto e infatti è arrivato: una variante del trojan Zeus, nota con il nome di Panda Banker, ha iniziato ad attaccare i conti correnti di utenti italiani.

La scoperta è stata dell’azienda Arbor Networks che già dal mese di luglio aveva notato un picco di attività di spam diretto al nostro Paese e che a settembre ha rilevato una nuova campagna di diffusione.

Dopo una intensa opera di analisi, il ricercatore Dennis Schwarz ha identificato il malware allegato come una variante di Zeus e ha inviato il suo report a Marco Gioanola, Senior Consulting Engineer di Arbor Networks in Italia.

“Nell’analisi di Dennis” – ci dice al telefono Marco Gioanola – “è apparso subito chiaro che l’attacco era portato su grande scala. Per motivi legali non posso fare i nomi delle banche coinvolte, ma tutti i maggiori istituti italiani sono ‘supportati’ dal malware, insieme a un blocco di banche molto piccole che non capiamo come siano finite nel mucchio dei target potenziali”.

Il trojan arriva tramite messaggi di email provenienti, in apparenza, da fonti affidabili come colleghi o amici che ci inviano spesso delle comunicazioni e il malware è per lo più camuffato da file PDF o ZIP. Addirittura, alcune volte è presentato direttamente come un file eseguibile EXE.

Una volta eseguito, viene lanciato il downloader Andromeda (Panda Banker si appoggia proprio all’infrastruttura Andromeda per la diffusione), che si preoccupa di scaricare il malware specifico e infettare il computer del malcapitato. Dall’analisi risulta che, purtroppo, il trojan in questione è in grado anche di aggiornarsi con nuove funzionalità e potrebbe addirittura mutare in qualcosa di diverso: per esempio, dopo aver rubato le credenziali bancarie, potrebbe diventare un ransomware, bloccando i file o addirittura tutto il pc della vittima.

Prima della sua mutazione, però, è bene preoccuparsi di quello che è in grado di fare da subito: “In pratica” – spiega Marco Gioanola – “Panda Banker si piazza tra le comunicazioni dell’utente e della banca, intercettando le credenziali e impartendo delle operazioni senza che l’utente abbia modo di accorgersene. I sistemi di controllo bancari basati su codici multipli (che assegnano un codice univoco a ogni operazione effettuata inviandolo tramite sms o scegliendolo da un tesserino con tanti codici) dovrebbero essere al sicuro dalle operazioni non autorizzate, ma non dal furto delle credenziali”.

Per quanto strano, sembra proprio che non tutte le banche abbiano ancora attivo un sistema di verifica multicodice: “Le grandi banche” – dice Gioanola – “hanno messo in piedi dei sistemi antitruffa più avanzati, ma in alcuni casi non sono stati attivati dai clienti. In alcune piccole banche, invece, il sistema multicodice manca del tutto”.

Le raccomandazioni per gli utenti, quindi, sono sempre le stesse: cambiate le password di tanto in tanto e non cliccate mai su documenti arrivati via posta elettronica se prima non li avete fatti esaminare a un buon antivirus aggiornato.

Inoltre, tenete sempre sott’occhio le comunicazioni che arrivano dalla banca, via sms o mail. Se vi giunge un codice non richiesto, per esempio, sapete che c’è qualcosa che non va…

Hackerare l’iPhone è più facile, password meno protette con iOS 10

Sfondare le barriere di sicurezza di iOS non è facile. Ma c’è una cattiva notizia per chi scelga di salvare i contenuti del proprio iPhone o iPad con iOS 10 eseguendo in locale (su Pc o Mac) backup protetti da crittografia tramite iTunes. Un metodo che teoricamente dovrebbe aggiungere un ulteriore livello di protezione – la crittografia, appunto – ma che invece rischia di creare un “varco” verso informazioni e dati molto importanti. L’allarme è stato lanciato da Elcomsoft, una società software specializzata in soluzioni per il recupero dati dei dispositivi Apple: i suoi test hanno dimostrato che la forzatura di un backup crittografato con iTunes è molto più semplice se si prende di mira un dispositivo iOS 10 invece che un terminale iOS 9.

“Abbiamo scoperto un grave difetto di sicurezza nel meccanismo di protezione dei backup di iOS 10”, scrivono gli esperti di Elcomsoft. “Questo difetto ci ha permesso di sviluppare un nuovo attacco in grado di bybassare alcuni controlli di sicurezza”. I controlli in questione sono quelli che proteggono le password che a loro volta tengono al sicuro i dati dei backup locali di dispositivi iOS: ovvero le copie di salvataggio dei contenuti di un iPhone o iPad, fatte su un computer tramite iTunes.

Questo accade poiché con il nuovo sistema operativo Apple ha introdotto un diverso metodo di cifratura, utilizzando l’algoritmo di hashing Sha256, a interazione singola, al posto del Pbkdf2, che invece prevede diecimila interazioni al secondo. Ecco allora che, con iOS 10, un malintenzionato potrebbe utilizzare un semplice software di cracking ed eseguire tentativi di accesso (con le password generate in automatico) circa 2.500 volte più velocemente rispetto a quanto non potrebbe fare prendendo di mira un utente di iOS 9. In altre parole, le “manovre di sfondamento” diventano notevolmente più rapide e più capaci di sfuggire ai controlli.

La velocità dei tentativi di hackeraggio dipende comunque dal sistema di partenza utilizzato. Nei testi di Elcomsoft, sfruttando l’accelerazione Cpu con un processore Intel i5 si è arrivati a provare sei milioni di password al secondo. Al momento per questo tipo di attacco non è possibile sfruttare l’accelerazione Gpu, ma in ogni caso il metodo è complessivamente quaranta volte più veloce rispetto a precedenti tipi di attacco basati su accelerazione Gpu.

 

Per un “cacciatore di dati”, ottenere la parola chiave che maschera un backup su iTunes significa non solo accedere ai contenuti di un iPhone o iPad. Significa anche poter entrare nel keychain, cioè in uno spazio di archiviazione che contiene altre password, token di autenticazione per gli accessi alle app, credenziali di login tratte da Safari, informazioni su carte di credito, reti WiFi e altro ancora. La buona notizia è che Apple ha già fatto sapere di essere al lavoro per rilasciare un correttivo software. “Sistemeremo il problema con un aggiornamento di sicurezza in arrivo”, ha promesso l’azienda, precisando come tutta la questione non riguardi i backup eseguiti su iCloud.

 

Nuovo malware in Ucraina: ancora sospetti sul coinvolgimento russo

Gli hacker hanno cambiato obiettivo, ma la vittima è sempre la stessa. L’Ucraina sembra essere finita nel pieno di una continua campagna di attacchi cibernetici. Dopo il rilevamento del malware Blackenergy, che a fine 2015 aveva mandato fuori uso tre aziende fornitrici di energia elettrica nell’ovest del Paese, la Reuters ieri ha dato notizia di un nuovo programma maligno circolante nella rete informatica nazionale, scovato questa volta nell’aeroporto di Kiev Boryspil. È questo l’hub principale del Paese, che serve ogni anno quasi nove milioni di passeggeri. Secondo i funzionari ucraini contattati dall’agenzia, il malware punterebbe a server command and control russi, richiamando quindi analogie con l’attacco scagliato il 23 dicembre scorso al comparto energetico.

I rapporti tra Ucraina e Russia sono tesi da quasi due anni, in seguito alla rivolta popolare contro l’ex presidente filorusso Viktor Janukovyč e all’annessione della Crimea da parte di Mosca. Al momento non sussistono chiare evidenze di un coinvolgimento diretto del governo russo nella vicenda, ma la probabilità rimane alta. In seguito alla scoperta del malware, le autorità ucraine avvieranno una rigorosa revisione di tutti i sistemi informatici governativi, inclusi quelli delle stazioni ferroviarie e degli aeroporti.

La volontà di Kiev è stata confermata alla Reuters da Irina Kustovska, portavoce del ministero delle infrastrutture. “In relazione al caso di Boryspil, il ministero intende iniziare un controllo dei database antivirus in tutte le aziende sotto la propria responsabilità diretta”, ha spiegato Kustovska, aggiungendo come le autorità stiano anche verificando eventuali collegamenti con il malware Blackenergy e che il programma maligno non abbia causato danni.

La Cert-Ua (Computer Emergency Response Team of Ukraine), l’agenzia statale nata con l’obiettivo di garantire la protezione delle risorse informatiche e delle telecomunicazioni da accessi impropri, ha però pubblicato online un avviso diretto agli amministratori di sistema su nuovi potenziali attacchi Blackenergy. “Si consiglia di controllare i file di log” per verificarne l’eventuale presenza nei sistemi, ha sottolineato l’ente ucraino. Kiev teme probabilmente nuove incursioni e l’occhio guarda sempre verso Mosca.

FONTE

Android.Bankosy, il malware che ascolta le chiamate dalla banca

Quando la password, il PIN o gli altri metodi di autenticazione diventano troppo deboli per garantire la sicurezza di “affari” troppo grandi come il proprio conto in banca o le proprie transazioni, ecco che arriva in aiuto l’autenticazione a due fattori.

Questa, altresì nota con l’acronimo 2FA, permette all’utente di utilizzare un ulteriore livello di sicurezza utilizzando, oltre alla sua password usuale o al suo PIN, un secondo codice generato all’istante tramite un generatore elettronico, un’app, un SMS o, se tutto ciò fallisce, una telefonata automatica da parte del proprio istituto di credito.

Il malware scoperto recentemente da Symantec agisce proprio sull’ultimo metodo spiegato: Android.Bankosy, è così che è stato ribattezzato, se installato ed eseguito è in grado di intercettare le chiamate automatiche ricevute dagli istituti bancari e “dirottarle” verso orecchie indiscrete, a questo punto in grado di conoscere ed utilizzare la password per il 2FA dettata dall’operatore.

 

 

Come mostra l’immagine in alto, l’app consiste nel “solito” server di controllo che, se installato, mette il dispositivo nelle mani degli utenti malintenzionati, che a quel punto sono in grado di eseguire operazioni quali l’attivazione o disattivazione della deviazione chiamate e della modalità silenziosa, la cancellazione degli SMS, l’eliminazione completa dei dati dal dispositivo e il blocco dello schermo con un codice sconosciuto all’utente.

Come al solito questi malware non arrivano sui nostri dispositivi Android da soli, ma c’è bisogno di una buona dose di imprudenza per caderne vittime; trattandosi anche stavolta di una minaccia piuttosto seria, quindi, vi esortiamo a non scaricare app (per la maggiore taroccate) da siti e store di dubbia provenienza ma di affidarvi sempre a fonti accreditate, oltre che di leggere attentamente i permessi ed i privilegi che ciascuna app richiede.

Vi consigliamo inoltre di tenere il vostro sistema operativo sempre aggiornato.

 

FONTE