Vai al contenuto
Microsoft vince contro nove milioni di zombi

Microsoft vince contro nove milioni di zombi

Nove milioni di zombi si aggirano su Internet. No, non sono gli utenti rintronati dei social network che diffondono a pappagallo qualunque bufala: sono computer zombi.

Microsoft ha annunciato di aver partecipato alla disattivazione di una delle reti di computer zombi più grandi del pianeta: una botnet denominata Necurs.

Necurs esisteva dal 2012 e il suo malware, secondo le stime di Microsoft, aveva colpito oltre nove milioni di computer, principalmente in India ma anche in quasi tutti gli altri paesi del mondo ad eccezione della Russia. Non è un caso: il malware era programmato per non infettare un computer sul quale rilevava la presenza di una tastiera russa.

Fra le malefatte di Necurs si può citare il ransomware Locky, che bloccava i computer chiedendo un riscatto per sbloccarli, trojan per rubare da conti bancari, truffe sentimentali, furti di password, una quantità straordinaria di spam e una truffa borsistica del tipo pump and dump (in cui i truffatori promuovono un titolo di cui hanno azioni per convincere le vittime a comperarlo e farne salire artificiosamente la quotazione, e poi guadagnano vendendo quel titolo).

Ci sono voluti ben otto anni per tracciare e pianificare la disattivazione di Necurs. Microsoft e i suoi partner d’indagine hanno decifrato le tecniche usate dai criminali e hanno potuto così giocare d’anticipo bloccandoli nella creazione automatica di domini usati per inviare comandi ai computer infettati.

Ora resta il compito di ripulire i computer infettati, che non hanno più un coordinatore nascosto ma continuano a ospitare il malware. Per questo esistono gli antivirus, che riconoscono le tracce di Necurs e le eliminano.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Torna l’hacker di buon cuore che ti pulisce il computer infetto. Forse

phorpiex-malware-uninstall.jpgDi solito si parla di intrusi informatici in senso negativo: malfattori che entrano nei computer altrui per fare danno. E poi ci sono quelli che fanno comparire sullo schermo falsi avvisi di infezione, per scherzo o per estorcere denaro. Ma stavolta non è così.

Numerosi utenti, segnala ZDnet, stanno ricevendo sui propri schermi un allarme sullo schermo che chiede educatamente, con tanto di “Please”, di installare un antivirus e aggiornare il computer.

Gli artefici di questo avviso, secondo le prime analisi, sono degli hacker buoni, che stanno rilevando via Internet la presenza del malware Phorpiex sui computer altrui e stanno quindi mettendo in guardia gli utenti di questi computer. Probabilmente questi hacker samaritani hanno preso possesso della rete di controllo di questo malware e la stanno usando per allertare le sue vittime.

Phorpiex è un malware usato per disseminare spam: infetta i computer Windows e li usa come punti di distribuzione di enormi campagne di mail pubblicitarie indesiderate, pagate da altri gruppi criminali. Secondo Check Point, questo genere di attività ha fruttato in passato 115.000 dollari in cinque mesi. La posta in gioco è insomma piuttosto alta.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Sì, si può nascondere un virus in un file audio, ma niente panico

Sì, si può nascondere un virus in un file audio, ma niente panico

La notizia (rilanciata per esempio da ANSA) che i virus “si possono nascondere anche nei file audio” ha comprensibilmente spaventato parecchi utenti. Ma non è il caso di farsi prendere dal panico.

L’annuncio arriva dai ricercatori di sicurezza di Cylance, che hanno scoperto che alcuni criminali informatici stanno diffondendo i propri malware inserendoli in maniera nascosta all’interno di normali file audio WAV.

Gli antivirus spesso non controllano questi file, perché sono considerati sicuri. Eppure non c’è da preoccuparsi comunque, perché in realtà non è possibile infettarsi semplicemente scaricando e ascoltando un file audio WAV: una precisazione che manca in molte versioni della notizia.

Cylance, infatti, spiega che per infettarsi l’utente dovrebbe prima scaricare un programma ostile ed eseguirlo. Il programma leggerebbe poi il file audio nel quale sta nascosto il malware (grazie alla steganografia) e lo estrarrebbe, eseguendolo. L’infezione avrebbe effetto solo in questo caso.

Morale della storia: se non scaricate e installate programmi che arrivano da chissà dove, potete aprire tranquillamente i file audio.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
GTA V, occhio alle mod rubapassword

GTA V, occhio alle mod rubapassword

Vi piacciono le mod di Grand Theft Auto V, ossia i software da installare per modificare o estendere questo videogioco per adulti molto popolare? Attenzione a quali mod scaricate: c’è infatti chi sfrutta la passione dei giocatori per disseminare infezioni.

La segnalazione arriva da una società di sicurezza, Malwarebytes, in seguito agli allarmi pubblicati dagli utenti su Reddit e nei forum ufficiali di GTA. Sono particolarmente a rischio le mod intitolate No-Clip e Angry Planes, che sfuggono agli antivirus di base. Secondo un’analisi del malware in circolazione, dentro le mod infette c’è di tutto: un modulo che manda spam, uno che ruba gli account nei social network e uno che registra tutto quello che viene digitato sulla tastiera.

La raccomandazione ai giocatori è di scaricare soltanto le mod provenienti da fonti di buona reputazione e comunque di sottoporre qualunque mod, anche la più fidata, a una scansione preventiva (prima di installarla) con un buon antivirus aggiornato.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Allerta in Minecraft per skin infettate, ma niente panico

Allerta in Minecraft per skin infettate, ma niente panico

Le skin di Minecraft incriminate. Credit: Avast.

Kotaku segnala che oltre 50.000 giocatori di Minecraft sono alle prese con un allarme virus. Avast spiega che alcune skin caricate sul sito ufficiale di Minecraft contenevano malware. Se uno dei 74 milioni di giocatori di Minecraft le scarica, questo malware potrebbe in teoria riformattare i loro dischi rigidi e cancellare i dati di backup.

I giocatori, però, possono stare tranquilli: le skin sono state rimosse e il pericolo è passato. Secondo gli sviluppatori di Minecraft, anzi, il pericolo probabilmente era solo apparente, perché le skin sono immagini in formato PNG e, come tutte le immagini in questo formato, possono contenere metadati di vario genere, e qualcuno ha pensato di inserire in queste skin del codice ostile, che viene riconosciuto dagli antivirus come malware. Ma questo codice è confezionato in un modo che rende praticamente impossibile eseguirlo e quindi infettarsi.

Minecraft ha colto l’occasione per attivare dei filtri che rimuovono dalle skin eventuali metadati di qualunque genere.

Niente panico, quindi, e buon divertimento.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Volkswagen: milioni di auto con malware iper-inquinante. Messo da Volkswagen. E da quanti altri?

Volkswagen: milioni di auto con malware iper-inquinante. Messo da Volkswagen. E da quanti altri?

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “patriziadal*” e “letizia.2*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento, come ha fatto “biemmic*”). Ultimo aggiornamento: 2019/09/05 10:05 (per correggere link EPA diventato obsoleto).

Lo scandalo della Volkswagen che ha truccato il software di circa undici milioni delle proprie auto diesel in tutto il mondo per barare durante i test sulle emissioni inquinanti è su tutti i giornali. È un disastro per l’azienda, con miliardi di euro persi in borsa e altri da accantonare per risarcimenti e riparazioni, ma è soprattutto un disastro ambientale per tutti noi.

Secondo le stime del Guardian, l’inganno mondiale perpetrato dalla casa automobilistica rischia di aver prodotto ogni anno quasi un milione di tonnellate di emissioni di ossidi di azoto (NOx), grosso modo quanto ne producono tutte le centrali elettriche, le auto, le industrie e l’agricoltura del Regno Unito.

Il trucco è banalissimo, stando a Consumer Reports: quando l’elettronica di bordo (prodotta dalla Bosch) rileva che le ruote di trazione (anteriori, nelle auto VW) si muovono ma quelle posteriori sono ferme, ossia quando l’auto è presumibilmente su un banco di prova, le prestazioni del motore vengono degradate in modo da produrre emissioni nei limiti di legge.

Fra l’altro, questa scelta inequivocabilmente intenzionale di Volkswagen ridefinisce drasticamente il concetto di malware. Siamo abituati a malware che ruba password, inietta pubblicità o altera il funzionamento dei computer o dei telefonini; non era ancora capitato che del malware inserito intenzionalmente dal costruttore consentisse di nascondere un inquinamento atmosferico su vasta scala.

Il problema è che probabilmente questo trucco è stato adottato anche in Europa, e non solo da Volkswagen ma anche da altre case automobilistiche: lo indicano anche le analisi dell’atmosfera, che continuano a rilevare livelli di NOx più alti di quelli attesi. E di certo cose di questo genere vanno avanti da oltre vent’anni, grazie anche alle leggi idiote sul copyright. Non sto scherzando.

Infatti Volkswagen non ha inventato nulla di nuovo. Ricordo che una persona esperta del settore mi confidava in dettaglio, già a fine anni Novanta, che un trucco sostanzialmente identico (una routine nel software delle centraline di controllo dei motori, che riconosce quando è in corso un test sulle emissioni inquinanti e degrada appositamente le prestazioni e quindi le emissioni) veniva utilizzato da una nota marca europea di auto ad alte prestazioni (di cui conosco il nome) per superare i test americani sulle emissioni nocive.

Questo suggerisce una domanda: oltre a Volkswagen (e quindi Audi, Bentley, Bugatti, Lamborghini, Porsche, SEAT, Škoda), quante altre case automobilistiche stanno barando e inquinando ben oltre i limiti di legge?

Ce ne sarebbe anche un’altra: come mai nessuna delle case automobilistiche concorrenti, che comprano regolarmente le auto dei rivali per analizzarle e studiarle in ogni minimo dettaglio e che avrebbero molto da guadagnare nel denunciare una violazione gravissima come questa da parte di un concorrente, ha denunciato questo trucco?

La scoperta dell’inganno si deve infatti a dei ricercatori della West Virginia University che stavano cercando tutt’altro: avevano l’incarico, per conto di una società senza scopo di lucro europea, di raccogliere dati per convincere i normatori europei a emulare i severi standard americani sulle emissioni di NOx. La loro sperimentazione sul campo ha rilevato valori di NOx assolutamente fuori misura e incomprensibili, e l’ente per l’ambiente americano lo ha saputo quasi per caso, come spiegano gli stessi ricercatori qui su IEEE Spectrum.

Questo disastro è andato avanti per così tanto tempo anche grazie al fatto che il software di gestione dei motori degli autoveicoli non è liberamente ispezionabile dai ricercatori indipendenti: anzi, è considerato illegale farlo, secondo l’interpretazione dominante delle norme sul copyright previste dal Digital Millennium Copyright Act (DMCA) specificamente per il software automobilistico. Spiega la Electronic Frontier Foundation:

I fabbricanti di automobili dicono che è illegale che i ricercatori indipendenti esaminino il codice che controlla i veicoli senza il permesso dei costruttori. Abbiamo già spiegato che questo consente ai fabbricanti di impedire la concorrenza nei mercati delle tecnologie per accessori e riparazioni. Rende anche più difficile la ricerca di problemi di sicurezza da parte degli enti di tutela […]. L’incertezza legale creata dal Digital Millennium Copyright Act rende anche più facile per i costruttori nascondere illeciti intenzionali. Abbiamo chiesto […] un’esenzione al DMCA che renda chiaro che la ricerca indipendente sul software degli autoveicoli non viola le leggi sul copyright. Nell’opporsi a questa richiesta, i costruttori hanno affermato che se le persone avessero avuto acceso al codice, avrebbero violato le norme antinquinamento. Ma ora abbiamo appreso che secondo la Environmental Protection Agency [PDF; link aggiornato ad Archive.org] la Volkswagen aveva già programmato un’intera flotta di veicoli in modo da nascondere quanto inquinamento generavano, producendo un impatto reale e quantificabile sull’ambiente e sulla salute umana.

Se il software fosse stato liberamente ispezionabile, anche se non modificabile (per evitare manipolazioni pericolose), Volkswagen probabilmente non ci avrebbe nemmeno provato. Se c’è una dimostrazione potente dei pregi dell’approccio open source, è questa.

Come al solito, quando non c’è vigilanza si commettono abusi, e quando si invoca la segretezza in nome della sicurezza, spesso la vera ragione è che si vuole carta bianca per commettere questi abusi o per nasconderli. La trasparenza serve proprio per evitarli. Anche nel software, che non è una cosa astratta, ma ha conseguenze dannatamente reali: il malware intenzionale di Volkswagen le ha permesso di inquinare impunemente l’aria che respiriamo. È ora di togliere a questi criminali la loro burocratica foglia di fico.

Forza, giornalisti: invece di fare il copiaincolla dei comunicati stampa e le recensioncine all’acqua di rose, andate a chiedere alle altre case produttrici di dichiarare, nero su bianco, che non usano e non hanno mai usato trucchi software per barare sui test sulle emissioni. Vediamo un po’ cosa rispondono.

E se qualcuno nel settore dell’assistenza automobilistica riceve richieste confidenziali di aggiornare con discrezione il software delle centraline per far sparire le tracce del malware, me lo dica. Sapete come contattarmi in modo riservato, se conoscete le basi della crittografia.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
CamScanner, app Android malevola da 100 milioni di download

CamScanner, app Android malevola da 100 milioni di download

Un’app molto popolare presente nello store ufficiale Android ha infettato i dispositivi sui quali veniva installata: si chiama CamScanner, e se l‘avete ospitata sul vostro tablet o smartphone probabilmente avete un problema e non siete i soli, visto che l’app è stata scaricata 100 milioni di volte.

CamScanner è stata a lungo un’app regolare, che consentiva di scansionare e gestire documenti facendo riconoscimento ottico e generando file PDF e si finanziava attraverso pubblicità e acquisti in-app.

Ma Kaspersky ha annunciato di aver scoperto che una versione recente di CamScanner contiene un componente che scarica vari altri componenti ostili che possono per esempio far comparire pubblicità indesiderate oppure abbonare le vittime a servizi a pagamento.

Kaspersky ha segnalato il problema a Google, che ha rimosso l’app da Google Play.

Chi ha installato quest’app farebbe bene a rimuoverla dal proprio dispositivo Android, che va poi analizzato con un antivirus aggiornato di un fornitore ben conosciuto.

Va chiarito che i creatori di CamScanner, la CC Intelligence di Shanghai, sono probabilmente incolpevoli: secondo le analisi tecniche, i componenti ostili provengono infatti da un modulo (libreria) di gestione delle pubblicità fornito da terzi, che sono presumibilmente i veri responsabili. I creatori dell’app hanno pubblicato un comunicato che avvisa del problema e include l’invito a scaricare e installare la versione aggiornata di CamScanner da un sito esterno a Google Play.

Maggiori dettagli sulla vicenda sono disponibili su Ars Technica e ZDNet.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Il ricatto informatico più pigro mai visto: ti ho bloccato il PC, credimi e telefonami

Il ricatto informatico più pigro mai visto: ti ho bloccato il PC, credimi e telefonami

Security warning: Il tuo computer è stato bloccato. Errore #DW6VB36. Per favore chiamaci immediatamente al numero +39 0694804[omissis]. Non ignorare questo avviso critico.
Se chiudi questa pagina, l’accesso del tuo computer sarà disattivato per impedire ulteriori danni alla nostra rete. Il tuo computer ci ha avvisato di essere stato infestato con virus e spyware. Sono state rubate le seguenti informazioni: Accesso Facebook, Dettagli carta di credito, Accesso account e-mail, Foto conservate su questo computer.
Devi contattarci immediatamente in modo che i nostri ingegneri possano illustrarti il processo di rimozione per via telefonica. Per favore chiamaci entro i prossimi 5 minuti per impedire che il tuo computer venga disattivato. Chiama per ricevere supporto: +390694804[omissis].

Se vi compare sullo schermo un avviso di questo genere mentre state girando su Internet, non cascateci e chiudete senza esitazioni la sua finestra, anche se sembra firmato da Microsoft: è un bluff da parte di criminali talmente pigri che neanche si prendono la briga di infettare e bloccare davvero i computer delle loro vittime. È l’ultima novità in fatto di estorsioni informatiche, segnalata da Cybersecurity360.it e dalla Polizia Postale italiana.

Credit: Tlcomm.it.

Questo non è ransomware: non è un avviso che compare ad opera di un malware che ha infettato il computer. È solo un testo, che viene visualizzato usando una delle tante tecniche di pop-up disponibili nelle pagine Web.

La tecnica, spiega la Postale, è convincere la vittima a telefonare al numero indicato, dove un truffatore si spaccerà per un rappresentante di un servizio di assistenza tecnica e cercherà di indurre la vittima a installare un software di assistenza remota che consegna al malfattore il controllo completo del computer del malcapitato e in più, per questa “assistenza”, si fa pagare circa cento euro.

In teoria questa forma di attacco dovrebbe avere un punto debole: il numero di telefono da chiamare. Se venisse bloccato prontamente, renderebbe inefficace la disseminazione di questi messaggi ingannevoli.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Usate Adware Doctor, Dr Cleaner, Dr Antivirus o App Uninstall sul Mac? Meglio di no

Usate Adware Doctor, Dr Cleaner, Dr Antivirus o App Uninstall sul Mac? Meglio di no

Non è il caso di fidarsi ciecamente delle applicazioni vendute tramite l’App Store per computer Apple. 9to5mac.com segnala infatti il caso di Adware Doctor, una delle app di utility a pagamento più popolari del negozio online per Mac, colta a registrare di nascosto la cronologia di navigazione di tutti i browser degli utenti e mandarla a un server in Cina.

La scoperta è opera di Privacy 1st; i dettagli sono stati documentati da ricercatore di sicurezza Patrick Wardle, che ha avvisato Apple. L’azienda ci ha messo un mese a rimuovere Adware Doctor dallo Store.

L’app registrava la cronologia di navigazione (di Safari, Firefox e Chrome) e altri dati in un file di nome history.zip protetto da una password fissa; questo file veniva poi inviato al server in Cina. Siccome si spacciava per un’app di sicurezza, l’utente non si insospettiva per il fatto che Adware Doctor chiedeva il permesso di accesso universale.

The Register segnala che un inciampo analogo riguarda alcuni prodotti di Trend Micro, come Dr Cleaner, Dr Antivirus e App Uninstall. Sono state rimosse dal Mac App Store dopo che è emerso che anche queste app raccoglievano le cronologie di navigazione degli utenti, come documentato da questo video. Trend Micro ha confermato la raccolta di dati personali ma ha dichiarato che si trattava di un evento occasionale e non di una raccolta sistematica e che la raccolta serviva per analizzare se l’utente era entrato in contatto con adware o altre minacce; inoltre questo comportamento veniva dichiarato esplicitamente nell’informativa offerta durante l’installazione. Questa funzione verrà comunque rimossa.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Falla Flash viene già usata per attacchi, aggiornatevi

Falla Flash viene già usata per attacchi, aggiornatevi

Siamo alle solite con Adobe Flash: va aggiornato perché ha una falla. Però stavolta la falla non è soltanto teorica: viene sfruttata già attivamente dai criminali. Adobe ha pubblicato l’avviso tecnico, segnalando che attacchi basati sulla falla (denominata CVE-2018-5002) sono in circolazione e colpiscono gli utenti Windows tramite documenti Office infetti, che incorporano file Flash e vengono inviati come allegati alle mail. Questi file Flash eseguono il malware infettante vero e proprio.

La falla esiste in tutte le versioni di Flash fino alla  29.0.0.171; la correzione è inclusa nelle versioni dalla 30.0.0.113 inclusa in poi. I player Flash inclusi in Google Chrome, Microsoft Edge, e Internet Explorer 11 per Windows 10 e 8.1 vengono aggiornati automaticamente.

Come al solito, se proprio dovete usare Flash, potete procurarvi la versione aggiornata presso get.adobe.com/flashplayer/. Ma valutate l’idea di disinstallarlo, e di aggiornare i vostri siti e processi di lavoro in modo che non usino Flash, perché ufficialmente cesserà di esistere nel 2020.


 Fonte: Naked Security.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.