Secondo Kaspersky, gli attacchi che sfruttano driver vulnerabili su sistemi Windows, noti come BYOVD (Bring Your Own Vulnerable Driver), sono in forte aumento. Nel secondo trimestre del 2024, questi attacchi sono cresciuti del 23% rispetto al trimestre precedente. Le vulnerabilità dei driver permettono ai criminali informatici di disabilitare le soluzioni di sicurezza e ottenere privilegi elevati, facilitando attacchi come ransomware e Advanced Persistent Threats (APT). Questa tecnica, che ha guadagnato slancio nel 2023, rappresenta una minaccia crescente sia per gli utenti singoli che per le organizzazioni.

Dinamica degli attacchi che sfruttano i driver vulnerabili

“Anche se i driver sono legittimi, possono contenere vulnerabilità sfruttabili per scopi dannosi. Gli aggressori utilizzano vari strumenti e metodi per installare un driver vulnerabile sul sistema. Una volta caricato dal sistema operativo, il driver può essere sfruttato per aggirare le protezioni di sicurezza del kernel del sistema operativo” ha spiegato Vladimir Kuskov, Head of Anti-Malware Research di Kaspersky.

Per ulteriori informazioni sul panorama delle vulnerabilità e degli exploit nel secondo trimestre del 2024, è possibile consultare la pagina Securelist.

*illustrazione articolo progettata da  Securelist

Check Point® Software Technologies Ltd. ha pubblicato il suo Indice delle minacce globali per luglio 2024. LockBit, nonostante un calo a giugno, è tornato a essere il secondo ransomware più diffuso, mentre RansomHub ha mantenuto il primo posto. Inoltre, sono state identificate nuove campagne di distribuzione di malware come Remcos e tattiche aggiornate di FakeUpdates, che è risultato il malware più diffuso a livello globale.

In Italia, le minacce principali di luglio sono rimaste invariate rispetto a giugno. FakeUpdates è la minaccia più significativa con un impatto del 7,67%, seguita da Androxgh0st (6,8%) e Formbook (4,41%). Tutte queste minacce hanno un impatto superiore rispetto alla media globale.

I ricercatori hanno identificato nuove tattiche legate a FakeUpdates, che rimane al primo posto tra i malware più diffusi. Gli utenti che visitavano siti web compromessi ricevevano falsi messaggi di aggiornamento del browser, che installavano Trojan ad accesso remoto (RAT) come AsyncRAT, attualmente nono nell’indice di Check Point. È preoccupante che i criminali informatici abbiano iniziato a sfruttare BOINC, una piattaforma per il volontariato informatico, per ottenere il controllo remoto dei sistemi infetti.

Vediamo in dettaglio le minacce più diffuse (anche per dispositivi mobile) e le vulnerabilità sfruttate.

Famiglie di malware più diffuse

*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.

FakeUpdates è stato il malware più diffuso il mese scorso con un impatto del 7% sulle organizzazioni mondiali, seguito da Androxgh0st con un impatto globale del 5% e AgentTesla con un impatto globale del 3%.

1. ↔ FakeUpdates (AKA SocGholish) è un downloader scritto in JavaScript. Scrive i payload su disco prima di lanciarli. FakeUpdates ha portato a ulteriori compromissioni tramite molti altri malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
2. ↔ Androxgh0st è un botnet che colpisce le piattaforme Windows, Mac e Linux e sfrutta diverse vulnerabilità, in particolare quelle di PHPUnit, Laravel Framework e Apache Web Server. Il malware ruba informazioni sensibili come i dati dell’account Twilio, le credenziali SMTP, l’accesso a AWS, ecc. Utilizza i file Laravel per raccogliere le informazioni richieste e ha molteplici varianti che scansionano diverse informazioni.
3. ↔ AgentTesla – AgentTesla è un RAT avanzato che funziona come keylogger e ruba informazioni. È in grado di monitorare e raccogliere gli input dalla tastiera della vittima, di scattare screenshot e di esfiltrare le credenziali di una serie di software installati sul computer (tra cui Google Chrome, Mozilla Firefox e il client e-mail Microsoft Outlook).

Le vulnerabilità maggiormente sfruttate

1. ↑ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – Un aggressore remoto può sfruttare questa vulnerabilità per inviare una richiesta appositamente creata alla vittima, che può permettere all’attaccante di eseguire un codice arbitrario sul computer di destinazione.
2. ↑ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Esiste una vulnerabilità di command injection in Zyxel ZyWALL. Lo sfruttamento riuscito di questa vulnerabilità consentirebbe agli aggressori remoti di eseguire comandi arbitrari del sistema operativo nel sistema interessato.
3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-1375) – Gli header HTTP consentono al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un aggressore remoto può utilizzare un’intestazione HTTP vulnerabile per eseguire codice arbitrario sul computer vittima.

Principali malware per dispositivi mobili

Invariate le prime posizioni tra le minacce informatiche mobili più diffuse: Joker si conferma al primo posto seguito da Anubis e AhMyth.

1. ↔ Joker è uno spyware per Android presente in Google Play, progettato per rubare messaggi SMS, elenchi di contatti e informazioni sul dispositivo. Inoltre, il malware fa sottoscrivere silenziosamente alla vittima servizi premium su siti web pubblicitari.
2. ↔ Anubis è un trojan bancario progettato per smartphone Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), e di keylogger, ovvero la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di differenti applicazioni disponibili su Google Store.
3. ↔ AhMyth è un Remote Access Trojan (RAT) scoperto nel 2017. Viene distribuito attraverso applicazioni Android presenti negli app store e su vari siti Web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come il keylogging, registrare screenshot, inviare messaggi SMS e attivare la fotocamera, solitamente allo scopo di sottrarre informazioni riservate.

I settori più attaccati a livello globale

Il mese scorso il settore dell’istruzione/ricerca è rimasto al primo posto tra i settori attaccati a livello globale, seguito da quello governativo/militare e dalle comunicazione.

1. Istruzione/Ricerca
2. Governo/Militare
3. Comunicazione

I gruppi di ransomware maggiormente rilevati

I dati si basano su informazioni provenienti da “siti della vergogna” gestiti da gruppi di ransomware a doppia estorsione che hanno pubblicato informazioni sulle vittime. RansomHub è il gruppo ransomware più diffuso questo mese, responsabile dell’11% degli attacchi pubblicati, seguito da Lockbit3 con l’8% e Akira con il 6%.

1. RansomHub è un’operazione di Ransomware-as-a-Service (RaaS) che è emersa come versione ribrandizzata del ransomware conosciuto come Knight. Emerso all’inizio del 2024 nei forum clandestini di criminalità informatica, RansomHub ha rapidamente guadagnato notorietà per le sue campagne aggressive rivolte a vari sistemi, tra cui Windows, macOS, Linux e in particolare agli ambienti VMware ESXi. Questo malware è noto per l’impiego di sofisticati metodi di crittografia.
2. LockBit è un ransomware che opera in modalità RaaS. Segnalato per la prima volta nel settembre 2019, LockBit prende di mira le grandi imprese e gli enti governativi di vari Paesi e non prende di mira gli individui in Russia o nella Comunità degli Stati Indipendenti.
3. Il ransomware Akira, segnalato per la prima volta all’inizio del 2023, colpisce sia i sistemi Windows sia Linux. Utilizza la crittografia simmetrica con CryptGenRandom() e Chacha 2008 per la crittografia dei file ed è simile al ransomware Conti v2. Akira viene distribuito attraverso vari mezzi, tra cui allegati e-mail infetti ed exploit negli endpoint VPN. Al momento dell’infezione, cripta i dati e aggiunge un’estensione “.akira” ai nomi dei file, quindi presenta una nota di riscatto che richiede il pagamento per la decriptazione.

*illustrazione articolo progettata da  Freepik

Un recente studio condotto dagli esperti di Kaspersky (dal titolo: “Entusiasmo, superstizione e grande insicurezza – Come gli utenti di tutto il mondo si confrontano con l’universo digitale”) rivela che l’Intelligenza Artificiale (IA) sta diventando un elemento sempre più integrato nella società, con molte persone che riconoscono il suo potenziale in vari settori. In Italia, il 23% degli intervistati ritiene che l’IA possa essere un leader migliore degli esseri umani per la sua imparzialità, mentre il 58% è disposto a usarla per gestire la vita quotidiana. Il 24% la utilizzerebbe per trovare un partner su un’app di incontri. L’IA è vista sia come un valido collaboratore che come un possibile manager, e molti ritengono che possa anche influenzare positivamente l’istruzione e la creatività. Tuttavia, il 40% teme che l’IA possa cambiare significativamente le relazioni umane.

“Stiamo assistendo alla crescente adozione dell’IA come strumento prezioso in grado di supportare le persone in diversi ambiti. Oltre alle applicazioni tradizionali, come l’elaborazione e l’analisi dei dati, all’IA vengono affidati compiti personali più complessi, che spaziano dal romanticismo, all’istruzione e al lavoro. Con la continua evoluzione delle tecnologie AI, il loro potenziale per innovare e migliorare le esperienze umane diventa ancora più rilevante. Tuttavia, questi progressi comportano anche alcuni rischi inaspettati e minacce sofisticate, come l’eccessiva fiducia nei consigli dell’IA, il phishing, i deepfakes e i furti di identità generati dall’IA. Queste sono le sfide che dobbiamo affrontare su più fronti”, ha commentato Vladislav Tushkanov, Research Development Group Manager di Kaspersky.

Il report completo di Kaspersky “Entusiasmo, superstizione e grande insicurezza – Come gli utenti di tutto il mondo si confrontano con l’universo digitale” è disponibile a questo link.

Leggi anche: “Intelligenza artificiale per tutti“

La legge sulla cybersecurity “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, dopo una lunga discussione, è stata finalmente approvata dal nostro parlamento ed è stata pubblicata in Gazzetta Ufficiale, per cui si appresta a diventare a tutti gli effetti una Legge dello Stato Italiano.

Il provvedimento in pillole

La legge prevede un discreto numero di misure (praticamente tutti i primi 15 articoli) che riguardano il rafforzamento della cybersecurity delle pubbliche amministrazioni, comprese anche le società di trasporto pubblico e le ASL, che da adesso avranno l’obbligo di segnalare ogni incidente informatico all’Agenzia per la Cybersicurezza Nazionale (ACN) entro 24 ore dalla scoperta. L’ACN dopo aver ricevuto la segnalazione provvederà a indicare delle misure correttive che dovranno essere implementate dall’amministrazione pubblica segnalante entro il termine di 15 giorni, scaduti i quali potranno essere erogate sanzioni fino a 125.000 euro. Oltre alla sanzione, in caso di inadempienza alle indicazioni dell’ACN, i dirigenti dovranno assumersi anche la responsabilità disciplinare e contabile dell’accaduto. Le stesse sanzioni si applicano in caso di mancata adozione degli interventi risolutivi.

Nuove figure organizzative

Per quanto riguarda la composizione della struttura organizzativa, dalla legge si evince come al Nucleo per la cybersicurezza possano partecipare anche rappresentanti della Direzione Nazionale Antimafia e della Banca d’Italia, mentre al Comitato Interministeriale per la Sicurezza della Repubblica (CISR) partecipano anche il Ministro dell’Agricoltura, il Ministro delle Infrastrutture e dei Trasporti e il Ministro dell’Università e della Ricerca. Le pubbliche amministrazioni, a loro volta, dovranno istituire una struttura dedicata alla sicurezza e nominare un responsabile che si occupi della gestione della cybersicurezza.

La crittografia, uno dei cardini della Legge

La crittografia dovrà essere uno dei protagonisti della sicurezza informatica futura, e a questo proposito verrà istituito il Centro Nazionale di Crittografia, che tra le sue funzioni ha quella di assumere iniziative idonee a valorizzare la crittografia come strumento di sicurezza. Particolare importanza avranno le strutture preposte alle attività di prevenzione nelle pubbliche amministrazioni, che tra i loro compiti avranno anche quello di verificare costantemente che le applicazioni rispettino le linee guida sulla crittografia adottate dall’ACN e dall’Autorità garante per la protezione dei dati personali.

Pene più pesanti

La cybersicurezza può comportare un notevole coinvolgimento della sfera privata, che naturalmente necessita di una protezione ottimale della propria privacy. Per “incoraggiare” gli attori coinvolti in questo compito, la legge approvata prevede una serie di modifiche al codice penale, tra cui l’inasprimento delle pene e l’introduzione di nuovi reati correlati alla cybersicurezza. Ad esempio, se un aggressore dovesse ottenere importanti dati aziendali o personali e richiedesse il pagamento di una somma di denaro per non diffondere questi dati, tale condotta verrebbe inquadrata come estorsione.

Tutto bene? Mica tanto

Nuovi organismi, nuove figure da inquadrare nell’organico. E i fondi per farlo? Zero! La legge è stata realizzata senza prevedere in alcun modo la possibilità che le amministrazioni pubbliche vengano caricate di ulteriori oneri. Le pubbliche amministrazioni dovranno, infatti, rispettare tutti gli obblighi previsti dalla legge facendo di necessità virtù con proprie risorse. Ci riusciranno? Maggiori approfondimenti su questo sito.

Un utente noto come “ObamaCare” ha diffuso un file chiamato “rockyou2024.txt” contenente password precedentemente pubblicate insieme a circa 1,5 miliardi di nuove password. Secondo i ricercatori di Cybernews, questo aumenta notevolmente la possibilità di intensificarsi degli attacchi di tipo Credential Stuffing, in cui le credenziali rubate vengono testate automaticamente sui siti più diffusi.

Chi desidera verificare se la propria password è al sicuro può utilizzare il servizio offerto da Cybernews a questo indirizzo.

I ricercartori di Cybernews hanno scoperto, inoltre, un bucket Amazon S3 (si tratta di un contenitore di file online) contenente oltre 89.000 file caricati sulle piattaforme PDF Pro e Help PDF accessibile a chiunque. Questi file contengono, tra le altre cose, anche carte d’identità, patenti e altri documenti con dati privati e sensibili, che potrebbero finire agevolmente in mani non certo amiche.

*illustrazione articolo progettata da  Freepik

Come capire se un file .pdf può danneggiare il PC? Beh, una delle peculiarità consiste nel fatto che possono contenere collegamenti, pulsanti, campi modulo, audio, video e altre funzionalità. Possono essere firmati elettronicamente ed essere visualizzati su diversi dispositivi, mantenendo teoricamente la stessa formattazione, indipendentemente da sistema operativo o browser. Ciò li rende “perfetti” per la realizzazione di attacchi PDF Exploit. Vediamo di capirne di più.

PDF EXPLOIT?

Veniamo subito al punto. Quando si parla di PDF exploit ci si riferisce a un metodo utilizzato per condurre attacchi usando file pdf all’interno dei quali è stato inserito uno script malevolo. Questo può essere un virus, uno spyware o anche un ransomware. Come abbiamo anticipato, infatti, i file PDF possono contenere del codice e “accogliere” degli oggetti di vario genere, tra cui altri file (per esempio documenti di Word con al loro interno anche delle macro!). Questo genere di attacco, generalmente, sfrutta delle vulnerabilità dei lettori PDF, siano essi dei programmi per la lettura o gli stessi browser.

L’impatto sui sistemi può essere vario e, a seconda della tipologia di malware impiegato, si potrebbe trattare di un DoS o di furto di dati, fino alla completa compromissione del sistema. Per renderci conto di quante vulnerabilità correlate coi file PDF vi siano, possiamo fare una veloce ricerca su MITRE inserendo il termine PDF come chiave: troverete una lista di quasi 3000 vulnerabilità!

COME PROTEGGERSI?

Tanto per cominciare diciamo subito che i normali antivirus in linea di massima non si accorgono della presenza del file Word all’interno del PDF, per cui non sono idonei a contrastare questo tipo di attacco. Diverso è il discorso per le sandbox. Ne esistono online, come per esempio hybrid analysis o stand alone, come per esempio Dangerzone. Quest’ultima soluzione utilizza diverse sandbox per elaborare il file potenzialmente dannoso che viene inizialmente convertito in PDF, quindi in Raw (costituito da soli pixel, dati di immagine non compressi e non elaborati), infine impiega una nuova sandbox per riconvertire i dati immagine in pdf, questa volta innocuo.

Esistono poi altri strumenti come i Web Application Firewall (WAF) che in linea teorica potrebbero essere in grado di individuare il contenuto dannoso anche all’interno di file PDF, ma spesso non sono settati per effettuare certi tipi di controlli per evitare l’introduzione di ritardi nell’esperienza utente. D’altra parte, esistono anche WAF che lavorando in parallelo sul traffico ricevuto non introducono ritardi. WAF basati solo sul controllo delle firme dei malware non sono però utili, meglio WAF basati su Machine Learning.

È possibile usare anche strumenti come OLEVBA, uno script per analizzare i file OLE (Object Linking and Embedding) e OpenXML (eXtensible Markup Language) come i documenti MS Office (Word, Excel ecc.), per rilevare le macro VBA (Visual Basic for Applications), estrarre il loro codice sorgente in testo in chiaro e individuare nel testo possibili rischi per la sicurezza come macro auto-eseguibili, parole chiave VBA sospette usate da malware, tecniche di anti-sandboxing e anti-virtualizzazione, e potenziali indicatori di compromissione (IOCs – Indicators of Compromise), come indirizzi IP, URL, nomi di file eseguibili ecc. OLEVBA è capace anche di rilevare diversi metodi di offuscamento, inclusi la codifica Hex, StrReverse, Base64, Dridex (trojan bancario), espressioni VBA e può estrarre indicatori di compromissione dalle stringhe decodificate. OLEVBA può essere utilizzato sia come strumento da riga di comando, sia come modulo Python dalle proprie applicazioni.

Un caso reale di tecnica di offuscamento

A fine 2023 due ricercatori del CERT giapponese JPCERT/CC, Yuma Masubuchi e Kota Kino, hanno posto l’attenzione su una nuova tecnica di evasione antivirus che consiste esattamente nell’inserire un documento Word contenente una VBS macro all’interno di un pdf. Il file così ottenuto si chiama “poliglotta”. È un file valido contemporaneamente in più formati. Naturalmente, il comportamento mostrato sarà differente quando viene interpretato da diversi programmi. Facciamo un esempio per capire meglio. Un file può essere contemporaneamente un PDF valido e un documento Word. Quando lo si apre in un lettore, esso si comporterà come un normale PDF. Ma quando verrà aperto in Word, mostrerà le proprietà di un documento Word. Gli attaccanti hanno sfruttato questa caratteristica per aggirare i filtri di sicurezza che cercano un tipo specifico di file dannoso. Se un sistema si aspetta un PDF, il documento poliglotta Word/PDF sembrerà innocuo. Ma quando aperto in Word, potrà eseguire il malware che contiene. La vera natura del file è nascosta finché non viene interpretato dal programma giusto. Questa sofisticata tecnica di offuscamento consente agli attaccanti di bypassare i sistemi di rilevamento di malware basati su firme statiche che si affidano all’uso di numeri magici dei file e formattazioni prevedibili.

Interoperabilità: la visione di John Warnock

Co-fondatore della Adobe Systems Incorporated, è stato una figura emblematica nel mondo della tecnologia, noto soprattutto per il suo ruolo nello sviluppo di PostScript, il linguaggio di descrizione di pagina che ha rivoluzionato il modo in cui i testi e le immagini vengono stampati su carta. Sotto la sua guida, Adobe ha lanciato il formato PDF, che è diventato rapidamente lo standard de facto per la distribuzione e lo scambio di documenti digitali. La visione di Warnock di un documento che appare uguale su qualsiasi piattaforma ha profondamente influenzato l’interoperabilità digitale.

È anche l’ideatore dell’algoritmo di Warnock, un algoritmo per la determinazione della superficie nascosta che è spesso utilizzato nel campo della computer grafica.

Lo spear phishing mira a individui specifici o piccoli gruppi con e-mail che imitano in modo credibile comunicazioni legittime, spesso eludendo i filtri di sicurezza e presentando pochi errori. Al contrario, il phishing di massa invia messaggi generici a grandi liste di indirizzi e-mail, solitamente con un design scadente e numerosi errori. A fine 2023, Kaspersky ha rilevato una combinazione insolita di queste due tattiche: e-mail di spear phishing, personalizzate con il nome e l’azienda del destinatario, ma con un modulo di phishing generico tipico del phishing di massa, evidenziando una strategia più sofisticata e ibrida.

Un messaggio e-mail di phishing HR che utilizza il ghost spoofing: il nome del mittente contiene l’indirizzo e-mail del team HR, facendo sembrare autentica l’e-mail.

Una campagna di phishing ha impiegato la tecnica del “ghost spoofing”, dove un vero indirizzo e-mail aziendale appariva come nome del mittente, pur mantenendo invariato il dominio reale. Solitamente usata per attacchi mirati, questa tecnica è stata applicata al phishing di massa, rendendo l’e-mail più convincente, ma indirizzando a un modulo di phishing generico al cliccare sul link.

Numero di e-mail di phishing miste, marzo-maggio 2024

 Tra marzo e maggio 2024, Kaspersky ha osservato un notevole aumento delle e-mail di phishing ibrido, segnalando che gli aggressori stanno utilizzando tecnologie avanzate per ridurre i costi e lo sforzo di personalizzazione negli attacchi di massa. Grazie all’intelligenza artificiale, questi strumenti possono generare contenuti più convincenti, correggere errori e migliorare il design, rendendo gli attacchi misti più efficaci e difficili da rilevare.

Ulteriori informazioni sono disponibili su Securelist.

*illustrazione articolo progettata da  Kaspersky