Nella sezione Tecnologia di MC Blog potrai scoprire, imparare e capire il mondo temporaneo, ormai sempre più dipendente dallo sviluppo e dalla ricerca tecnologica. Buona tecnologia a tutti

Un allegato vuoto e il tuo computer è in mano ai cybercriminali

I ricercatori di Eset, nella continua difesa del web contro i cybercriminali, hanno individuato nuovi componenti di Zebrocy, la famiglia di malware utilizzata dal famigerato gruppo Sednit, noto anche come APT28, Fancy Bear, Sofacy o Strontium. Insomma, nuove minacce digitali a cui prestare molta attenzione.

Operativo almeno dal 2004, negli ultimi anni questo gruppo è spesso salito alla ribalta con attacchi di alto profilo come ad esempio nel 2016, quando il Dipartimento di Giustizia degli Stati Uniti ha accusato il gruppo di essere responsabile della violazione al Democratic National Committee (DNC) poco prima delle elezioni degli Stati Uniti. Si presume inoltre che il gruppo sia dietro l’hacking della rete televisiva globale TV5Monde, la perdita di e-mail dell’Agenzia mondiale antidoping (WADA) e a molti altri attacchi.

A fine agosto, il gruppo ha lanciato una nuova campagna destinata ai loro classici obiettivi – ovvero ambasciate e ministeri degli affari esteri nei paesi dell’Europa orientale e dell’Asia centrale – attraverso nuovi componenti della famiglia di malware Zebrocy.

Quando un dispositivo viene preso di mira dai componenti di Zebrocy, il processo è di solito piuttosto evidente, poiché la vittima ha almeno sei componenti dannosi rilasciati sul computer prima dell’esecuzione del payload finale. Tali attività possono facilmente innescare diversi campanelli di allarme per un prodotto di sicurezza.

Il documento allegato all’email di phishing è vuoto ma fa riferimento a un modello remoto, wordData.dotm, ospitato su Dropbox. L’apertura di questo documento in Word comporta il download di wordData.dotm e la sua integrazione nell’ambiente di lavoro del documento associato, incluso qualsiasi contenuto attivo presente nel modello.

Gli operatori di Sednit hanno utilizzato in passato numerosi downloader scritti in diverse linguaggi. Questa campagna ne impiega la versione più recente, il Nim. SI tratta di un semplice binario predisposto per scaricare ed eseguire altri componenti, a cui però sono stati aggiunti due piccoli dettagli. Il primo è probabilmente usato come trucco anti-sandbox e verifica che la prima lettera del file eseguito (lettera l qui o 0x6C in esadecimale) non sia stata cambiata. Il secondo è un tipo di offuscamento in cui l’operatore sostituisce le lettere “placeholder” in una stringa con quelle corrette, a offset definiti.

La nuova backdoor di Zebrocy non è scritta come al solito in Delphi, ma in Golang. Si tratta della prima volta che viene rilevata questa backdoor, che risulta comunque molto simile a quella di Delphi. Questa nuova backdoor ha varie funzionalità, tra cui la manipolazione dei file come creazione, modifica ed eliminazione, funzionalità di cattura screenshot e esecuzione di comandi tramite cmd.exe.

Nuovi downloader, nuova backdoor: il gruppo Sednit è sempre attivo e continua a migliorare i suoi componenti. Si tratta di effettive novità? Non proprio. Osservandolo, sembra che il gruppo Sednit stia eseguendo il porting del codice originale o lo stia implementando in altri linguaggi nella speranza di eludere più efficacemente i sistemi di rilevamento. Il sistema di compromissione iniziale rimane invariato, ma l’utilizzo di un servizio come Dropbox per scaricare un modello remoto è insolito per il gruppo.

Truffa su PayPal: occhio al cambio password

Le truffe “spilla-contante” online si fanno sempre più subdole e minacciose, arrivando a colpire anche PayPal che fino a poco tempo fa restava un baluardo per i pagamenti sicuri nel web. Da 24 ore circa si è diffusa la notizia di un nuovo attacco. Una nuova ondata di mail phishing, che hanno già fatto migliaia di vittime, ma questa volta la truffa non corre per mail bensì su PayPal, marchio di proprietà della PayPal Holdings Inc, una società americana che dal 1999 (all’epoca si chiamava Confinity) offre “servizi di pagamento digitale e di trasferimento di denaro tramite Internet”.

Se è vero che ogni giorno, Google e Polizia Postale in primis, si dedicano sempre più a rendere il web un posto meno insicuro, è altrettanto vero che la professione del truffatore evolve anche sotto il profilo tecnologico, si complica, ma permette ai malintenzionati di mettere a segno colpi più fruttuosi, meno rischiosi di uno scippo o di una rapina a mano armata e anche decisamente più anonimi (per quanto la parola anonimo possa andar d’accordo con un web in cui è prassi fare operazioni in chiaro, ossia non criptate).

Nei mesi scorsi, la Polizia Postale ha diffuso allerte e ha raccolto denunce e testimonianze da vari clienti di operatori telefonici come Tim, Wind, Tre e Vodafone, vittime dell’indimenticato Sim Swap Scam (conti correnti svuotati tramite la scheda telefonica), poi è toccato ai correntisti di Unicredit, BNL e Intesa Sanpaolo attraverso un’ondata di phishing. I cyber criminali trovano sempre nuove prede. E così, visto che gli operatori telefonici e gli istituti di credito sono corsi ai ripari, alzando notevolmente i sistemi di sicurezza, adesso sono stati presi di mira i clienti di PayPal.

Scopriamo la nuova truffa su PayPal

PayPal consente di aprire un conto corrente con pochi click, si collega alla carta di credito o al conto corrente bancario e risulta subito attivo. Registrarsi è gratuito e immediato, le garanzie post-acquisto sono notevoli ed effettuare pagamenti, spostare denaro, o fare acquisti risulta decisamente semplice. Per questo, ogni giorno è usato da milioni di persone. La chiave del suo successo sono le vendite protette. Il problema sta nella facilità con cui si accede a PayPal: una mail e una password. Magari una di quelle maledette password che s’inventano per evitare di dimenticarsela: Nome1234.

La nostra mail è ovunque, anche sui social network, e chiunque può averla. Da lì ad indovinare una password il passo non è breve, ma neppure così lungo. E a ben vedere, il fattore di protezione è rimasto solo uno e non appare invalicabile. Tramite la mail scarichiamo ogni giorno sul computer e sugli smartphone (il vero tallone di Achille nel web) di tutto e di più. Basta un semplice spyware o un malware per far sì che al truffatore vengano comunicate tutte le nostre password. E il gioco è fatto. Anzi la truffa è servita, senza il bisogno di conoscere nome, cognome e orari della vittima. Come detto, a trasferire i soldi disponibili è un attimo.

Ma in questa nuova truffa c’è qualcosa di particolare e soprattutto non ci sono file da scaricare. Dal 15 settembre 2019 e non si sa per quanto tempo, “gli utenti riceveranno delle mail che con ogni probabilità supereranno i filtri anti-phishing. Non viene richiesto denaro. La mail sembra arrivare in tutto e per tutto da PayPal (ma non è così) e vi si trova un testo che avvisa l’utente di un pagamento anomalo sul proprio account PayPal e l’invito a modificare con urgenza e per ragioni di estrema sicurezza la propria password. Il consiglio è quello di effettuare la modifica attraverso un link fittizio grazie al quale i cyber criminali ruberanno i dati sensibili del malcapitato.

Come difendersi dai cybercriminali

È possibile difendersi dai cyber criminali? E come? Claudio Carusi, titolare della Link Point di San Marino, da oltre 20 anni si occupa di siti internet, forum e blog, e si occupa soprattutto di sicurezza informatica e di conseguenza della sicurezza dei suoi clienti e del loro portafoglio. L’imprenditore bolzanino spiega che è fondamentale tenere “la soglia di attenzione alta e la massima diffidenza restano due costanti, se è vero il principio che fidarsi è bene e non fidarsi è meglio. E poi, backup questo sconosciuto: fare sempre una copia dei dati che non si possono perdere e conservarla in un posto sicuro, come un hard disk esterno”.

Un buon antivirus può essere utile? “Serve, ma non per salvarsi da questa truffa che è priva di allegati. Conviene sempre prediligere antivirus che danno ottimi risultati nei test, come ad esempio e non in ordine di importanza Kapersky, Avast, Avira, Norton, AVG, Malwarebytes, eccetera. E magari prediligere la versione a pagamento che è completa. Io consiglierei un antivirus a pagamento e un anti malware gratuito. Ma il consiglio più importante è quello di attivare un filtro anti-phishing che rilevi le email sospette”.

Non tutti sanno come attivare un filtro anti-phishing, per cui Carusi precisa: “Questi filtri sono spesso contenuti negli antivirus, ma conviene attivarli anche sul browser che si usa per collegarsi ad internet e per navigare mediante apposite estensioni. Le estensioni in questione, che altro non sono che dei programmi, sono contenute nell’antivirus e, solitamente, all’installazione viene chiesto se si vuole aggiungere. Incomprensibilmente, molte persone non attivano questo filtro. Le motivazioni sono le più svariate: la paura di “appesantire” o rallentare il programma di navigazione, la distrazione, l’ignoranza”.

Un altro consiglio è quello di “rimuovere tutti i plugin installati sul browser, perché rappresentano una porta sempre aperta per cyber criminali, hacker e cacciatori di identità – prosegue Carusi -. Se per caso, l’antivirus installato non avesse un filtro anti-phishing, può risultare utile installare Web Of Trust, un programma disponibile per Internet Explorer, Firefox, Opera, Safari e Google Chrome”.

E già che ci siamo, Carusi lancia un’altra allerta: “Dal 9 settembre stiamo ricevendo diverse mail uguali con richiesta d’offerta in italiano. L’invito è quello di aprire il file allegato che è un documento .doc compresso in R11 (rar). Non apritelo, la scansione ci dà come risultato “malware”. Il fenomeno è nuovo e abbiamo inviato il file per farli analizzare. Nel frattempo diffidate anche degli annunci di compravendita: lì si annidano i truffatori professionisti”.

Fai crescere il tuo business on-line, ma come?

Ti sei accorto che far crescere il tuo business on-line è meno semplice di quanto pensavi? Proviamo a immaginare perché ti sei lanciato in questa avventura… Il desiderio di libertà, di lavorare a qualcosa che ti piace, di avere tempo per la tua famiglia, e anche di guadagnare bene, magari lavorando da casa, o potendo viaggiare come preferisci.

Se ci guardiamo allo specchio, questi sono i motivi principali che ci hanno spinto verso il digitale e verso il business on-line. Allora perché spesso ti sembra di trovarti in un vicolo cieco, senza risultati, e soprattutto senza aver raggiunto quella libertà che volevi? Vedi, il mondo del business online è diventato più complesso di una volta…

Non è più come qualche anno fa dove, con poco sforzo e in poco tempo, potevi aprire un blog o una pagina Facebook e avere subito tanti visitatori, quasi dall’oggi al domani. Oggi c’è molta più competizione, le persone sono più consapevoli e preparate, e se anche tu vuoi rimanere in questo campo, non puoi permetterti di rimanere indietro.

Per questo ho creato una guida semplice, chiara, priva di trucchi e pericolosi escamotage per un buon business on-line che si arricchirà, ovviamente, di nuovi capitoli, ma che di seguito potrai consultare capitolo per capitolo. Salvando questo post, ogni volta che avrai bisogno di consultare un capitolo sarà per te semplicissimo.

Consulta la Guida al business on-line di MC Blog

Capitolo 1 – arrivo

Captolo 2 – in arrivo

Capitolo 3 – in arrivo