Autore: Elisabetta Giuliano

Il tempo trascorso dai più giovani davanti a un monitor o un display e la bontà dello stesso sono spesso oggetto di opinioni controverse e di studio.

Il Royal College of Pediatrics and Child Health (RCPCH), l’associazione dei pediatri britannici, ha divulgato le nuove linee guida rassicurando i responsabili dei minori che qualora se ne faccia un uso morigerato, non sono presenti dati rilevanti per cui preoccuparsi del dispositivo utilizzato, che si tratti di TV, smartphone o tablet.

Il rapporto scagiona quindi i mezzi, mentre accusa il tempo eccessivo trascorso ad utilizzarli suggerendo di evitarne l’uso a ridosso delle ore dedicate al riposo in quanto, stimolando l’attività celebrare, possono provocare insonnia. Inoltre la luce blu emanata dai dispositivi può inficiare sulla produzione di melanina, l’ormone del sonno. Nonostante gli ultimi modelli prevedano una modalità notturna, l’efficacia di quest’ultima non è stata ancora comprovata.

L’analisi del tempo trascorso utilizzando sia TV che dispositivi mobile, ha confutato l’ipotesi che questa attività sia dolosa per la salute, mentre è stato rilevato un legame con obesità e depressione anche se non è del tutto chiaro se sia la quantità di tempo a favorire queste patologie o se, viceversa, i soggetti che ne soffrono tendano a trascorrere più tempo connessi.

Per questi motivi nelle linee guida non viene riportata una tempistica quotidiana idonea da non superare, ma vengono forniti questi semplici quesiti per poter analizzare la propria situazione ed eventualmente correggere il comportamento dei più giovani:

“Il tempo della tua famiglia trascorso davanti allo schermo è sotto controllo?

L’uso dello schermo interferisce con ciò che la tua famiglia vuole fare?

L’uso dello schermo interferisce con il sonno?

Sei in grado di controllare gli spuntini mentre si sta davanti allo schermo?”

Secondo Max Davie dell’RCPCH, i dispositivi moderni sono un “ottimo modo per esplorare il mondo”, anche se per alcuni genitori vi è qualcosa di “indefinibilmente sbagliato” in essi.

Con questo nuovo rapporto i pediatri britannici vogliono rassicurare i genitori laddove le risposte alle domande sopracitate non destino preoccupazioni, ma renderli consci del fatto che l’eccessivo utilizzo può accentuare problemi e difficoltà.

“Gli schermi fanno parte della vita moderna, il genio è uscito dalla lampada e non possiamo rimandarlo indietro” ha commentato il presidente del RCPCH, Russell Viner.

Non è corretto per gli esperti colpevolizzare i genitori, ma è opportuno invitarli a valutare la propria situazione e decidere di conseguenza. “I genitori devono pensare a quello che va bene per il loro bambini”, ha continuato Viner, ecco perché è opportuno “che i limiti appropriati all’età siano stabiliti, negoziati da genitori e figli”.

Qualora le risposte alle domande fornite dagli esperti ne evidenzino in un nucleo familiare un utilizzo eccessivo, il RCPCH suggerisce qualche semplice, ma utile indicazione su come procedere, come ad esempio evitare di far utilizzare i dispositivi durante i pasti e valutare il tempo in cui vengono utilizzati.

Per i bambini più piccoli l’interazione sociale reale è fondamentale per il proprio sviluppo, quindi se il tempo trascorso davanti ai dispositivi risulta eccessivo, i tutori dovranno valutare come intervenire per regolarizzare le tempistiche di svago digitale, sia che si parli di infanzia che di adolescenza.

Gli esperti di ESET consigliano inoltre di gestire l’accesso al Web dei minori e di proteggerli online con una applicazione di Parental Control come ESET Parental Control.

Per ulteriori informazioni su ESET e su ESET Parental Control è possibile visitare il link https://www.eset.com/it/privati/parental-control-android/

I ricercatori di ESET hanno scoperto un trojan per Android che si insinua all’interno dell’app ufficiale di Paypal per rubare soldi alla vittima, effettuando un pagamento direttamente all’indirizzo Paypal dell’hacker.

Il malware fa finta di essere un’innocua app per l’ottimizzazione della batteria dello smartphone, come ve ne sono tante, ma una volta lanciata chiude subito la schermata – come se fosse difettosa – e nasconde l’icona dal telefono. Per gli utenti meno esperti è come se l’app si fosse disinstallata da sola.

In realtà il trojan è ancora in esecuzione, cerca sul telefono la presenza dell’app ufficiale di Paypal e – se presente – mostra una schermata di alert chiedendo all’utente di aprirla. Una volta che l’utente ha lanciato l’app di Paypal, il malware mostra una schermata con un messaggio fuorviante che chiede all’utente di “abilitare le statistiche“.

In realtà facendo clic su “ok” l’utente consente al trojan di operare sull’app di Paypal. Il malware prende così per pochi secondi il controllo dell’account Paypal dell’utente, inviando 1000 Euro all’indirizzo Paypal dell’hacker (la valuta dipende dall’ubicazione della vittima).

Tutta l’operazione dura a malapena 5 secondi, e non vi è modo per l’utente di fermare il processo. Da notare che poiché il malware prende il controllo dell’app di Paypal dopo che l’utente ha effettuato il login, questa truffa funziona anche se la protezione a due fattori è attiva.

Il ricercatore Lukas Stefanko ha pubblicato un video dove mostra tutta l’operazione. (https://www.youtube.com/watch?v=yn04eLoivX8).

L’attacco avviene ogni volta che l’utente apre l’app di Paypal, ciò significa che il furto potrebbe ripetersi più e più volte, fino a che l’utente non rimuove il trojan o non blocca il suo conto Paypal. Il furto fallisce solo se l’utente non ha abbastanza soldi sul suo conto e se non vi è alcuna carta di credito collegata. Ma vi è anche un’ulteriore funzione del trojan, che gli consente di rubare i dati della carta di credito dell’utente mostrando delle schermate in overlay per cinque applicazioni: Google Play, WhatsApp, Skype, Viber e Gmail. In questo caso attraverso le finte schermate il trojan ruba i dati della carta di credito che l’utente crede di stare inserendo all’interno delle suddette app, oppure i dati di login a Gmail. Simili schermate di overlay sono usate dal malware anche su diverse app bancarie per rubare le credenziali di accesso agli account di internet banking.

L’unica nota positiva è che questo particolare trojan non si trova sul marketplace ufficiale di Android, Google Play, ma su marketplace di terze parti. I ricercatori ESET tuttavia hanno trovato un altro trojan su Google Play (ora rimosso) che operava in maniera simile e prendeva di mira gli utenti brasiliani, insinuandosi all’interno di alcune app bancarie usate in Brasile.

Come proteggersi?

Bisogna adottare misure preventive e controlli ex-post.

Anzitutto limitarsi a installare app solo da Google Play, perché anche se il marketplace di Google non è estraneo ad app malevole, dopo che queste vengono segnalate generalmente sono rimosse in breve tempo. Nei marketplace di terze parti non sempre questo avviene. Inoltre sarebbe sempre bene controllare i voti e i commenti degli utenti, molte app malevole di solito hanno voti bassi e più di un utente commenta la presenza di truffe o di situazioni non esattamente pulite.

I controlli a posteriori vanno fatti su ogni transazione, sia di carta di credito, sia Paypal, credito telefonico o criptovalute, attivandosi immediatamente se si nota un’attività sospetta.

Infine è sempre consigliabile dotarsi di un prodotto antimalware anche per smartphone. ESET individua questi malware con i nomi Android/Spy.Banker.AJZ e Android/Spy.Banker.AKB.

Quasi tutti i giovani riciclano le loro password, spesso per i propri account personali e addirittura per quelli di lavoro.

Secondo un recente sondaggio, l’aumento degli incidenti di sicurezza informatica e la crescente attenzione delle aziende alla cybersecurity non hanno migliorato questo aspetto della sicurezza legato alle cattive abitudini degli impiegati.

Per certi aspetti, l’attenzione dei dipendenti alla sicurezza informatica sta peggiorando, questo è ciò che emerge dal Market Pulse Survey del 2018 condotto dall’azienda SailPoint, che ha raccolto le opinioni di 1600 dipendenti in organizzazioni con almeno 1000 dipendenti in Australia, Francia, Germania, Italia, Spagna, il Regno Unito e gli Stati Uniti.

Tre intervistati su quattro hanno ammesso di riutilizzare le password dei propri account. Nell’edizione 2014 dello stesso sondaggio questo comportamento riguardava “solo” il 56% dei dipendenti.

La generazione che è cresciuta con la tecnologia e da cui ci si potrebbe aspettare una maggiore attenzione alla sicurezza ha ottenuto invece risultati ancora peggiori, infatti non meno dell’87% delle persone di età compresa tra i 18 e i 25 anni ricicla le password e addirittura quasi la metà tra queste mischia le credenziali di accesso personali con quelle lavorative.

Inoltre, il 31% degli intervistati ha ammesso di aver installato software senza l’autorizzazione del reparto IT dell’organizzazione per cui lavora, in una pratica soprannominata “shadow IT”, attività che ha registrato un aumento del 20% rispetto al 2014. Tale propensione ad adottare atteggiamenti superficiali sulla sicurezza, in tutte le età considerate, è stato in gran parte attribuito agli sforzi dei lavoratori per aumentare la loro efficienza lavorativa.

La sensazione di una frattura tra i dipendenti e i team IT è anche evidenziata dal fatto che oltre la metà (55%) degli intervistati ha dichiarato che il reparto informatico della propria organizzazione può essere fonte di disagio.

In effetti, il 13% dei dipendenti ha ammesso di non avvertire immediatamente il proprio team IT nel caso in sospettasse una violazione al proprio sistema. Addirittura quasi la metà di questa quota di dipendenti (49%) ha affermato che in realtà avrebbero incolpato il reparto IT nel caso si fosse verificato un attacco informatico a seguito della violazione del proprio dispositivo.

Pur senza considerare eventuali intenzioni malevole, anche solo disinteressarsi della sicurezza del proprio sistema aumenta esponenzialmente il numero di rischi che quotidianamente si devono affrontare sia a lavoro che nella vita privata.

A fronte dei risultati di questo sondaggio, ESET Italia suggerisce a tutti gli utenti una gestione delle proprie password che sia il più attenta possibile e ripropone alcuni semplici suggerimenti per aumentare il livello di sicurezza dei propri account:

 

1. Le password corte non vanno bene. Meglio le lunghe passphrase.
   2. Mai riutilizzare una vecchia password.
   3. Usare l’autenticazione a due fattori per migliorare la sicurezza.
   4. Assicurarsi che ogni account utilizzi una password diversa.
   5. Cambiare periodicamente le passphrase.
   6. Usare un sistema di gestione delle password affidabile.

ESET ottiene due importanti riconoscimenti da Radicati e Canalys, tra le principali società di consulenza per il settore della tecnologia, confermandosi come top player nel mercato della sicurezza digitale.

Grazie ai 30 anni di esperienza maturati come pioniere nell’industria della sicurezza informatica, ESET è in grado di offrire soluzioni facili e semplici da utilizzare, venendo incontro alle esigenze sia delle aziende medio piccole che di grandi dimensioni.  Le soluzioni di ESET hanno un impatto ridotto sul sistema, che le rende utilizzabili anche su hardware di non ultima generazione, salvaguardando quindi gli investimenti IT aziendali.

In particolare, ESET è stata identificata come “Top Player” nell’ultima edizione del Radicati Market Quadrant SM, che copre il segmento “Endpoint Security” del settore della IT Security. ESET è stata riconosciuta come leader di mercato con una solida visione del futuro, nonché come azienda che offre prodotti con funzionalità peculiari e avanzate. A seguito della valutazione di Radicati, le soluzioni ESET Endpoint Security sono state premiate per il loro impatto ridotto sul sistema e perché le soluzioni ESET in generale sono disponibili sia per i sistemi Windows che per i macOS. Sempre secondo Radicati, le soluzioni ESET offrono alle aziende una solida protezione, combinando la difesa da malware reputation based con il rilevamento avanzato supportato da tecniche di apprendimento automatico. Inoltre ESET, che in Italia conta più di 3mila rivenditori e che è da sempre molto attenta alla crescita del canale, ha ottenuto lo status di “Champion” nella Leadership Matrix 2018 di Canalys, per la regione EMEA. E’ la prima volta che ESET ottiene questo status, unendosi nell’elenco di quest’anno ad aziende come Dell EMC, HP e Fujitsu. In qualità di Champion, ESET ha ricevuto i punteggi più alti nella sezione Benchmark dei Vendor, distinguendosi per i miglioramenti continui nei processi di canale per semplificare e facilitare l’approccio al mercato, oltre che agli investimenti in programmi; ESET si è distinta inoltre per l’impegno tangibile ad aumentare la quota di entrate generate attraverso i partner. I Champion devono inoltre dimostrare che stanno facendo investimenti sostenibili nel futuro per il canale. Quest’anno, ESET è uno dei quattro fornitori di IT security tra i 12 Champions del 2018, evidenziando l’opportunità che il mercato della sicurezza IT sta creando per i partner. Canalys riconosce il valore strategico in queste relazioni con i partner; nell’era dell’IT digitale e ibrido, i vendor stanno diventando più selettivi in ​​queste relazioni, rendendo lo status di Champion nella Leadership Matrix un risultato ancora più prestigioso per ESET.

Per ulteriori informazioni sugli importanti riconoscimenti ottenuti e sulle soluzioni per la sicurezza informatica di ESET e possibile collegarsi ai seguenti link:

https://www.eset.com/it/aziende/radicati-endpoint-security-report-2018/

https://www.eset.com/it/aziende/

Secondo i ricercatori di ESET i casi di mining di criptovaluta continueranno a crescere nel 2019, coinvolgendo soprattutto i dispositivi intelligenti e gli assistenti di domotica.

 

I ricercatori di ESET, il principale produttore di software per la sicurezza digitale dell’Unione europea, hanno pubblicato il report Cybersecurity Trends 2019: ” Privacy and Intrusion in the Global Village” che descrive in dettaglio le tendenze in ambito di sicurezza informatica che avranno un maggiore impatto sulle imprese e sugli utenti nel 2019, individuandone in particolare 5:

Tendenza #1: Il cryptomining continua a crescere

Nell’ultimo anno il mining di criptovaluta ha superato il ransomware in termini di attenzione dei media e il cryptojacking, il processo mediante il quale un dispositivo viene illegalmente sfruttato dai criminali, non mostra alcun segno di rallentamento. Addirittura, secondo gli esperti di ESET, i cybercriminali dediti al cryptomining cercheranno di ottenere una fetta sempre più grande della torta di questo mercato tentando di rimuovere CoinMiner concorrenti su sistemi compromessi.

 

Tendenza #2: Automazione per promuovere campagne di social engineering

Secondo ESET il 2019 vedrà un aumento nell’uso dell’automazione e dell’apprendimento automatico da parte dei cybercriminali, nel tentativo di raccogliere un maggior numero di dati da utilizzare per avviare campagne di social engineering più personalizzate e sofisticate. Mentre è improbabile che i criminali informatici abbiano accesso diretto alla ricchezza di dati archiviati dalle principali piattaforme di vendita, quelle maggiormente utilizzate dagli utenti per gli acquisti, potrebbero invece utilizzare dei tracker web per seguire le abitudini di navigazione delle vittime o raccogliere informazioni dai broker di dati a scopo di profilazione.

Secondo ESET, mentre alcuni tipi di phishing e di altre truffe fraudolente hanno sicuramente migliorato la loro capacità di imitare le fonti legittime, molti sono ancora estremamente facili da identificare e l’apprendimento automatico potrebbe purtroppo migliorare l’efficacia di questi attacchi.

Tendenza #3: Attenzione alla privacy dei dati che potrebbe distruggere le aziende

Nel 2018, le problematiche relative alla privacy e alla protezione dei dati sono state al centro dell’attenzione generale, soprattutto a causa di una serie di attacchi informatici di alto profilo, di importanti violazioni di dati e di eclatanti mancanze sulla privacy, nonché per l’implementazione del GDPR. Secondo i ricercatori di ESET, è probabile che gli utenti ricercheranno alternative alle piattaforme attualmente più utilizzate, come Facebook. Data l’importanza che hanno i dati dei clienti per le aziende, e quelli degli individui per i criminali informatici,

ESET sostiene che la capacità di gestire correttamente la privacy dei dati potrebbe decidere quali società supereranno indenni il 2019.

 

Tendenza #4: Un passo verso una legge globale sulla privacy?

A seguito dell’introduzione del GDPR, ESET auspica che la legislazione dell’UE sia il primo passo verso una legge globale sulla privacy, in particolare notando che modelli simili cominciano ad apparire in California, Brasile e Giappone. L’attenzione al proteggere i dati dei clienti e garantire la riservatezza delle informazioni sensibili è una questione globale e sicuramente incoraggerà l’introduzione in tutto il mondo di leggi in stile GDPR.

 

Tendenza #5: I criminali puntano i dispositivi domestici intelligenti

Il maggior uso di criptovalute, nonché il costante aumento del numero di dispositivi connessi a Internet, potrebbe indurre nel 2019 i criminali a colpire con maggiore frequenza i dispositivi intelligenti e gli assistenti di domotica, nel tentativo di sfruttarli per creare delle vere e proprie reti dedicate al cryptomining.

I criminali informatici hanno già utilizzato i device IoT per lanciare attacchi denial of service, ma dato che nel 2019 sempre più dispositivi verranno connessi e utilizzati nella vita quotidiana delle persone, gli hacker continueranno con maggiore impegno a cercare le vulnerabilità che possano consentire loro di sfruttarli per distribuire minacce come truffe, ransomware e mining di criptovaluta.

 

Qual è il bilancio del 2018 in termini di sicurezza informatica?

Secondo i ricercatori di ESET il 2018 ha visto gli attacchi ransomware cedere il primato delle minacce al mining delle criptovalute, con attacchi alle piattaforme di trading e agli utenti finali. Gli attacchi ransomware sferrati nell’ultimo anno però sono stati meno numerosi ma molto professionali e in alcuni casi hanno utilizzato EternalBlue come principale meccanismo di distribuzione, alla ricerca di sistemi privi di patch con protocollo SMB vulnerabile. Un’altra delle tendenze osservate da ESET quest’anno è stato il rilascio di molti nuovi zero day tramite i social media.

La buona notizia è che il 2018 ha visto un calo nel numero dei data leaks, almeno rispetto al 2017. È troppo presto per dire se questo è il risultato del GDPR o di altre leggi simili approvate, ma il numero di documenti rubati è in calo ed è il più basso degli ultimi tre anni. Tuttavia, proprio in connessione con l’introduzione delle nuove legislazioni sulla tutela dei dati, ESET prevede che il numero di casi di perdita / violazione dei dati segnalati in generale nel 2019 crescerà.

Partirà domani, 18 Dicembre 2018, la promozione #SafeChristmas di ESET su Google Play, grazie alla quale sarà possibile acquistare i prodotti ESET Mobile Security e ESET Parental Control al 50% di sconto. La promozione è valida sugli acquisti effettuati dal 18 al 31 Dicembre 2018.

ESET Mobile Security per Android

ESET Mobile Security è l’antivirus per Android progettato per rispondere a tutte le esigenze di sicurezza su mobile, senza rallentare i dispositivi e occupando poco spazio nella memoria di sistema.
Una soluzione di protezione completa in grado di proteggere smartphone e tablet dalle minacce emergenti e dalle pagine phishing, filtrare chiamate e messaggi indesiderati e controllare il dispositivo da remoto in caso di smarrimento o furto. Grazie alla promozione #SafeChristmas sarà possibile acquistare ESET Mobile Security con il 50% di sconto sul prezzo di listino.

ESET Parental Control per Android

Il mondo digitale è una meravigliosa fonte di informazione e divertimento per i minori.
ESET Parental Control per Android aiuta i genitori a guidare i propri figli mentre navigano online, mettendo  a disposizione strumenti di gestione delle applicazioni mobile e dei siti web e  suggerendo ciò che è adatto e ciò che invece non è appropriato per i minori. Consente inoltre di localizzare in qualsiasi momento il dispositivo che il minore utilizza e di inviare messaggi che appariranno direttamente sul suo schermo. Grazie alla promozione #SafeChristmas sarà possibile acquistare ESET Parental Control con uno sconto del 50% sul prezzo di listino.

Per ulteriori informazioni sui prodotti di ESET visitare il sito www.eset.it

La telemetria di ESET, il più grande produttore di software per la sicurezza digitale dell’Unione europea, ha rilevato una nuova impennata di infezioni causate da Emotet, un Trojan bancario famoso per la sua architettura modulare, le tecniche di persistenza e il sistema di diffusione automatica simile a quello dei vecchi worm. Secondo i dati di ESET, l’ultima campagna di Emotet è stata avviata il 5 novembre 2018, dopo un periodo di scarsa attività, ed è mirata alle due Americhe, il Regno Unito, la Turchia e il Sudafrica. L’Italia per ora è stata minacciata in maniera marginale, ma non si esclude che nelle prossime settimane Emotet possa insidiare il nostro Paese in maniera più massiva.

Emotet solitamente viene distribuito attraverso campagne di spam che utilizzano tecniche di social engineering per rendere il contenuto dei messaggi estremamente plausibile e quindi maggiormente ingannevole, così da indurre le vittime a eseguire i loro allegati dannosi. Il Trojan viene spesso utilizzato come downloader o dropper per avviare payload secondarie, di solito maggiormente pericolose.

In questa nuova campagna, Emotet impiega allegati Word e PDF dannosi che si presentano come fatture, notifiche di pagamento o avvisi su conti bancari apparentemente provenienti da aziende ed enti legittimi. In alternativa ai file allegati, le email includono dei collegamenti a file remoti pericolosi. Lo scenario tipico di un’infezione causata da questa nuova campagna inizia con la vittima che apre un file Word o PDF dannoso collegato a un’email di spam che sembra provenire da un’organizzazione legittima e familiare. Seguendo le istruzioni nel documento, la vittima abilita le macro in Word o clicca sul collegamento nel PDF. A questo punto la payload di Emotet viene installata e avviata, stabilisce la persistenza sul computer e segnala il successo delle sue attività al proprio server C & C, da cui poi riceve le istruzioni in merito a quali moduli di attacco e payload secondarie scaricare. I moduli aumentano le capacità della payload consentendogli di aggiungere funzionalità come il furto di credenziali, la diffusione sulla rete, la raccolta di informazioni sensibili, il port forwarding e altre ancora. Per quanto riguarda le payload secondarie, questa campagna ha visto Emotet rilasciare sulle macchine compromesse malware come TrickBot e IcedId.

Il recente picco nell’attività di Emotet dimostra che la diffusione di questo Trojan bancario è in continua ascesa, venendo a ragione considerato tra i malware più pericolosi; a causa del suo elevato potenziale distruttivo, Emotet è stato oggetto di un avviso di sicurezza US-CERT a luglio del 2018.

Per ulteriori informazioni sulla nuova campagna di diffusione di Emotet è possibile collegarsi al seguente link: https://blog.eset.it/2018/11/emotet-avvia-una-nuova-campagna-di-spam-su-larga-scala/

L’ultima ricerca di ESET mostra fino a che punto possono spingersi dei criminali per rubare Bitcoin ai clienti di uno specifico servizio di scambio di valuta virtuale.

Il 3 novembre, gli hacker hanno violato con successo StatCounter, una delle principali piattaforme di analisi Web. Questo servizio è utilizzato da molti webmaster per raccogliere statistiche sui loro visitatori – un servizio molto simile a Google Analytics. Per fare ciò, i webmaster di solito aggiungono un tag JavaScript esterno che incorpora una parte di codice da StatCounter – www.statcounter [.] com / counter / counter.js – in ogni pagina Web. Pertanto, compromettendo la piattaforma StatCounter, i criminali possono inserire il codice JavaScript in tutti i siti Web che utilizzano StatCounter.

Secondo i dati della stessa azienda, StatCounter è utilizzato da oltre di 2 milioni di siti e calcola statistiche per oltre 10 miliardi di pagine visitate al mese. Questa informazione è in linea con il punteggio riportato da Alexa che è di poco superiore a 5000. Per fare un confronto, Alexa assegna al sito ufficiale della distribuzione Debian Linux, debian.org, un rank molto simile.

I criminali hanno modificato lo script in www.statcounter [.] com / contatore / counter.js aggiungendo del codice malevolo, identificato come “prettified” proprio nel mezzo dello script. Ciò è inusuale poichè solitamente gli hacker lo aggiungono all’inizio o alla fine di un file legittimo. Il codice iniettato nel mezzo di uno script esistente è in genere più difficile da rilevare.

Lo script è compresso con il packer di Dean Edwards, che è probabilmente il packer JavaScript più popolare. Tuttavia, può essere facilmente decompresso, rendendolo così possibile da eseguire come mostrato di seguito.

Questa porzione di codice verificherà innanzitutto se l’URL contiene myaccount / withdraw / BTC . Quindi, è possibile già supporre che l’obiettivo dei criminali sia quello di raggiungere una piattaforma Bitcoin. Se il controllo passa, lo script continua ad aggiungere un nuovo elemento script alla pagina Web e a incorporare il codice in https: //www.statconuter [.] com / c.php.

Da notare che gli hacker hanno registrato un dominio molto simile a quello legittimo di StatCounter, statcounter [.] com, semplicemente cambiando due lettere, che possono essere difficili da rilevare quando si controllano i registri alla ricerca di attività insolite. È interessante notare che, controllando il DNS passivo del dominio, questo era già stato sospeso nel 2010 per abuso.

Come spiegato sopra, lo script punta a uno specifico indirizzo URL (Uniform Resource Identifier): myaccount / withdraw / BTC. I ricercatori di ESET hanno inoltre scoperto che tra i diversi servizi di scambio in tempo reale di criptovaluta, attualmente solo gate.io ha una pagina valida con questo URL, pertanto questo servizio di scambio sembra essere l’obiettivo principale dell’attacco. Questa piattaforma è piuttosto popolare, considerando che viene classificata da Alexa con un punteggio di 26251.

Inoltre, secondo coinmarketcap.com ogni giorno su questo servizio transitano diversi milioni di dollari e questo lo rende particolarmente appetibile per i criminali che intendono rubare criptovaluta su larga scala.

La pagina Web https: //www.gate [.] Io / myaccount / withdraw / viene utilizzata per trasferire Bitcoin da un account gate.io a un indirizzo Bitcoin esterno.

Non sorprenderà quindi scoprire che la payload della seconda fase, da statconuter [.] com / c.php , è stata progettata per rubare Bitcoin. In quest’ottica ha senso iniettare lo script nella pagina Web gate.io Bitcoin transfer.

Nella vera pagina di gate.io, esiste già una funzione doSubmit , chiamata quando l’utente fa clic sul pulsante di invio, ma qui in questo attacco gli hacker lo hanno appositamente ridefinito.

Lo script sostituisce automaticamente l’indirizzo Bitcoin di destinazione con uno appartenente ai criminali, ad esempio 1JrFLmGVk1ho1UcMPq1WYirHptcCYr2jad. Il server malevolo genera un nuovo indirizzo Bitcoin ogni volta che un visitatore carica lo script statconuter [.] com / c.php, ciò rende molto difficile capire quanta valuta sia stata effettivamente trasferita sui conti dei malfattori.

A seconda che la vittima abbia o meno una disponibilità di prelievo superiore ai 10 BTC al giorno, i criminali punteranno a consumarla completamente o raggiungeranno il limite giornaliero. Nell’ account di prova utilizzato da ESET, la soglia di prelievo era impostata in maniera predefinita su 100 BTC. Nell’ultima fase dell’attacco, lo script dannoso carica un modulo che esegue il trasferimento dall’account della vittima al portafoglio dei criminali.

Tutto il processo di reindirizzamento risulta molto probabilmente impercettibile per le vittime, poiché la sostituzione viene eseguita dopo aver fatto clic sul pulsante di invio e il trasferimento accadrà molto rapidamente e il processo non verrà nemmeno visualizzato.

La generazione automatica di nuovi indirizzi per il passaggio dei Bitcoin non ha permesso di raccogliere dati sulla quantità di criptovaluta finora raccolta dagli hacker, per esempio controllando l’indirizzo ricevuto sulla macchina di prova utilizzata da ESET, il saldo è di 0 BTC.

 

Conclusione

Anche se non si conosce l’ammontare dei Bitcoin rubati, questo attacco dimostra quanto impegno i criminali stiano profondendo per colpire gli scambi di criptovaluta. Ad esempio, in questo caso, per raggiungere il loro obiettivo hanno compromesso il sito Web di un servizio di analisi utilizzato da oltre due milioni di altri siti Web, tra cui alcuni legati ad agenzie governative, per rubare Bitcoin dai clienti di un solo sito Web per lo scambio di criptovaluta.

Dimostra inoltre che un sito Web, anche aggiornato e adeguatamente protetto, rimane comunque vulnerabile al link di una risorsa esterna. Questo ricorda come un codice JavaScript esterno sia sotto il controllo di una terza parte e possa essere modificato in qualsiasi momento senza preavviso.

Indirizzi URL pericolosi

• statcounter[.]com/counter/counter.js
• statconuter[.]com/c.php

Per ulteriori informazioni su ESET è possibile visitare il sito www.eset.it

Grazie a funzionalità molto complesse, possono impersonare in modo dinamico qualsiasi app installata su un dispositivo compromesso, intercettando i registri delle chiamate, reindirizzando i messaggi di testo e scaricando altre applicazioni

 

Scoprire cosa riserva il futuro è una tentazione a cui pochi si sottraggono e sono milioni gli italiani che si affidano alle app a tema oroscopo nel tentativo di prevedere le gioie e i dolori che nasconde il domani. Poteva allora un campo tanto delicato quanto invitante non far gola ai cybercriminali? Evidentemente no.    I ricercatori di ESET hanno infatti individuato su Google Play ben 29 trojan mascherati da app a tema oroscopo, oltre che da gestori di batterie e cleaner di dispositivi. Queste app, che hanno operato in modo indisturbato da agosto a ottobre 2018, sono state installate da quasi 30.000 utenti, prima di essere rimosse da Google Play.

A differenza delle app maligne sempre più diffuse che cercano di imitare istituzioni finanziarie legittime proponendo visualizzazioni di schermate di login fasulle, queste app appartengono alla categoria dei sofisticati malware per mobile banking con funzionalità molto complesse e sono in grado di indirizzare dinamicamente le app trovate sul dispositivo della vittima con moduli di phishing personalizzati. Oltre a ciò, possono impersonare in modo dinamico qualsiasi app installata su un dispositivo compromesso, intercettando i registri delle chiamate, reindirizzando i messaggi di testo e scaricando altre app sul dispositivo compromesso. Queste app dannose sono state caricate con nomi e modalità di sviluppatori per lo più diversi, ma le somiglianze di codice e un server C & C condiviso suggeriscono che siano opera di un singolo utente o di un gruppo.

 

Come funzionano le app oroscopo fake?

Una volta avviate, le app mostrano un errore in cui affermano di essere state rimosse a causa dell’incompatibilità con il dispositivo, nascondendosi poi dalla vista della vittima o fornendo l’attività promessa, ad esempio la visualizzazione di oroscopi.

La funzionalità dannosa principale è nascosta in una payload crittografata che si trova nelle risorse di ciascuna app, che attiva una procedura a cascata che porta al download di una ulteriore payload che contiene il malware bancario. Come già accennato, la funzionalità della payload finale è quella di impersonare le app bancarie installate sul dispositivo della vittima, intercettare e inviare messaggi SMS, scaricare e installare applicazioni aggiuntive a scelta del cyber criminale. La caratteristica più significativa è che il malware può impersonare in modo dinamico qualsiasi app installata su un dispositivo compromesso. Ciò è possibile duplicando il codice HTML delle app installate sul dispositivo e utilizzando quel codice per sovrapporre app legittime con moduli fasulli, dando alla vittima poche possibilità di notare che qualcosa non va.

 

Come proteggersi

Fortunatamente, questi particolari trojan bancari non impiegano trucchi avanzati per assicurare la loro persistenza sui dispositivi interessati. Pertanto, se un utente sospetta di aver installato una di queste app, può semplicemente disinstallarle in Impostazioni> (Generale)> Gestione applicazioni / App.

Gli esperti di ESET consigliano inoltre di verificare le transazioni sospette sul proprio conto bancario e di prendere in considerazione la modifica della password di accesso / codice PIN dell’Internet banking.

Per evitare di cadere vittima del malware bancario, gli eserti di ESET consigliano di:

• Scaricare solo app da Google Play; ciò non garantisce che l’app non sia dannosa, ma app come queste sono molto più comuni negli app store di terze parti, dove vengono raramente rimosse una volta scoperte, a differenza di Google Play.
• Assicurarsi di controllare il numero di download, le valutazioni delle app e il contenuto delle recensioni prima di scaricare app da Google Play

• Prestare attenzione a quali autorizzazioni vengono concesse alle app installate
• Mantenere il dispositivo Android aggiornato e utilizzare una soluzione di sicurezza mobile affidabile; I prodotti ESET rilevano e bloccano questa minaccia come Android / TrojanDropper.Agent.CIQ.

 

Per ulteriori informazioni sull’argomento visitare il sito https://blog.eset.it/2018/10/le-app-oroscopo-su-google-play-utilizzate-per-distribuire-trojan-bancari/

 

Ottobre è il mese dedicato alla sicurezza informatica e per aiutare gli utenti a difendersi dalle truffe quotidianamente diffuse su Internet, gli esperti ESET hanno deciso di compilare un piccolo, ma fondamentale, elenco di consigli per individuare le minacce phishing.

Che si tratti di messaggi SMS, WhatsApp o email lo scopo dei criminali è sempre quello, indurre l’utente a cliccare su un contenuto pericoloso che permetterà di sottrarre ai malcapitati informazioni riservate come i dati personali o quelli finanziari.

Inoltre però le nuove campagne di phishing sono sempre più sofisticate e rese plausibili per gli utenti che quotidianamente sono bersagliati da messaggi che sembrano provenire dalla loro banca, da famose catene di negozi o addirittura dalla Polizia Postale stessa.

Proprio per questo ESET consiglia a tutti gli utenti di considerare questi 5 punti prima di ritenere affidabile il contenuto di un messaggio:

1. Massima prudenza durante la navigazione online

Il primo consiglio potrebbe sembrare banale, ma non lo è affatto; il fattore umano è considerato infatti a ragione l’anello debole del processo di sicurezza ed è quindi sempre estremamente importante   usare attenzione e prudenza durante la navigazione on-line e nel leggere le email. Ad esempio, mai cliccare in automatico su link (anche sui social media), scaricare file o aprire allegati e-mail, anche se sembrano provenire da una fonte nota e attendibile.

2. Attenzione ai link abbreviati

E’ importante fare attenzione ai collegamenti abbreviati, in particolare sui social media. I criminali informatici spesso utilizzano questo tipo di stratagemma per ingannare l’utente, facendogli credere che sta cliccando su un link legittimo, quando in realtà è stato pericolosamente dirottato verso un sito fasullo.

Gli esperti di ESET consigliano di posizionare sempre il mouse sul link per vedere se questo effettivamente punta al sito di interesse o se al contrario potrebbe indirizzare verso altre destinazioni pericolose.

I criminali informatici possono usare questi siti ‘falsi’ per rubare i dati personali inseriti o per effettuare un attacco drive-by-download, infettando il dispositivo con dei malware.

3. Dubbi su un messaggio di posta? Leggerlo di nuovo!

Le email di phishing sono spesso evidenti e identificarle è abbastanza facile. Nella maggior parte dei casi presentano infatti molti errori di battitura e punteggiatura, parole interamente scritte in maiuscole e vari punti esclamativi inseriti a caso nel testo. Inoltre hanno spesso un tono impersonale e saluti di carattere generico, tipo ‘ Gentile Cliente ‘, seguiti da contenuto non plausibile o fuori contesto.

I cybercriminali spesso commettono errori in queste e-mail, a volte anche intenzionalmente per superare i filtri anti-spam dei provider.

4. Diffidare dalle minacce e dagli avvisi di scadenze imminenti

Molto raramente gli enti pubblici o le aziende importanti richiedono agli utenti un intervento urgente; di solito le minacce e l’urgenza – soprattutto se provenienti da aziende estremamente famose – sono un segno di phishing.

Alcune di queste minacce possono includere le comunicazioni su una multa, o il consiglio a bloccare il proprio conto. Bisogna ignorare queste tattiche intimidatorie e contattare il mittente privatamente attraverso altri canali.

5. Navigare sicuri sul protocollo HTTPS

Si dovrebbe sempre, ove possibile, usare un sito web sicuro per navigare (indicato da https: // contraddistinto dall’icona a “lucchetto” nella barra degli indirizzi del browser), soprattutto quando si trasmettono delle informazioni sensibili online come ad esempio i dati della carta di credito.

Non si dovrebbe mai usare una rete WiFi pubblica per accedere al proprio conto bancario, per acquistare o immettere informazioni personali online. In caso di dubbio, utilizzare la connessione 3/4G o LTE del vostro dispositivo. In futuro sarà sempre più facile individuare i siti non sicuri, infatti la stessa Google ha iniziato a segnalare ai suoi utenti i siti che non offrono una protezione adeguata. 

Per ulteriori informazioni su ESET Italia visitare il sito www.eset.it

ESET, il più grande produttore di software per la sicurezza digitale dell’Unione europea, annuncia il rilascio delle nuove versioni di ESET NOD32 Antivirus, ESET Internet Security e di ESET Smart Security Premium, che offrono una protezione multilivello più efficace, un sistema di difesa degli IoT migliorato e dei nuovi report di sicurezza personalizzati. Gli utenti possono contare sul miglior bilanciamento possibile tra velocità, rilevamento e semplicità d’uso, per proteggere i loro dispositivi costantemente connessi.

Con l’introduzione nella vita quotidiana di più dispositivi collegati a Internet, la quantità di dati personali e sensibili condivisi aumenta, così come il numero di punti di ingresso nelle reti. Si prevede che entro il 2025 ci saranno oltre 75 miliardi di congegni connessi in tutto il mondo – da quelli smart domestici a quelli elettronici per la salute fisica – e questo rappresenta una vera minaccia alla sicurezza informatica. Il miglioramento del sistema di protezione per IoT permetterà ai clienti di ESET di ottenere la massima protezione possibile sui loro dispositivi e router domestici.

Come per gli anni precedenti, per combattere tutte queste minacce gli utenti possono scegliere ESET NOD32 Antivirus che garantisce una protezione antimalware di base, ESET Internet Security che aggiunge a questa ulteriori livelli di sicurezza ed ESET Smart Security Premium, dedicato agli utenti che cercano il migliore sistema di protezione con le più avanzate funzionalità sul mercato, includendo tecnologie come password manager e protezione bancaria.

Basati sull’apprendimento automatico e su oltre trent’anni di esperienza – tutti i prodotti ESET funzionano in background senza interferire con le attività dell’utente. L’offerta chiave assicura una scansione semplice da avviare e ultraveloce senza alcun impatto sul sistema operativo o sull’utilizzo dei device.

Le nuove versioni delle soluzioni consumer di ESET offrono nuove funzionalità e miglioramenti rispetto alle precedenti, tra cui:

• Rapporti sulla sicurezza – forniscono agli utenti una panoramica di ciò che la soluzione ESET ha rilevato, bloccato e risolto attivamente in background, mentre i computer degli utenti continuano nelle loro attività senza rallentamenti. Gli utenti possono scegliere tra cinque elementi preimpostati in base alle priorità specificate in fase di installazione e ottenere informazioni su altre funzionalità come Secure Data, Password Manager, Antifurto o Parental Control.
• Installazione migliorata – gli utenti ora risparmiano fino al 40% del tempo nel processo di installazione a seconda della configurazione del dispositivo. Ora per installare i nuovi prodotti ESET basteranno solo pochi secondi.

• Verifica dei dispositivi domestici connessi – questa funzionalità, migliorata rispetto alle precedenti versioni di prodotto, consente agli utenti di controllare i dispositivi smart collegati al router per ricercare possibili criticità, come per esempio l’uso di password deboli, suggerendo possibili correzioni. Permette inoltre agli utenti di individuare le vulnerabilità delle porte, quelle note del firmware, i domini dannosi, la password del router debole o predefinita e le infezioni da malware.
• Raccomandazione del prodotto (referral) – si tratta di una nuova funzionalità che offre a tutti gli utenti ESET la possibilità di raccomandare il prodotto a parenti o amici. Gli utenti con una versione di prova vengono premiati: un referral di amici equivale a un mese in più di protezione gratuita.

Gli esperti di ESET hanno creato i nuovi prodotti per offrire una migliore protezione rispetto a quella nativa di Windows e mostrare agli utenti quanto un approccio multilivello alla sicurezza informatica possa essere efficace per affrontare le minacce sempre più complesse diffuse su Internet.

UEFI e Rootkit entrano di diritto tra le APT pubblicamente riconosciute

 Con il passare del tempo, la conoscenza dei termini informatici è cresciuta sia tra il grande pubblico sia tra le imprese. Ciò ha portato anche a una crescente consapevolezza delle minacce tecnologiche. Malware, ransomware, criptomining e minacce persistenti avanzate sono entrate nella nostra coscienza collettiva, se non addirittura come termini di uso comune. Tuttavia, vi sono minacce che non sono così popolari e di cui solo i più informati sono consapevoli.

Introduzione ai rootkit e UEFI

Nel 2007, in seguito all’accordo tra Intel, AMD e Microsoft, nonché ai produttori di PC su una necessità di superare i limiti del sistema BIOS (Basic Input / Output System) e in vista dell’implementazione di sistemi operativi a 64 bit, nasce l’UEFI (Unified Extensible Firmware Interface). Questa scelta fu in gran parte dettata dalla necessità di migliorare le prestazioni e la sicurezza dei processi di avvio del PC.

Oltre a seguire da vicino la transizione dal BIOS all’UEFI per tutto il 2007, ESET si unì pubblicamente alla discussione sulla sicurezza e nel 2012 ha ipotizzato che il nuovo sistema di avvio potesse diventare un vettore di minacce concrete. Nello specifico, le preoccupazioni si sono concentrate sulla potenziale distribuzione di strumenti che potrebbero (come con BIOS) alterare o manipolare un PC durante la sua sequenza di avvio. Negli anni successivi, molti nel settore e probabilmente anche tantissimi criminali informatici si sono interrogati sulle modalità per sviluppare dei rootkit specifici in grado di sfruttare questo canale di infezione. Ma fino a poco tempo fa questi intenti rimasero solo ipotetici.

Tuttavia, “Visto tutto l’interesse nel poter sfruttare la sequenza di avvio di un PC per attaccarlo, abbiamo deciso di concentrarci sull’identificare tutte le minacce in grado di sfruttare questa fase” come affermato da Roman Kovac, Chief Research Officer di ESET. Mentre molti esperti di sicurezza informatica in tutto il mondo si occupavano di monitorare i rootkit, inclusi quelli UEFI, ESET ha deciso di creare una nuova funzionalità da integrare nella propria tecnologia che fosse in grado di rilevare le modifiche del firmware.

Una complicazione con la scansione UEFI è che ci sono molti motivi legittimi per la sua modifica. Purtroppo però molti degli stessi vettori che consentono questo tipo di modifiche come la diagnostica o la manutenzione remota, possono anche essere utilizzati in modo scorretto per sfruttare delle vulnerabilità. Tra i metodi studiati sicuramente quello di intervenire fisicamente sulla macchina era finora il più probabile, pensiamo per esempio a un dipendente scontento o a un intruso che modifica il firmware delle macchine di un’azienda allo scopo di danneggiarla.

Un’altra opzione, l’ultima scoperta in ordine di tempo e che maggiormente ci interessa, è un attacco remoto che utilizzi un malware e vari altri strumenti per modificare il firmware.

ESET è l’unico fornitore tra i Top 20 a fornire questo livello di protezione in grado di bloccare un simile attacco, ma questa scelta è stata possibile soltanto allontanandosi dai classici paradigmi della sicurezza informatica. Questa decisione ha richiesto enormi sforzi nella ricerca e sviluppo per implementare l’ESET UEFI Scanner già a partire dal 2017 e aggiungendo così la possibilità di eseguire la scansione del firmware di un computer alla tecnologia multilivello presente nelle nostre soluzioni aziendali e consumer.

Il mito diventa realtà – Sednit trasforma il software antifurto in un APT.

Tra i criminali informatici, le cybergang e le minacce malware che ESET e l’industria in generale hanno tracciato, il gruppo Sednit noto anche come Fancy Bears è sicuramente un “sorvegliato speciale”.

Sospettato di celarsi dietro molti attacchi di alto profilo in ambito politico, giornalistico e persino sportivo, Sednit vanta nel suo arsenale un insieme diversificato di potenti strumenti malware.

Nel documento “En Route with Sednit” divulgato nell’ottobre 2016, ESET ha precorso i tempi discutendo le prolifiche capacità del gruppo. Da allora abbiamo raccolto un ampio set di indizi rintracciando gli strumenti utilizzati dal gruppo.

A maggio, i membri della più ampia comunità di cyber security hanno descritto come il codice del file eseguibile di LoJack di Absolute Software, una soluzione legittima per il recupero di laptop, fosse stato infettato con un Trojan. Ora i ricercatori ESET hanno dimostrato che dietro questa infezione vi sia proprio il gruppo Sednit, noto anche come FancyBears.

Campioni malevoli mostrano le comunicazioni con un server di comando e controllo (C & C) compromesso invece del server legittimo di Absolute Software, che alterano le impostazioni di configurazione hardcoded del prodotto originale. Tra gli altri indizi troviamo l’uso dei domini C & C per la famigerata backdoor di primo livello, SedUploader, registrato per la prima volta nel 2017.

A causa di queste connessioni i ricercatori di ESET hanno iniziato a riferirsi all’utilizzo malevolo della campagna del software legittimo, come LoJax.

Cosa significa questo assalto al sistema UEFI per gli utenti?

Senza esagerare, il fatto che il malware che si sta infiltrando con successo nell’UEFI sia stato trovato in-the-wild è motivo di seria preoccupazione. Dal momento che l’hacking UEFI migliora la persistenza del malware ed è quasi non identificabile dai tradizionali metodi di scansione delle classiche soluzioni di sicurezza informatica, gli hacker sono alla ricerca di modi per ottenere l’accesso, aumentare i privilegi degli utenti e scrivere direttamente sull’interfaccia UEFI, ovvero parte della memoria flash che contiene il codice attendibile per avviare il computer.

Per ulteriori informazioni sull’argomento è possibile collegarsi al seguente link: https://www.eset.com/it/uefi-rootkit-cyber-attack/

I ricercatori di ESET, il più grande produttore di software per la sicurezza digitale dell’Unione europea, hanno individuato Exaramel, una nuova backdoor utilizzata da TeleBots – il gruppo responsabile dell’enorme diffusione del ransomware (Not) Petya – che rivela forti similitudini nel codice con la backdoor principale di Industroyer, il più potente malware moderno rivolto ai sistemi di controllo industriale e responsabile del blackout elettrico di Kiev, nel 2016. La forte somiglianza tra Exaramel e la backdoor principale di Industroyer è la prima prova presentata pubblicamente che collega Industroyer a TeleBots e quindi a (Non) Petya e a BlackEnergy.

La scoperta di Exaramel mostra che nel 2018 il gruppo TeleBots è ancora attivo e che i criminali continuano a migliorare i loro strumenti e le loro tattiche.

Analisi della backdoor Exaramel

La backdoor Exaramel viene inizialmente rilasciata da un dropper che, una volta eseguito, installa il codice binario della backdoor nella directory di sistema di Windows, creando e avviando un servizio Windows denominato wsmproav con la descrizione “Windows Check AV”. Il nome file e la descrizione del servizio Windows sono codificati nel dropper.

Nel caso di Exaramel gli hacker raggruppano i loro obiettivi in base alle soluzioni di sicurezza in uso e un comportamento simile si può trovare nel toolset Industroyer; in particolare alcune backdoor di questo malware sono state camuffate come servizio legato all’AV (distribuito con il nome avtask.exe) e utilizzato nello stesso raggruppamento.

Un altro fatto interessante è che la backdoor utilizza server C & C con nomi di dominio che imitano quelli appartenenti a ESET, come esetsmart [.] org e um10eset [.] net.

Una volta che la backdoor è in esecuzione, si connette a un server C & C e riceve i comandi da eseguire.

Il codice del ciclo di comando e le implementazioni dei primi sei comandi sono molto simili a quelli trovati in una backdoor utilizzata nel toolset di Industroyer.

La principale differenza tra la backdoor del toolset Industroyer e Exaramel è che quest’ultima usa il formato XML per la comunicazione e la configurazione invece di un formato binario personalizzato.

Strumenti pericolosi per la sottrazione di password

Insieme alla backdoor Exaramel, questo gruppo utilizza alcuni dei suoi vecchi strumenti, tra cui un password-stealer internamente chiamato CredRaptor o PAI e un Mimikatz leggermente modificato.

Lo strumento Credraptor, noto dal 2016, è stato leggermente migliorato. A differenza delle versioni precedenti, raccoglie le password salvate non solo dai browser, ma anche da Outlook e da molti client FTP.

 

1. I ricercatori di ESET, nella descrizione dei cyber attacchi, analizzano connessioni basate su indicatori tecnici quali similarità del codice, infrastruttura C & C condivisa, catene di esecuzione del malware e così via e non sono direttamente coinvolti nell’indagine e nell’identificazione delle persone che codificano il malware e / o che lo distribuiscono. Per questo ESET si astiene da speculazioni in merito all’attribuzione degli attacchi a particolari nazioni o enti governativi.

 

I ricercatori di ESET, il più grande produttore di software per la sicurezza digitale dell’Unione europea, hanno individuato GreyEnergy, una nuova minaccia utilizzata negli ultimi tre anni in attacchi a società energetiche e ad altri obiettivi di alto valore in Ucraina e Polonia. Riconducibile ai successori del gruppo BlackEnergy, questo attore di minacce si concentra sullo spionaggio e sulla ricognizione, probabilmente in preparazione di futuri attacchi di cyber sabotaggio.

GreyEnergy è comparso insieme a TeleBots ma a differenza del suo cugino più noto, non opera solo in Ucraina e finora non è stato pericoloso. Secondo l’analisi approfondita di ESET, il malware di GreyEnergy è strettamente legato a quello di BlackEnergy e di TeleBots. È strutturato in maniera modulare, quindi le sue funzionalità dipendono dalla particolare combinazione dei moduli caricati dall’operatore nei sistemi della vittima. I moduli descritti nell’analisi di ESET sono stati utilizzati per scopi di spionaggio e ricognizione e comprendono backdoor, estrazione di file, acquisizione di schermate, keylogging, password, furto di credenziali ed altro ancora.

BlackEnergy ha terrorizzato l’Ucraina per anni ed è balzato agli onori della cronaca nel dicembre 2015 quando ha causato un blackout che ha lasciato 230mila persone senza elettricità, nel primo evento di questo tipo causato da un attacco informatico. Contemporaneamente al verificarsi di questo incidente rivoluzionario, i ricercatori di ESET hanno iniziato a rilevare un’altra struttura per la diffusione di malware e l’hanno chiamata GreyEnergy.

L’attacco del 2015 alle infrastrutture energetiche ucraine è l’ultima operazione conosciuta in cui è stato utilizzato il set di strumenti BlackEnergy. Successivamente, i ricercatori ESET hanno documentato un nuovo sottogruppo APT, TeleBots, famoso per la diffusione globale di NotPetya, il malware che cancella il disco e che ha interrotto le transazioni commerciali globali nel 2017, causando danni per miliardi di dollari USA. I ricercatori di ESET hanno recentemente confermato che TeleBots era collegato anche all’Industroyer, il potente e innovativo malware che ha come obiettivo i sistemi di controllo industriale e che si è reso colpevole del secondo blackout elettrico nella capitale ucraina, Kiev, nel 2016.

La scoperta e l’analisi di GreyEnergy da parte di ESET è importante per una difesa efficace contro questo particolare attore di minacce e per una migliore comprensione delle tattiche, degli strumenti e delle procedure dei gruppi APT più avanzati.

1. I ricercatori di ESET, nella descrizione dei cyber attacchi, analizzano connessioni basate su indicatori tecnici quali similarità del codice, infrastruttura C & C condivisa, catene di esecuzione del malware e così via e non sono direttamente coinvolti nell’indagine e nell’identificazione delle persone che codificano il malware e / o che lo distribuiscono. Per questo ESET si astiene da speculazioni in merito all’attribuzione degli attacchi a particolari nazioni o enti governativi.

Secondo una ricerca della piattaforma Akamai le aziende di videogiochi subiscono danni per oltre il 40% dei loro profitti per colpa degli attacchi dei criminali informatici. “Non è solo l’intero business a subire questa nuova ondata di criminalità, ma l’impatto sta diventando significativo anche per i giocatori – sottolinea la società – Per esempio i tempi di inattività, dovuti alle violazioni, possono innervosire chi si aspetta un gioco veloce e reattivo. Peggio ancora, se i database dei giocatori vengono violati, oltre ad essere compromessi, i dati personali possono essere venduti e ne può essere fatto cattivo uso”.

Sempre dall’analisi di Akamai sarebbero due le principali tecniche di attacco dei criminali, il ‘credential stuffing‘ e gli attacchi DDoS (Distributed Denial of Service). La prima di queste è un tipo di violazione che mira a sottrarre le credenziali degli utenti di un determinato servizio online e la creazione di bot con lo scopo di tentare l’accesso, grazie alle informazioni sottratte, a moltissimi altri siti e portali Web. La seconda invece è una tipologia di attacchi ben nota in ambito informatico, quelli DDoS, in cui si impegnano le risorse dell’obiettivo fino a farle collassare con conseguente blocco del sistema. “Quando il business si fonda sull’essere a disposizione degli utenti in tempo reale – concludono gli esperti di Akamai -, attacchi di DdoS possono avere un impatto importante”.

ESET Italia in virtù di quanto emerso, non può che consigliare a tutti i giocatori online di modificare le proprie password di accesso il più spesso possibile, in modo da limitare al massimo l’efficacia di questo tipo di attacchi.

• Secondo un recente studio dell’Università di Plymouth alcuni dei siti Web più popolari e visitati sono ancora in gran parte restii nel chiedere agli utenti di scegliere password più sicure.
• Questa ricerca ha valutato se i servizi Internet più utilizzati in lingua inglese aiutano gli utenti a migliorare la loro sicurezza fornendo indicazioni sulla creazione di password più sicure durante l’iscrizione all’account o nei processi di modifica della password.
• Sempre da quanto emerge dallo studio dell’Università di Plymouth, alcuni dei più grandi nomi della Rete non indicano agli utenti scelte più sicure nel creare o modificare le password.
• Steven Furnell, professore di Information Security presso l’università britannica, ha recentemente condotto un esame sulle pratiche legate alle password di Google, Facebook, Wikipedia, Reddit, Yahoo, Amazon, Twitter, Instagram, Microsoft Live e Netflix. I risultati – riassunti in un documento intitolato “Valutare le pratiche sulle password del sito Web” – sono stati analizzati sulla base di ricerche durate oltre un decennio.
• Quali sono quindi i risultati? In breve, alcuni dei maggiori servizi online del mondo “consentono ancora alle persone di utilizzare la parola password, mentre altri permettono password di un singolo carattere, altri ancora addirittura di utilizzare il cognome di una persona o la ripetizione del proprio nome utente”.
• In altre parole, secondo il sondaggio, anche se ci sono stati piccoli miglioramenti sotto alcuni aspetti, il quadro è rimasto sostanzialmente invariato nel corso degli anni. Quindi pur a fronte della crescente minaccia di attacchi informatici e violazioni della privacy, purtroppo moltissime persone continuano a commettere uno degli errori di sicurezza più comuni scegliendo password inaccettabili.
• Una delle poche nota positive è rappresentata dalla significativa diminuzione del numero di siti popolari in cui è possibile usare il nome password come password. Inoltre, i servizi che consentono di aggiungere una protezione aggiuntiva a quella offerta dalla classica password, supportando l’autenticazione a due fattori (2FA), sono passati da tre a otto tra il 2011 e il 2018.
• Dei dieci servizi online in esame (sebbene la loro composizione non sia rimasta invariata nel corso degli anni), Google, Microsoft Live e Yahoo forniscono la migliore assistenza agli utenti nella creazione di una password sicura. Ciò vale sia per l’edizione del 2014 che per quella del 2018 del sondaggio.
• Come quattro anni fa tra i peggiori servizi in questo senso continua a spiccare Amazon, purtroppo raggiunto da Reddit e Wikipedia come emerge dallo studio di quest’anno.
• Ora, in assenza di un intervento deciso da parte di questi importanti servizi ESET ricorda che è opportuno utilizzare password lunghe, complesse e casuali come le passphrase, molto più sicure perché più difficili da decifrare, diversificandole per ogni account online a cui si è registrati.
• Inoltre un altro metodo efficace per evitare la violazione dei propri profili, è l’autenticazione a due fattori (2FA), ovvero un secondo passaggio per accedere al servizio prescelto dopo aver inserito la password, che di norma avviene con l’inserimento di un codice “usa e getta” ricevuto sul proprio dispositivo mobile fornito al momento dell’attivazione.
• Attivare questa modalità fornisce un ulteriore livello di difesa oltre il semplice passcode, password, o passphrase e protegge in caso di debolezza delle stesse. Come visto però molti fornitori di servizi online, tra cui anche quelli più famosi, devono ancora implementare la 2FA nei loro sistemi di autenticazione, ed è possibile verificare lo stato di vari siti Web collegandosi alla pagina https://twofactorauth.org/.

ESET, il più grande produttore di software per la sicurezza digitale dell’Unione europea, è ora membro del gruppo consultivo di Europol sulla Internet security. A rappresentare ESET nel gruppo sarà Righard Zwienenberg, esperto di sicurezza IT e ricercatore senior di ESET. Il gruppo lavora all’interno dell’European Cybercrime Centre di Europol.

“Il compito di ESET è quello di proteggere centinaia di milioni di utenti, nonché di educarli e sensibilizzarli sul crimine informatico. In passato abbiamo già aiutato le forze dell’ordine a dare la caccia ai criminali informatici, ed ora saremo ancora più attivi nel mettere a disposizione di Europol gli input e le conoscenze che possono servire a proteggere gli utenti online e a combattere le operazioni dei criminali informatici. ” afferma Righard Zwienenberg, ricercatore senior di ESET, originario dell’Aia, la stessa città dove risiede il quartier generale dell’Europol. “ESET si unisce al gruppo consultivo come la più grande società di sicurezza IT con sede nell’Unione europea, partner di Europol e consulente in materia di criminalità informatica, un fatto che ci rende ancora più orgogliosi di questa opportunità” ha aggiunto Righard Zwienenberg.

Europol ha istituito l’European Cybercrime Centre per rafforzare la risposta delle forze dell’ordine alla criminalità informatica nell’Unione europea e, quindi, per proteggere i cittadini, le imprese e i governi europei dal cybercrime. Fin dalla sua istituzione, il Centro ha dato un contributo significativo alla lotta contro la criminalità informatica ed è stato coinvolto in decine di operazioni di alto profilo e centinaia di attività di supporto operativo in loco. Europol è l’agenzia per l’applicazione della legge dell’Unione europea.

 

“Fin dalla sua istituzione nel 2013, l’European Cybercrime Centre ha collaborato con le società di sicurezza informatica per proteggere i cittadini europei dai criminali informatici. Siamo lieti di accogliere ESET a bordo, insieme ai loro consigli, per affrontare il problema sempre crescente delle attività online dannose “, afferma Steven Wilson, capo dell’European Cybercrime Centre (EC3) di Europol.

La collaborazione di ESET con le forze dell’ordine aiuterà ad arrestare i criminali informatici, indipendentemente da dove si trovino – dentro o fuori l’Europa. Nel dicembre del 2017, i ricercatori di ESET hanno collaborato con le forze dell’ordine, tra cui Europol, per interrompere e bloccare un’importante operazione di botnet nota come Gamarue. La reputazione di ESET è il risultato della professionalità e della trasparenza di tutte le attività svolte negli ultimi 30 anni, che continuano a essere apprezzate dai clienti e dai partner di ESET in tutto il mondo.

Con clienti in oltre 200 paesi e territori, ESET è un’organizzazione internazionale che protegge milioni di endpoint in tutto il mondo, tra cui milioni di piccole imprese e migliaia di grandi imprese. I team di ricerca e sviluppo di ESET distribuiti a livello mondiale sono composti da alcuni dei più famosi ricercatori del mondo nel settore della sicurezza informatica. Questo gruppo eterogeneo di professionisti ha raccolto numerosi premi per le sue ricerche e scoperte negli ultimi trent’anni, permettendo a ESET di collocarsi costantemente tra i leader nella sicurezza IT.

I ricercatori di ESET hanno individuato Quasar, Sobaken e Vermin, tre RAT utilizzati per campagne di spionaggio ai danni delle istituzioni governative ucraine. I tre malware sono stati utilizzati contro obiettivi diversi allo stesso tempo, condividono parti della loro infrastruttura e si collegano agli stessi server C & C.

I criminali dietro queste campagne di spionaggio sono stati individuati dai ricercatori di ESET dalla metà del 2017 e le loro attività sono state rese pubbliche per la prima volta nel gennaio 2018. Da allora i cyber criminali hanno continuato a migliorare le loro campagne sviluppando nuove versioni dei loro strumenti di spionaggio.

Vermin è una backdoor con numerose funzionalità e componenti opzionali: la sua versione più recente supporta 24 comandi, implementati nella payload principale, oltre a diversi comandi aggiuntivi implementati tramite componenti opzionali, tra cui registrazione audio, keylogging e password stealing. Apparso per la prima volta a metà del 2016, Vermin è ancora in uso. Come Quasar e Sobaken, Vermin è scritto in .NET.

Quasar è un RAT open-source, liberamente disponibile su GitHub, le cui tracce sono state individuate dai ricercatori di ESET già dall’ottobre 2015. Sobaken è una versione molto modificata di Quasar: alcune funzionalità sono state rimosse per rendere l’eseguibile più piccolo e sono stati aggiunti diversi trucchi anti-sandbox.

Le campagne analizzate dai ricercatori di ESET sono basate sul social engineering e veicolano i tre RAT come allegati alle email. Sono stati comunque utilizzati diversi trucchi per attirare le vittime nel download e nell’esecuzione del malware, come l’override da destra a sinistra per oscurare la reale estensione degli allegati e una combinazione appositamente predisposta di un documento Word che contiene un exploit CVE-2017-0199.

Tutte le famiglie di malware analizzate sono installate nello stesso modo: un dropper rilascia un file contenente una payload dannosa nella cartella %APPDATA%, inserendolo all’interno di una sottocartella denominata con il nome di una società legittima (solitamente Adobe, Intel o Microsoft). Quindi, crea un’attività pianificata che esegue la payload ogni 10 minuti per garantire la sua persistenza.

Per assicurarsi che il RAT venga eseguito solo su macchine mirate ed eviti sistemi di analisi e sandbox automatici, gli hacker hanno implementato diverse misure: il malware cessa di funzionare se non sono installati layout di tastiera russi o ucraini, se l’indirizzo IP del sistema di destinazione si trova al di fuori di questi due paesi o se è registrato da uno dei numerosi fornitori di soluzioni di sicurezza o provider cloud selezionati.

I criminali informatici dietro queste campagne hanno dimostrato che, con astuti stratagemmi di ingegneria sociale, gli attacchi di cyber-spionaggio possono riuscire anche senza l’utilizzo di malware sofisticati. Questo sottolinea ancora una volta l’importanza di una corretta formazione ed educazione alla cyber sicurezza, oltre che dell’utilizzo di una valida soluzione per proteggere i dispositivi da ogni tipo di minaccia.

Per visionare il white paper completo di analisi di Quasar, Sobaken e Vermin è possibile collegarsi al link: https://www.welivesecurity.com/wp-content/uploads/2018/07/ESET_Quasar_Sobaken_Vermin.pdf

O collegarsi al blog di ESET Italia al link: https://blog.eset.it/2018/07/eset-identifica-i-tre-malware-rat-usati-per-gli-attacchi-in-ucraina/

La decisione in linea con la scadenza del GDPR. Si consolida la collaborazione con il vendor di sicurezza slovacco

Le Assicurazioni di Roma Mutua Assicuratrice Romana, AdiR – società nata nel 1971 su iniziativa del Comune di Roma e delle più importanti municipalizzate della capitale (Acea, Ama, Atac e Stefer) per la gestione delle attività assicurative relative al patrimonio dei Soci e per coordinare i rapporti con i cittadini in tema di indennizzi e i risarcimenti – ha scelto la soluzione ESET Endpoint Encryption (https://www.eset.com/it/) per la crittografia dei dati aziendali.

Un patrimonio di dati da tutelare

«Prossima al traguardo dei cinquant’anni di attività, AdiR ha maturato un’esperienza senza pari nel settore dei rischi degli Enti pubblici locali e nella gestione dei sinistri, affinando conoscenze e professionalità uniche sul territorio» ci dice Stefano Losardo, Responsabile Sistemi Informativi Assicurazioni di Roma (http://www.adir.it/). «In questo quadro l’obiettivo è quello di proteggere questo patrimonio di esperienze e dati. Esigenza questa che ci ha spinto alla ricerca di un partner tecnologico con cui definire un piano di azione per raggiungere la compliance al Regolamento Generale per la Protezione dei Dati attraverso l’implementazione di una soluzione di crittografia» spiega Losardo. «Dopo un’attenta analisi, la nostra scelta è stata quella di adottare la soluzione di crittografia di ESET. Sia per la fiducia che nutriamo nell’azienda, nostro partner tecnologico da oltre 10 anni, sia per le garanzie che il prodotto ESET Endpoint Encryption fornisce, in termini di protezione dei dati gestiti e di compliance».

Countdown GDPR

In vista della scadenza del 25 maggio 2018, termine ultimo per l’adeguamento alla normativa, AdiR ha maturato la decisione di dotarsi di una soluzione innovativa in grado di proteggere i dati sensibili dal rischio di Data Breach. «Oltre a soddisfare gli obblighi giuridici in materia di sicurezza dei dati, la soluzione ESET Endpoint Encryption rende la crittografia dei dati presenti su dischi rigidi, dispositivi mobili o inviati tramite email semplice da implementare e conformi alle norme del GDPR, migliorando altresì le policy di codifica dei dati, senza sacrificare nulla alla produttività» conferma Losardo. In ottica GDPR, ESET mette altresì a disposizione dei propri clienti una serie di risorse online, seminari e test di conformità inclusi, ai quali è possibile accedere gratuitamente.

Gli atout di ESET Endpoint Encryption

Flessibilità e facilità d’uso sono altri punti di forza della soluzione. Se per l’installazione è sufficiente un singolo pacchetto MSI, l’impatto della soluzione in azienda è ridotto al minimo. Dal lato client infatti l’interazione richiesta agli utenti è minima, mentre lato server la soluzione estende la protezione dell’azienda ben oltre il perimetro della rete aziendale grazie a una semplice gestione degli utenti e delle workstation. Migliorando al contempo la conformità e la sicurezza delle informazioni dell’azienda. «La crittografia di file, directory ed email inoltre ci ha consentito una sicura collaborazione e condivisione dei dati tra gruppi e team di lavoro, con policy di sicurezza condivise con tutti gli endpoint aziendali attraverso una gestione remota centralizzata. Tutelando così il business dell’azienda da possibili furti di dati intenzionali e accidentali» sottolinea Losardo.

Tratto dalla Business Card DATA MANAGER, Giugno 2018, dedicata ad ESET Italia

La Coppa del Mondo FIFA utilizzata come copertura per le comunicazioni tra i cybercriminali

I ricercatori di ESET, il più grande produttore di software per la sicurezza digitale dell’Unione europea, hanno individuato una violazione ai danni di Ammyy Admin, che nella notte tra il 13 e 14 giugno scorsi è stato sfruttato per distribuire una versione del software infettata dal malware bancario Win32 / Kasidet. Per coprire le comunicazioni della loro rete malevola, i cybercriminali hanno sfruttato la Coppa del Mondo FIFA, utilizzando hxxp: // fifa2018start [.] Info / panel / tasks.php come URL del server di comando e controllo.

Kasidet è un bot venduto nel Dark Web ed utilizzato attivamente da vari gruppi di cybercriminali, che nella versione rilevata lo scorso giugno sul sito ammyy.com aveva due obiettivi principali: rubare file contenenti password o dati di accesso per portafogli di criptovaluta e riportare i processi che contengono nel nome alcune stringhe, tra cui bitcoin, kitty, multibit e xshell.

Ammyy.com non è nuovo a questo tipo di violazioni, dato che nell’ottobre 2015 il sito aveva iniziato a distribuire codici pericolosi collegati al gruppo di criminali informatici Buhtrap. I ricercatori di ESET hanno notato molteplici somiglianze con l’attacco di due anni fa: a quel tempo, gli hacker utilizzavano in modo illecito ammyy.com per distribuire numerose famiglie di malware, cambiandole quasi ogni giorno. Nel caso del 2018, i sistemi ESET hanno rilevato solo Win32 / Kasidet, ma la modalità di occultamento della payload è cambiata in tre occasioni, probabilmente per evitare il rilevamento da parte dei software di sicurezza. Un’altra similitudine tra i due incidenti è il nome identico del file che contiene la payload, ovvero Ammyy_Service.exe.

Gli esperti di ESET consigliano a tutte le potenziali vittime di adottare misure precauzionali e utilizzare una soluzione di sicurezza affidabile per verificare e disinfettare i propri dispositivi.

Per ulteriori informazioni sull’argomento visitare il blog di ESET Italia al seguente link: https://blog.eset.it/2018/07/ammyy-admin-di-nuovo-compromesso-da-un-malware-la-coppa-del-mondo-usata-come-copertura/

 

Proprio come per ogni grande evento sportivo che affascina le folle di tutto il mondo, lo spettacolo di calcio che prenderà il via in Russia tra una settimana presenterà una miriade di opportunità per tutti i tipi di frodi su Internet. I truffatori infatti non aspettavano altro, nella speranza di sfruttare al massimo la popolarità dell’evento calcistico più importante del mondo; tenteranno di impossessarsi dei dati personali degli appassionati di football, solitamente concentrandosi su quelli della carta di credito o le credenziali di accesso ai servizi online, utilizzando vari metodi.

Ecco qual sono, secondo gli esperti di ESET, i principali tentativi di truffa in cui si potrebbe cadere:

Uno dei metodi più comuni è quello di diffondere su larga scala delle presunte promozioni che coinvolgono “beni” legati alla manifestazione come: biglietti economici, pacchetti di ospitalità comprensivi di biglietti, alloggi, lotterie, voli per le città che ospitano le partite, solo per citarne alcuni. Queste “occasioni” vengono tipicamente pubblicizzate tramite e-mail fraudolente o post e messaggi sui social media che, come è loro abitudine, giocano sulle emozioni delle persone. Dopo tutto, a chi non piace fare un buon affare?

Naturalmente, dietro c’è un inganno. Una volta che le vittime sono state indotte a credere ai contenuti dei messaggi spam e cliccano sul link presente nell’email, vengono dirottate su un sito di phishing che solitamente imita in maniera convincente il logo della Coppa del Mondo o addirittura si propone come vero e proprio duplicato del sito originale. Una volta inseriti i dati nei moduli fasulli credendo di pagare per dei biglietti legittimi, le vittime forniscono pieno accesso ai propri servizi, dando così l’opportunità ai criminali di svuotargli i conti bancari.

I truffatori possono spacciarsi anche per la FIFA, i suoi sponsor o per altre aziende che ne finanziano determinati eventi come Visa, Adidas o Coca-Cola, per inviare messaggi di congratulazioni relativi a fantomatiche vincite a false lotterie. Così per ritirare il proprio “premio” verrà richiesto alla vittima di introdurre i propri dati personali e/o gli verrà richiesto un piccolo pagamento.

Atri tentativi di truffa possono concentrarsi sui visti di viaggio necessari per recarsi in Russia, dove i criminali impersonano le autorità del paese ospitante i Mondiali e dove vengono richieste informazioni sensibili alle potenziali vittime.

Persino a chi non intende seguire la Coppa del Mondo potrebbero arrivare delle email o dei messaggi sui social media che contengono un allegato o un link pericoloso nascosti dietro a finti giochi, video dei gol delle partite, gossip sui giocatori più rappresentativi o altri contenuti a sfondo calcistico. Poi, con l’aiuto di un malware bancario collegato a questi contenuti ingannevoli, i truffatori saranno in grado di estrarre le informazioni finanziarie delle vittime.

In un’altra situazione tipica può essere offerta alle vittime la visione gratuita in streaming delle partite su un sito compromesso. Una volta connessi alla pagina molto probabilmente verrà richiesta l’installazione di un programma che sembra legittimo (come Flash Player), ma che in realtà cela un malware in grado di consentire a un hacker di accedere al sistema della vittima. 

Cartellino rosso per le truffe

La FIFA ha avvisato che i biglietti per le partite possono essere acquistati esclusivamente sul sito ufficiale e che le agenzie a cui è consentito utilizzare il marchio della coppa del mondo per sponsorizzare offerte su sistemazioni vicine agli stadi sono solo quelle autorizzate. In questi ultimi giorni sono state identificate e rimosse innumerevoli truffe sulla vendita online dei biglietti, ma purtroppo ne circolano ancora molte. Gli esperti di ESET ricordano inoltre che qualsiasi titolo comprato al di fuori del canale ufficiale non garantisce l’ingresso agli stadi.

Questa è una delle classiche situazioni in cui applicare le difese online di base. Ciò include essere astuti nel riconoscere i messaggi di phishing, che si basano su tecniche che sono state utilizzate per diversi decenni e che rimangono tuttavia alcuni dei metodi più efficaci per le frodi informatiche.

Non dare per scontato che un sito Web sia legittimo, solo perché ha quel lucchetto verde confortante (cioè il segno HTTP Secure / HTTPS) alla sinistra dell’URL. Una connessione sicura e un sito sicuro sono due cose diverse. Anche i truffatori stanno utilizzando sempre più spesso l’HTTPS. Allo stesso modo il semplice fatto che un sito compaia in una ricerca su Google non significa che sia autentico, i criminali possono aumentare il posizionamento dei loro siti attraverso strategie di ottimizzazione sui motori di ricerca (SEO) o annunci a pagamento. Utilizzare solo canali affidabili per ricevere gli ultimi aggiornamenti sulle squadre e sui giocatori preferiti.

Inoltre non bisogna mai dare per scontato che una rete Wi-Fi pubblica sia legittima, i criminali possono infatti utilizzare facilmente una connessione Wi-Fi non criptata per intercettare il traffico e raccogliere le informazioni sensibili che vengono digitate, senza escludere la possibilità che possano iniettare malware nel traffico dati. Evitare l’uso di servizi bancari online o effettuare acquisti personali su connessioni non sicure e/o utilizzare una rete privata virtuale affidabile (VPN) per crittografare il traffico tra il dispositivo e Internet.

Secondo quanto riportato in un comunicato stampa del responsabile della 2FA di Facebook Scott Dickes, sulla piattaforma non sarà più necessario registrare un numero di telefono per impostare l’autenticazione a due fattori (2FA), nel tentativo di spingere il maggior numero di utenti possibile ad aggiungere un ulteriore livello di sicurezza ai propri account.

Per autenticare gli accessi, il social network ora consente agli utenti di utilizzare un’app di terze parti come Google Authenticator o Duo Security su desktop e dispositivi mobile. La società ha anche rinnovato la sua funzionalità 2FA con un “sistema di installazione semplificato che guida l’utente attraverso il processo”.

“L’autenticazione a due fattori è una best practice del settore per fornire una protezione aggiuntiva dell’account e abbiamo deciso di semplificarne l’installazione”, ha scritto Dickens.

I messaggi di testo attualmente sono il secondo fattore più utilizzato, anche se la maggior parte degli esperti di sicurezza non li giudicano sicuri, a causa delle vulnerabilità insite nella comunicazione SMS. Facebook offre già da tempo un sistema 2FA basato sulla tecnologia SMS e continuerà a farlo, ma l’uso di altri mezzi come un dispositivo hardware o un’app di autenticazione, generalmente viene considerato più sicuro.

Oggi non ci sono dati certi su quanti utenti Facebook effettivamente usano la 2FA. Negli account Google, ad esempio, i dati sono piuttosto tristi poiché purtroppo solo un titolare di profilo su dieci utilizza la 2FA.

Cosa fare?

Per abilitare l’autenticazione a due fattori sul proprio profilo Facebook, premere su “Impostazioni”, quindi su “Sicurezza e accesso”, entrare nella sezione “Utilizza autenticazione a due fattori”, dove si potrà scegliere e impostare il proprio metodo 2FA preferito. ESET Italia consiglia di approfittare di questo momento per controllare anche le altre impostazioni sulla privacy e sulla sicurezza per migliorare ulteriormente il livello di protezione del proprio profilo.

Molti servizi online, compresi quelli più famosi, attualmente offrono almeno uno dei due metodi per implementare l’autenticazione a due fattori. Per verificare che un determinato servizio Web disponga di 2FA è possibile collegarsi al seguente sito:

https://twofactorauth.org/

Pur non essendo la soluzione definitiva a tutti i problemi di sicurezza degli account, sicuramente l’autenticazione a due fattori aggiunge un prezioso livello di protezione aggiuntivo richiedendo davvero un minimo sforzo. Si può tranquillamente affermare che la 2FA avrebbe impedito innumerevoli intrusioni nel corso degli anni se i titolari degli account l’avessero attivata per tempo.

In fine ricordiamo che pur aggiungendo questa ulteriore protezione agli account non bisogna mai dimenticare di utilizzare una password forte e unica o, ancora meglio una passphrase.

 

Per ulteriori informazioni su ESET visitare il sito www.eset.it

I ricercatori di ESET, il più grande produttore di software per la sicurezza digitale dell’Unione europea, hanno individuato un nuovo trojan bancario, chiamato BackSwap, che impiega tecniche innovative per aggirare le protezioni dei browser e rubare soldi dai conti correnti delle vittime.

Gli esperti di ESET hanno individuato i primi progetti legati allo sviluppo di questo malware già a gennaio 2018; i cybercriminali sono poi usciti allo scoperto lo scorso 13 marzo, distribuendo il trojan nell’ambito di campagne di spam ai danni di utenti polacchi. I messaggi utilizzati in questo caso includevano un allegato malevolo contenente un codice JavaScript altamente offuscato, identificato come una variante del trojan downloader Nemucod.

 

NUOVE TECNICHE DI MANIPOLAZIONE DEL BROWSER

BackSwap utilizza un approccio completamente diverso dai trojan bancari già conosciuti come Dridex, Ursnif, Zbot, Trickbot e Qbot poiché, invece di interagire con i browser al livello di processo, questo trojan è in grado di rilevare quando un browser si connette a specifici URL corrispondenti ad applicazioni di home banking note. Una volta individuata la banca bersaglio, il malware carica nel browser il codice JavaScript malevolo corrispondente.

Inoltre, a differenza degli altri malware di questo tipo che utilizzano la console dello sviluppatore per caricare ed eseguire il codice malevolo, BackSwap fa in modo che il codice venga eseguito direttamente dalla barra degli indirizzi del browser, mediante il protocollo standard JavaScript, simulando tutti i movimenti di tastiera necessari a scrivere il codice direttamente nella barra degli indirizzi e a mandarlo in esecuzione.

BackSwap è in grado di aggirare le funzioni di sicurezza dei principali browser utilizzati come Google Chrome, Mozilla Firefox, Internet Explorer e in generale di tutti i browser che utilizzano una console JavaScript o implementano l’esecuzione di JavaScript dalla barra degli indirizzi, entrambe funzionalità standard dei browser utilizzati in media dagli utenti. JAVASCRPT MALEVOLIGli script malevoli vengono iniettati da BackSwap in pagine specifiche dei siti bancari dalle quali l’utente può effettuare trasferimenti di denaro. Quando viene avviata la transazione, il codice malevolo sostituisce di nascosto il codice del conto di destinazione con quello del cyber criminale, che riceverà quindi il denaro al posto del corretto beneficiario. Eventuali misure di sicurezza contro il pagamento non autorizzato, come l’autenticazione a due fattori, non saranno d’aiuto in questo caso poiché l’utente risulta già autenticato.

Al momento BackSwap ha colpito unicamente gli utenti di 5 banche polacche ma, secondo gli esperti di ESET, potrebbe in futuro ampliare il proprio raggio di azione, prendendo di mira gli istituti bancari di altri paesi europei.

I ricercatori di ESET ricordano l’importanza di utilizzare una valida soluzione di sicurezza per proteggere i dispositivi, sia fissi che mobile, da BackSwap e da altri tipi di malware.

Per ulteriori informazioni su BackSwap visitare il blog di ESET al seguente link: https://www.welivesecurity.com/2018/05/25/backswap-malware-empty-bank-accounts/

L’utilizzo di software piratati, quelli utilizzati senza una licenza valida, ha avuto gravi conseguenze sulle Piccole e medie imprese italiane (Pmi), tanto che nel 2017 si stima abbiano subito sanzioni per oltre 1,3 milioni di euro, considerando quelle causate dai risarcimenti per violazioni del diritto d’autore e le spese in ambito legale. Il conto dei costi, ottenuto dai calcoli di Bsa (The Software Alliance), sembra sia in continua crescita considerando anche l’incremento del 37% rispetto al 2016, quando le conseguenze economiche dell’uso di software illegali si era fermato a 950mila euro.

Lo scorso anno le piccole e medie imprese colte a utilizzare software illegale hanno subito multe per un costo medio di 56.700 euro, come riportato dai dati di Bsa, l’ente internazionale nato per promuovere e incentivare l’uso di software originale e che è impegnato attivamente nella denuncia delle violazioni dei diritti di copyright. Le aziende più frequentemente scoperte a sfruttare i “benefici” dei software pirata sono state paradossalmente proprio quelle del settore IT, composto prevalentemente da piccole aziende informatiche, seguite da quelle di vendita e dalle imprese manifatturiere. Subito sotto questa speciale classifica troviamo le aziende grafiche, quelle pubblicitarie e non ultimi gli studi di architettura.

“Ogni anno l’utilizzo di software senza licenza costa sempre di più alle Pmi, nel loro complesso. Un numero ancora alto di aziende quindi continua a ignorare i diritti d’autore, non pensando alle conseguenze economiche”, come afferma Simona Lavagnini, consulente legale di Bsa per l’Italia, nel commentare i risultati dell’analisi.

Dai dati forniti emerge che a incidere su questo incremento dei costi abbiano contribuito in maniera significativa i maggiori controlli effettuati dalle autorità compenti e l’aumento delle segnalazioni spontanee, molto spesso provenienti da dipendenti scontenti o allontanati dall’azienda investigata. Proprio queste sono passate da 322 del 2016 a 444 dello scorso anno, con una tendenza di crescita confermata dai risultati dei primi mesi del 2018 che riportano oltre 400 segnalazioni.

ESET Italia ricorda a tutti gli utenti che l’uso dei software pirata oltre a essere illegale è anche rischioso per la sicurezza del dispositivo su cui vengono installati; molto spesso infatti questi programmi vengono sfruttati per installare malware o codici potenzialmente pericolosi in grado di bloccare i sistemi o sottrarre informazioni riservate.

 

I ricercatori di ESET, il più il più grande produttore di software per la sicurezza digitale dell’Unione europea, hanno identificato un campione di PDF dannoso, che sfrutta due vulnerabilità precedentemente sconosciute: una legata all’esecuzione di codice in modalità remota in Adobe Reader e l’altra per consentire l’escalation dei privilegi in Microsoft Windows. Il campione di PDF malevolo, scoperto dai ricercatori di ESET all’interno di un archivio pubblico di sample pericolosi, non contiene una payload completamente definita, il che potrebbe suggerire che sia stato intercettato durante le sue prime fasi di sviluppo.

La prima falla di sicurezza (CVE-2018-4990) interessa Acrobat Reader e permette di avviare all’apertura del documento un JavaScript che modifica all’interno del PDF il codice di un “pulsante”, che contiene un’immagine JPEG2000 appositamente creata per attivare una vulnerabilità double-free in Adobe Reader. Il JavaScript, a questo punto, attiva una shellcode che apre un file PE incorporato nel documento stesso e gli affida il processo di esecuzione.

La vulnerabilità di Windows (CVE-2018-8120) coinvolge invece un componente chiamato Win32k e consente al malware di ottenere privilegi per l’esecuzione in modalità kernel; a questo punto l’exploit sostituisce il token del processo corrente con il token di sistema.

L’uso delle due vulnerabilità individuate, combinate insieme, è estremamente potente in quanto consente a un utente malintenzionato di eseguire un codice in maniera arbitraria con i massimi privilegi possibili sull’obiettivo vulnerabile e con la minima interazione dell’utente. I gruppi APT usano regolarmente tali combinazioni per eseguire i loro attacchi, come nella campagna Sednit dello scorso anno. Una volta che il campione PDF è stato scoperto, ESET ha contattato e collaborato durante la correzione di questi bug con il Microsoft Security Response Center, il team di ricerca ATP di Windows Defender e il team di risposta agli incidenti di Adobe Product Security.

• Si è svolto oggi a Roma l’evento organizzato da ESET Italia “GDPR e Cyber Security: strumenti strategici per il tuo business”, durante il quale la tematica della compliance al nuovo regolamento europeo è stata approfondita sotto vari punti di vista da esperti, giuristi e tecnici del settore IT.
• I lavori dell’incontro sono stati introdotti da Luca Sambucci, Operations Manager di ESET Italia e sono proseguiti con l’intervento dell’ Elena Bassoli, Presidente Nazionale ANGIF, che ha analizzato le principali implicazioni giuridiche della normativa: “L’imminente presa d’efficacia del Regolamento 2016/679/EU impone a tutte le realtà, grandi e piccole, uno sforzo culturale e organizzativo che andrà a beneficio non solo della migliore organizzazione interna dei flussi informativi e della forza lavoro, ma costituirà un trampolino di lancio per una più solida reputazione commerciale”. afferma Elena Bassoli. “Le novità applicative sono molte, ma altrettante sono le conferme di una disciplina che nel suo nucleo essenziale conferma l’obiettivo di tutela della dignità umana”.
• Tra gli intervenuti all’evento Angelo Carelli, Presidente e legale rappresentante della società Omicron Consulting srl, che commenta: “L’esigenza di tutela dei dati sensibili dal rischio di Data Breach è ormai sentita in molte realtà operanti in diversi settori di mercato, in particolare per quelli Banking e Insurance, che gestiscono milioni di dati sensibili relativi ai clienti e che ormai da diversi anni propongono piattaforme di servizi on-line, che espongono ancora di più i dati a rischio di perdite e manomissioni. A questo proposito, sono lieto di annunciare che la tecnologia di autenticazione a due fattori di ESET è stata scelta dal nostro cliente Euler Hermes Italia – compagnia d’assicurazione crediti commerciali leader in Italia – per la protezione dei dati aziendali e la compliance al GDPR”.
• La seconda parte della mattinata è stata dedicata all’approfondimento vantaggi offerti da ESET Endpoint Encryption e ESET Secure Authentication, due soluzioni richieste dal GDPR ed in grado di garantire un’efficace tutela dei dati.
• L’evento si è concluso con l’intervento di Claudia Gaschi, Enterprise Sales Manager di ESET Italia, che afferma: “Il 25 Maggio è una data storica per l’IT Europeo. Per le aziende l’ingresso nell’era del GDPR non deve essere visto solo come una necessità burocratica ma come una concreta occasione per rivedere i propri processi di sicurezza. ESET, da anni al fianco di imprese e professionisti, intende l’adeguamento al regolamento come un’opportunità per innalzare il livello di sicurezza aziendale: partendo dal basso, le soluzioni di security possono incentivare l’integrazione di ulteriori piattaforme tese a salvaguardare in maniera progressivamente più pervasiva ed efficace i processi di business”.

      ESET Security Days ha ottenuto in Italia il patrocinio della Rappresentanza in Italia della Commissione europea, del Clusit – l’Associazione Italiana per la Sicurezza Informatica e dell’ANGIF – Associazione Nazionale Giuristi Informatici e Forensi.

 

• Per ulteriori informazioni sulle soluzioni ESET Endpoint Encryption e ESET Secure Authentication: eset.it
• Per approfondimenti sull’evento di ESET Italia: https://www.esetsecuritydays.com/it/