malware – Pagina 2 – Attivissimo.me

Minecraft, “mod” truffaldine colpiscono oltre un milione di utenti Android

2020-11-27
di Paolo Attivissimo
Google Play, malware, Minecraft, ReteTreRSI

La società di sicurezza informatica Kaspersky segnala di aver trovato nello store ufficiale per dispositivi Android (Google Play) oltre 20 app che fingono di essere modpack per Minecraft, ossia app che promettono di modificare il popolarissimo gioco in vari modi vantaggiosi per il giocatore.

In realtà gli unici a trarne vantaggio sono i creatori di queste app ingannevoli, perché una volta installate sugli smartphone delle vittime queste app si nascondono e iniziano a far comparire sullo schermo un fiume di pubblicità, i cui incassi vanno ai truffatori. Il telefono diventa spesso inutilizzabile e difficile da ripulire. Alcune di queste app sono state installate oltre un milione di volte, e non tutte sono state rimosse da Google Play dopo le segnalazioni.

Anche se venissero rimosse, comunque, c’è sempre il rischio che i truffatori le ripubblichino su Google Play con un altro nome.

La migliore cura è quindi la prevenzione generale: non installate app di provenienza incerta che promettono vantaggi mirabolanti. Ma se l’avete fatto, rimediate installando un buon antivirus che le trovi e le elimini.

Vigilantismo digitale: qualcuno sta sostituendo i payload di Emotet con GIF di James Franco e Tom DeLonge

Ultimo aggiornamento: 2020/07/26 12:05.

Emotet è un malware molto diffuso, usato soprattutto per frodi bancarie da alcuni anni nelle sue varie versioni. La sua incarnazione più recente colpisce via mail, usando un allegato in formato Microsoft Word che la vittima viene indotta ad aprire per curiosità o per altri motivi. Se la vittima abbocca e apre l’allegato, il documento Word chiede di attivare le macro; se la vittima le attiva, l’allegato scarica e installa un programma, che a sua volta scarica il payload, ossia il malware infettante vero e proprio che consente la frode.

Questo payload cambia in continuazione, per evitare di essere riconosciuto dagli antivirus. I criminali sono furbi.

Ma a volte c’è qualcuno più furbo di loro. Emotet scarica il payload da URL pubblici di Internet sempre diversi (spesso siti di terzi, che non sanno di essere sfruttati), e in queste ore qualcuno sta trovando il modo di scoprire questi URL e sostituire rapidamente il loro payload con una GIF dell’attore James Franco o di Tom DeLonge dei Blink-182.

Somebody appears to be replacing Emotet payloads with this GIF of James Franco https://t.co/YCCSFwfTZb pic.twitter.com/oSPGka9l6g

— Kevin Beaumont (@GossiTheDog) July 22, 2020

Here’s an example of a doc from last night from AnyRun, all the payloads were replaced and so Emotet didn’t drop, even if the victim had no security controls. pic.twitter.com/eBaYP4i5Lw

— Kevin Beaumont (@GossiTheDog) July 22, 2020

Il risultato è che al posto di scaricare il payload infettante, il malware scarica un’immagine animata innocua e la vittima viene salvata.

Non si sa chi stia facendo quest’azione di vigilantismo digitale, che sta salvando dall’infezione centinaia di siti in tutto il mondo, ma di certo è qualcuno che ha un discreto senso dell’umorismo e ha familiarità con i memi di Internet. Infatti se vi state chiedendo perché siano stati scelti proprio James Franco e Tom DeLonge, il motivo è che quelle loro GIF sono usate spessissimo per indicare sorpresa e perplessità, che è l’emozione che proveranno i criminali quando scopriranno che la loro trappola ha fallito miseramente.

Va chiarito che la mail-esca Emotet ha effetto solo su chi non usa precauzioni basilari, come un antivirus costantemente aggiornato, e soprattutto colpisce le organizzazioni che non insegnano ai propri utenti a non attivare MAI le macro di Word o e a non eseguire mai cose ricevute via Internet in modo inatteso.

Anche i siti terzi che ospitano il malware a propria insaputa hanno una parte di responsabilità perché non hanno preso misure per impedire agli aggressori che usano Emotet di depositare il payload, ma non spetta a loro avvisare gli utenti: sono gli utenti a doversi premunire e difendere.

Truffatori informatici si attaccano a tutto: anche a Black Lives Matter

Abuse.ch segnala un malware che conferma la regola che i truffatori informatici non si fermano davanti a nulla e approfittano di qualunque argomento di grande visibilità per diffondere le proprie trappole.

Lo schema è quello classico ma sempre efficace: alla vittima arriva un documento Microsoft Word che contiene un avviso dall’aria del tutto innocua, secondo il quale il documento è stato creato con una versione precedente di Word e quindi per leggerlo è necessario cliccare su Enable editing (Abilita modifica) e poi Enable Content (Abilita contenuto).

Ma se si seguono queste istruzioni, si abilita l’esecuzione delle macro, ossia comandi nascosti dentro il documento, che prendono il controllo del computer della vittima, in questo caso eseguendo un malware che scarica il virus vero e proprio, denominato Trickbot, che può fare qualunque cosa decidano i suoi creatori, come per esempio accedere ai conti bancari gestiti con l’online banking oppure installare un ransomware.

Fin qui tutto abbastanza normale, perlomeno per come si comporta il crimine informatico, ma la differenza è che l’esca, ossia il tema della mail che contiene il documento Word infettante, è un’offerta di votare in modo anonimo a proposito del movimento Black Lives Matter, che è di enorme attualità in questo momento.

Morale della storia: non aprite allegati inattesi, non importa chi ve li ha (apparentemente) mandati; non abilitate mai il contenuto solo perché ve lo chiede un documento ricevuto da chissà chi; lasciate che il vostro antivirus controlli tutti gli allegati prima di aprirli.

Fonte aggiuntiva: Sophos.

Criminali già al lavoro per sfruttare l’arrivo delle app anti-coronavirus

2020-05-15
di Paolo Attivissimo
coronavirus, malware, ReteTreRSI, truffe

Non è colpa delle app anti-pandemia: semplicemente, da sempre i criminali informatici sfruttano ogni nuovo prodotto e ogni nuova situazione che crei tensione emotiva, perché la tensione fa sbagliare.

MalwareHunterTeam segnala che è in circolazione una versione falsa dell’app creata dal governo indiano e ne usa il nome, Aarogya Setu, ma è piena di malware.

Questa è una trappola particolarmente pericolosa, perché l’app ufficiale viene diffusa tra la popolazione mandando agli utenti un SMS o una mail contenente un link di scaricamento. I criminali o sabotatori possono creare un messaggio analogo, falsificandone il mittente e includendo il link alla loro versione alterata dell’app. Gli utenti si fidano della fonte apparentemente governativa, sono motivati dalla pressione sociale ed emozionale a seguire le istruzioni, e finiscono per installare il malware.

Analoghe segnalazioni arrivano dalla BBC, che nota che nel Regno Unito varie persone hanno ricevuto un SMS fraudolento che sembra generato da un’app di tracciamento sanitario, dice che una persona con la quale si è stati in contatto è positiva e invita a cliccare su un link per avere maggiori informazioni. Il link porta a un sito fasullo che chiede dati personali.

Il testo dell’SMS è questo: “Someone who came in contact with you tested positive or has shown
symptoms for Covid-19 & recommends you self-isolate/get tested. More at [link oscurato]”.

Morale della storia: non seguite mai link ricevuti via mail o SMS che vi invitano a installare app. Di nessun genere. Se volete scaricare un’app, visitate il sito del produttore ufficiale dell’app e seguite le istruzioni che trovate lì.

Sembra una mail della Posta Svizzera, invece è un RAT

2020-05-08
di Paolo Attivissimo
attacchi informatici, Excel, malware, ReteTreRSI

Abuse.ch, un sito dedicato alla segnalazione di attacchi informatici, segnala una campagna di spam che finge di essere una mail inviata dalla Posta Svizzera e include un allegato Excel al posto del solito PDF o Word.

Swiss post themed malspam campaign distributing #Parallax RAT in Switzerland 🇨🇭

XLS:https://t.co/OkE3jshk69

EXE:https://t.co/ZjLqf0JjfS

URL:https://t.co/gMH6fyJKdz

Parallax RAT C2:
bhg.canadacentralregistrar\.ca (79.134.225.51)

Hosted at AnMaXX:https://t.co/Jmvy8mCS84

— abuse.ch (@abuse_ch) April 28, 2020

La mail proviene apparentemente dall’indirizzo info@post.ch (ma il mittente è falsificato) e inizia con un testo di questo genere:

From: “Post CH AG – Info Sendungsstatus” (info@post.ch)
Subject: Sendung aus – zugestellt
Attachment: Post.ch.980056030002148543.xls

Il documento Excel allegato, se viene aperto con Microsoft Office, chiede di abilitare le macro per poter leggere il contenuto del documento. Se l’utente lo fa, spinto dalla comprensibile curiosità e dall’idea purtroppo errata che un documento non possa fare danni, il documento Excel ostile usa un sistema molto ingegnoso per eludere gli antivirus: converte le parole senza senso presenti al suo interno in una DLL, che verrà poi caricata ed eseguita.

Le parole e i numeri del foglio di calcolo sono infatti i pezzi iniziali del malware vero e proprio, che poi va a prendere il resto dei pezzi su Internet, dove li trova nascosti e criptati all’interno di un’immagine caricata su Imgur.com.

È l’equivalente informatico del classico espediente hollywoodiano di eludere i controlli di sicurezza fisici portando i vari pezzi di un’arma separatamente e smontati, per poi riassemblarli dopo i controlli.

Il malware in questione è un RAT (remote access trojan o remote administration tool), che prende il controllo del computer infettato allo scopo di commettere altri reati informatici.

La difesa, in questo caso, è molto semplice: mai attivare macro nei documenti.

Fonti aggiuntive: Malpedia, Morphisec.

20 anni fa esplodeva il virus/worm Iloveyou

Rispetto al malware ultrasofisticato di oggi, l’attacco informatico di Iloveyou che fece disastri vent’anni fa fa quasi sorridere per la sua semplicità.

Il 4 maggio 2000 le caselle di mail di mezzo mondo furono invase e intasate da un fiume di mail che avevano un titolo molto semplice: le tre parole inglesi I love you, senza spazi.

Il testo della mail era una sola riga: kindly check the attached LOVELETTER coming from me, ossia un invito ad esaminare l’allegata lettera d’amore. Una tentazione irresistibile, anche perché la mail sembrava spesso provenire da un collega d’ufficio.

La “lettera d’amore” allegata sembrava avere l’estensione txt che indica un file di testo, ma grazie a una delle scelte più stupide della storia dell’informatica, quella di nascondere le estensioni per default in Microsoft Windows, gli utenti non potevano vedere che la reale estensione dell’allegato era vbs: era insomma uno script in Visual Basic camuffato.

Lo script approfittava di un altro errore monumentale di Microsoft Outlook: eseguiva automaticamente gli script se l’utente vi cliccava su (con un doppio click), dando quindi pieno controllo del computer allo script, che mandava una copia di se stesso a tutti gli indirizzi presenti nella rubrica.

Il risultato fu un’ondata virale di messaggi che nel giro di poche ore causarono confusioni e congestioni a non finire, anche perché il virus informatico non si limitava ad autoreplicarsi massicciamente (agendo quindi più propriamente come un worm): rinominava e cancellava anche molti dei file presenti sui dischi rigidi delle vittime oltre a collezionare password.

Il settore finanziario di Hong Kong, il parlamento danese, la Ford e Microsoft stessa furono paralizzate dall’enorme traffico di mail, e lo stesso accadde a quasi tutte le principali basi militari degli Stati Uniti.

Gli informatici crearono rapidamente un antidoto, e il creatore del virus informatico fu rintracciato quattro giorni dopo: era Onel de Guzman, uno studente dell’AMA Computer College a Manila, nelle Filippine. Le prove erano schiaccianti, ma all’epoca le leggi del paese non includevano i reati informatici e quindi l’autore di Iloveyou non era punibile perché non aveva commesso alcun reato. Subito dopo furono introdotte anche nelle Filippine leggi sul computer crime, che ovviamente non potevano essere retroattive.

Fonti: CNN, Sophos, Graham Cluley.

Sembrano mail informative anti-pandemia ma sono trappole

Il crimine informatico si aggancia a qualunque appiglio emotivo per cercare di ingannarci, e la pandemia non fa eccezione. Abuse.ch segnala che è in circolazione un falso documento Excel che sembra provenire dall’Organizzazione Mondiale della Sanità (ma il mittente è falsificato) e chiede di “sbloccare le celle” per leggerne il contenuto urgente e importante. Ma è solo un pretesto per indurre la vittima ad eseguire macro potenzialmente infettanti.

La difesa è semplice: qualunque documento che richieda “sblocchi” o esecuzioni di macro va cestinato. Se davvero siete fra i pochi che ricevono realmente per lavoro documenti con queste funzioni avanzate, verificateli sempre a voce con il mittente prima di aprirli.

Lo stesso vale per i messaggi apparentemente provenienti da governi, come questo:

Il link, se cliccato, non porta affatto al sito del Governo italiano, ma a un sito gestito dai criminali.

App di tracciamento anti-pandemia, nuova occasione per i criminali informatici

2020-04-10
di Paolo Attivissimo
Android, coronavirus, malware, privacy, ReteTreRSI

Si parla molto di introdurre app di contact tracing, ossia di tracciamento dei contatti, per facilitare la ripresa delle attività e gestire i contagi, e si discute parecchio su come dovranno funzionare queste app per essere realmente efficaci e il più possibile rispettose della privacy dei cittadini.

Ma i criminali informatici non hanno perso tempo e stanno già usando questo nuovo tipo di app e l’emotività che lo caratterizza per creare nuove trappole. Salvatore Lombardo su Cybersecurity360 segnala che sono in circolazione app Android per il tracciamento anti-pandemia che sono state modificate dai truffatori, inserendo una backdoor che permette di prendere il controllo remoto degli smartphone di chi le scarica e le installa.

Un’analisi tecnica di Zerofox avvisa infatti che gli utenti in Iran, Colombia e Italia rischiano di scaricare versioni fasulle delle app ufficiali di tracciamento che contengono funzioni nascoste di raccolta di dati personali. Queste versioni alterate non sono nello Store ufficiale di Android ma circolano su vari siti che hanno contenuti ingannevoli. Difendersi è quindi piuttosto semplice: scaricate app Android soltanto dallo Store di Google e diffidate di qualunque altra provenienza, anche se vi viene proposta da un messaggio ricevuto da una fonte apparentemente attendibile.

Attenzione a chi offre Fortnite per Android: è una trappola

2020-03-27
di Paolo Attivissimo
Fortnite, malware, ReteTreRSI, SMS, truffe, videogiochi

Non esiste ancora una versione ufficiale di Fortnite Battle Royale per dispositivi Android, e così i truffatori si sono scatenati a proporne finte “versioni craccate” o “anteprime” per gli smartphone di questo tipo. Non cascateci: sono trappole che possono costare moltissimo perché infettano i dispositivi e prelevano soldi dal conto prepagato o dall’abbonamento.

Digitare fortnite in Google Play produce una schiera notevole di risultati: ma nessuno è della Epic Games.

Youtube è appestata da video che annunciano trucchi per avere Fortnite per Android, dicono che l’app è nel Play Store (falso) o che c’è una versione non ufficiale o un’APK scaricabile andando a un sito che non è il Play Store e abilitando l’opzione per installare app da fonti sconosciute. Non credeteci.

La società di sicurezza informatica Sophos ha provato a scaricare una di queste false app di Fortnite, pubblicizzata in uno dei tanti video presenti su Youtube, e ha scoperto che l’app contiene soltanto un gioco rudimentale ma soprattutto attiva l’invio di SMS a pagamento.

Queste immagini sono state raccolte dai ricercatori di Sophos:

Pazientate, insomma, oppure procuratevi un dispositivo che già supporta Fortnite (PC e Mac, Xbox, Playstation e iPhone/iPad), come descritto in questa pagina del sito ufficiale.

Attenzione alle false mail inviate a nome dell’Ufficio Federale della Sanità Pubblica

2020-03-20
di Paolo Attivissimo
antivirus, keylogger, malware, ReteTreRSI, virus

Criminali e sciacalli non dormono mai. MELANI, la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione della Confederazione, mette in guardia la popolazione contro le false mail che sembrano provenire dall’Ufficio Federale della Sanità Pubblica e fornire informazioni sanitarie ma sono in realtà trappole create da criminali informatici. MELANI raccomanda di cancellare immediatamente queste mail, di non aprire i loro allegati e non cliccare sui loro link.

Le mail-trappola veicolano infatti un malware, soprannominato AgentTesla, che può installarsi sul dispositivo digitale della vittima e prenderne il controllo a distanza, leggendo anche le password.

“Se avete aperto inavvertitamente una tale e-mail, spegnete immediatamente il computer. Se possibile, reinstallate il computer o contattate per assistenza il vostro negozio specializzato. Infine cambiate immediatamente le vostre password”, consiglia MELANI.

Abuse.ch, invece, segnala la circolazione di mail infettanti apparentemente provenienti dall’Organizzazione Mondiale della Sanità:

More #COVID19 malspam in the name of @WHO , distributing NanoCore RAT:

Spammed doc (who.doc):https://t.co/Ln9GtJVM2P

Payload (seal.jpeg):https://t.co/DNE5TLCCGp

Payload URL:https://t.co/H7LExCSI8b

Stay safe! pic.twitter.com/gt8gX13U3W

— abuse.ch (@abuse_ch) March 20, 2020

Anche F-Secure mostra numerosi esempi di mail truffaldine legate al coronavirus.

Insomma, avete un motivo in più per adottare la raccomandazione che faccio da giorni: cestinate qualunque messaggio legato al coronavirus che non provenga da fonte ufficiale.

La maggior parte degli antivirus aggiornati rileva automaticamente questi attacchi e li blocca. Se non avete già un antivirus, installatelo, anche sui vostri smartphone e tablet Android. Se l’avete già installato, assicuratevi che si aggiorni.

daryl su Podcast RSI – Dietro le IA c’è manodopera africana sfruttata
Stai usando "schiavitù" come metafora estesa per qualsiasi forte vincolo economico o sociale. Il problema è che così perdi il…
PGC New Edition su Podcast RSI – Dietro le IA c’è manodopera africana sfruttata
e ora pure questo: https://www.ilpost.it/2026/04/21/meglio-essere-gentili-con-chatbot/?homepagePosition=2 In futuro mi aspetto un drone, che va dall'autore del prompt. E lo ammazza. Altro…
PGC New Edition su Podcast RSI – Dietro le IA c’è manodopera africana sfruttata
Io non sono molto d'accordo con lui, ma daryl ha espresso un parere legittimo e in forma educata. Perché rispondere…
Guastulfo su Podcast RSI – Dietro le IA c’è manodopera africana sfruttata
Possiamo parlare di sfruttamento, dumping salariale, abuso contrattuale, esternalizzazione del rischio… termini precisi esistono giàSpesso ho visto usare l’espressione “schiavitù…
Paolo Attivissimo su Artemis II, il mio racconto nei media
Ops! Correggo subito, grazie!
Matteo su Artemis II, il mio racconto nei media
Buongiorno Paolo, grazie per il recap, molto utile. Segnalo che il link del 15 Aprile è lo stesso del 4…
Lea su Podcast RSI – Dietro le IA c’è manodopera africana sfruttata
Io voglio leggere il tuo blog. Se non ce l'hai, fanne uno. ;)
ataru1976 su Artemis II, attenzione alle foto false sui social
Se fai click con la rotellina del mouse invece che con il tasto sinistro, la nuova pagina si aprirà su…
daryl su Podcast RSI – Dietro le IA c’è manodopera africana sfruttata
Il punto che poni sul costo umano del data labeling è legittimo: molti non ci pensano, e parlarne è utile.…
Paolo Attivissimo su Podcast RSI – Arriva Sora, il ChatGPT dei video, ed è caos
In che senso? Fra l'altro, è inesatto. Non è il primo anello che determina la forza di una catena. È…

Archivi