Archive for the ‘F-Secure’ Category

Funzionalità ransomware di ZeuS: win_unlock

maggio 24th, 2012, posted in F-Secure, Traduzioni inglese-italiano

Il post seguente è stato tradotto per gentile concessione di F-Secure

Stamattina presto, mentre eseguivamo il nostro quotidiano data mining, ci siamo imbattuti in una nuova variante di ZeuS 2.x. Comprendeva un nuovo comando backdoor chiamato: win_unlock. Molto interessante. Pare che questo ZeuS 2.x leggermente modificato includa una funzione ransomware.

Quando questa particolare variante viene eseguita, apre Internet Explorer ad una pagina specifica (lex.creativesandboxs.com/locker/lock.php) e impedisce all’utente di fare qualsiasi altra cosa con il sistema infetto. La pagina web aperta, presumibilmente, mostra un qualche tipo di messaggio di estorsione; ma, al momento, non è disponibile perché il sito è offline.

Il modo più semplice per sbloccare il sistema è quello di eliminare semplicemente il trojan. Ma potrebbe essere un po’ complicato, in quanto il trojan impedisce di fare qualsiasi cosa con il sistema infetto, per fortuna il blocco può essere facilmente disattivato.

Guardando il codice che corrisponde a un comando win_unlock, è chiaro che l’informazione di sblocco è memorizzata nel registro.

ZeuS, funzionalità ransomware

Lo sblocco può, quindi, essere eseguito facilmente tramite un editor per il registro:

1. Avviare il sistema in modalità provvisoria
2. Aggiungere una nuova chiave denominata syscheck in HKEY_CURRENT_USER
3. Creare un nuovo valore DWORD sotto la chiave syscheck
4. Impostare il nome del nuovo valore DWORD a Checked
5. Impostare i dati per il valore Checked a 1
6. Riavviare

SHA1: 03f0c26c6ba77c05152a1e0cc8bc5657f0c83119
Analisi di Mikko S. e Marko

Fonte: ZeuS Ransomware Feature: win_unlock

read more no comments

Anonimo Anonymous sostiene che Anonymous non sia Anonymous

dicembre 28th, 2011, posted in F-Secure, Traduzioni inglese-italiano

Il post seguente è stato tradotto per gentile concessione di F-Secure

Ormai, probabilmente, avrete sentito parlare della violazione di stratfor.com. E che Anonymous ne abbia rivendicato la responsabilità.

Poi Anonymous ha negato di essere responsabile.

pastebin.com/8yrwyNkt


Oggi,poi, “Anonymous” ha affermato che il precedente post pastebin postato in forma anonima non era di Anonymous , ma che in realtà fossero dipendenti di Stratfor che sostenevano di essere Anonymous.


pastebin.com/4KeCkGUF

Un attimo…ma Anonymous non sostiene che “siamo tutti Anonymous”? Se è così, allora, forse, era Anonymous, dopo tutto.

A qualcuno interessa, ancora?

Al pubblico non sembra. I risultati instantanei di Google per “anonymous è” e “anonymous sono” contengono pochi complimenti al gruppo.

Altre notizie: Anonymous, oggi, ha promesso un altro dump dei dati.

pastebin.com/q5kXd7Fd

In attesa di smentite da Anonymous naturalmente.

Fonte: Anonymous Anonymous Claims Anonymous is Not Anonymous

read more 1 comment

Trojan:BASH/QHost.WB

agosto 1st, 2011, posted in F-Secure, Traduzioni inglese-italiano

Il post seguente è stato tradotto per gentile concessione di F-Secure

Ci siamo imbattuti in un falso installer FlashPlayer.pkg per Mac:

Una volta installato, il trojan aggiunge alcune voci nei file host con l’intento di effettuare l’hijack degli utenti che visitano vari siti di Google, (ad esempio, google.com.tw, ​​google.com.tl, ecc), verso l’indirizzo IP 91.224.160.26, che si trova nei Paesi Bassi.

Il server dell’indirizzo IP visualizza una pagina web fasulla, creata per apparire simile al sito legittimo di Google.

Per fare un esempio, questo è l’aspetto di Google.com.tw su un sistema normale, non-infetto:

trojan_bash_qhost_wb_google_tw_clean (68k image)

Ecco, invece, come appare Google.com.tw su un sistema infetto:

trojan_bash_qhost_wb_google_tw_infected_system (72k image)

Quando viene richiesta una ricerca, il server remoto restituisce una falsa pagina che imita una pagina legittima dei risultati di ricerca di Google.

Ecco una richiesta di ricerca sul sito reale di google.com.tw su un sistema pulito:

trojan_bash_qhost_wb_google_tw_clean_searches (169k image)

Ed ecco la stessa richiesta su un sistema infetto:

trojan_bash_qhost_wb_google_tw_infected_system_searches (250k image)

Anche se la pagina sembra abbastanza realistica, fare clic su uno dei link non porterà l’utente ad altri siti. Il clic sui link aprirà, però, nuove pagine pop-up, tutte provenienti da un server remoto separato:

trojan_bash_qhost_wb_google_tw_infected_system_search_source (173k image)

Mentre scriviamo, le pagine pop-up non mostrano nulla, anche se presumiamo siano annunci di qualche tipo. Pare che il server remoto che invia le pagine pop-up non sia operativo.

L’altro server remoto che invia false richieste di ricerca sembra essere ancora attivo.

Abbiamo identificato questo trojan come Trojan:BASH/QHost.WB.

—–

Analisi di – Brod

Fonte: Trojan:BASH/QHost.WB

read more no comments

Delle minacce di Android: Spyware:Android/SndApps.A e Trojan:Android/SmsSpy.D

luglio 18th, 2011, posted in F-Secure, Traduzioni inglese-italiano

Il post seguente è stato tradotto per gentile concessione di F-Secure

Il malware per Android sembra essere di gran moda al momento. Ecco alcuni commenti in merito ad un paio di interessanti questioni accessorie che sono sorte durante le nostre analisi.

Ecco la prima: c’è stato un report recente in merito ad applicazioni sospette trovate nell’Android Market ufficiale. Le app in questione, da allora, sono state ritirate ma il nostro threat hunting team s’è imbattuto in loro in forum e altri luoghi simili, generalmente promossi come ‘app gratuite’.

Le stesse applicazioni sembrano essere semplici giochi. Ad un certo punto, però, pare siano stati inseriti alcuni servizi aggiuntivi. Le versioni precedenti non richiedevano altro che l’accesso a Internet:

permissions_internet (104k image)

Le versioni successive, però, tendono ad andare un po’ più sul personale:

application_permissions (47k image)

new_permissions (169k image)

Dopo le modifiche, l’app è in grado di accedere a varie parti di informazioni del dispositivo: il carrier e il paese, l’ID del dispositivo, l’indirizzo e-mail e il numero di telefono.

services (92k image)

Le informazioni vengono inviate a un server remoto.

Un’ulteriore modifica permette a questa app di inserire una piccola icona che, se si fa clic, porta l’utente ad altre app, che, presumibilmente, potrebbe voler provare. Le app pubblicizzate sembrano mostrare lo stesso comportamento sospetto.

applications (66k image)

La cosa interessante è che entrambe le versioni, sia la precedente “irrilevante” che la successiva “sospetta”, sembrano provenire dagli stessi sviluppatori:

comparison (56k image)

Sembra essere un caso di nuovi comportamenti discutibili aggiunti in un secondo momento ad un’applicazione esistente e non un app riconfezionata con l’aggiunta di routine estranee e dannose. Ne stiamo ancora esaminando i vari aspetti, ma, per ora, in base al comportamento osservato rileviamo queste app come Spyware:Android/SndApps.A

Questo caso ci interessa, in quanto sembra essere un’evoluzione nello sviluppo di applicazioni Android, in particolare ‘greyware’. Questo tipo di comportamento sembra confermare una delle nostre previsioni precedenti, secondo la quale uno sviluppatore “fidato” sarebbe in grado di far uscire un aggiornamento contenente routine sospette/indesiderate/non etiche, che potrebbero invadere la privacy dell’utente.

Le nuove routine inserite potrebbero ottenere informazioni sugli utenti ed essere utilizzate per altri scopi, come l’invio di messaggi pubblicitari o spam. Nel peggiore dei casi, i dettagli possono essere venduti a terzi. Non avremmo modo di sapere cosa si stia facendo con le informazioni.

In un altro caso, ancora più recente, abbiamo discusso dello strano comportamento di un’altra app Android segnalata , questa volta un trojan.

Non aveva senso che il trojan intercettasse un messaggio SMS, per poi inviarlo ad un indirizzo di loopback:

smsspy_loopback (131k image)

Dalla nostra indagine pare che questa app possa essere un programma di test. Lo rileviamo come Trojan:. Android/SmsSpy.C

In ogni caso, uno dei nostri threat hunter ha trovato un file (SHA1: 7d8004b107979e159b307a885638e46fdcd54586) che sembra essere maggiormente utile:

smsspy_link (160k image)

Questo sembra aver più senso. Lo rileviamo come Trojan:Android/SmsSpy.D

—–

Analisi e post di: Zimry, Irene, Raulf e Leong

Fonte: On Android threats Spyware: Android/SndApps.A and Trojan:Android/SmsSpy.D

read more no comments

Un altro malware per Android utilizza un root exploit

giugno 12th, 2011, posted in F-Secure, Traduzioni inglese-italiano

Il post seguente è stato tradotto per gentile concessione di F-Secure

È stato scoperto un altro malware per Android che usa il root exploit “Rage Against The Cage” e lo abbiamo identificato come Trojan:Android/DroidKungFu.A .

Questo nuovo malware era integrato in un’applicazione trojan che potrebbe richiedere un accesso di root per non essere visibile.

L’infezione avviene in due parti:

Infezione: Parte 1

La prima parte consiste nell’installazione di un’applicazione trojan che otterrà i privilegi di root e installerà l’applicazione com.google.ssearch . Questa applicazione punterà al service component Trojan: Android/DroidKungFu.A che attiverà il servizio com.google.ssearch.Receiver.

Dopo averlo creato, chiamerà la funzione getPermission () che installerà un APK embedded.

droidkungfu_create (47k image)

droidkungfu_getpermission (56k image)

Questo richiamerà checkPermission (), che controllerà se com.google.ssearch.apk sia già presente. In caso contrario verrà installato il file “legacy”, un file APK, in “system/app” (la cartella dell’applicazione).

Infezione: Parte 2

La seconda parte ha a che fare con il componente principale del malware, com.google.ssearch.apk. Come potremmo ricordare, questo componente era presente anche nell’applicazione col trojan.

Ecco una schermata che mostra com.google.ssearch.apk installato.

droidkungfu_screen (194k image)

Il malware sembra avere una funzionalità di backdoor. Ecco alcune delle capacità che abbiamo notato:

  • execDelete – eseguire un comando per cancellare un file

    •  

  • execHomepage – eseguire un comando per aprire una pagina

    •  

  • execInstall – scaricare e installare un APK

    •  

  • execOpenUrl – aprire un URL

    •  

  • execStartApp – eseguire o avviare un pacchetto applicativo

    •  

Trojan: Android/DroidKungFu.A potrebbe ottenere le seguenti informazioni e inviarle a un server remoto:

  • imei – numero IMEI

    •  

  • ostype – versione build, ad esempio 2.2

    •  

  • osapi – versione SDK

    •  

  • mobile – numero di cellulare degli utenti

    •  

  • mobilemodel – modello del telefono

    •  

  • netoperator – Operatore di rete

    •  

  • nettype – Tipo di connettività di rete

    •  

  • managerid – un valore hard-coded che è “sp033″

    •  

  • sdmemory – memoria disponibile della scheda SD

    •  

  • aliamemory – memoria disponibile nel telefono

    •  

Root è impostato a 1, come per significare “con root” e queste informazioni vengono inviate successivamente a “http://search.gong [...]. php.”

Il malware riceve i comandi da “http://search.gong [...]. php” mediante il posting nell’ “imei”, “managerid” e il valore di root.

Inoltre segnala lo stato dei comandi su “http://search.gong [...]. php” mediante il posting in “imei”, “taskid”, “state” e “comment”.

Soluzioni inviate da Zimry

Fonte: Another Android malware utilizing a root exploit

read more no comments

Nuova variante di DroidDream trovata sui telefoni Android

giugno 8th, 2011, posted in F-Secure, Traduzioni inglese-italiano

Il post seguente è stato tradotto per gentile concessione di F-Secure

Android è diventato l’obiettivo principale del malware mobile.

Ecco “Hot Girls 1 “, ieri era ancora disponibile per il download dall’Android Market:

hot girls 1

Questa applicazione, inizialmente, era innocua. Ma un pericoloso sviluppatore, chiamato “Magic Photo Studio”, ha scaricato l’applicazione originale, l’ha modificata e ha rifatto l’upload sull’Android Market.

Come risultato finale, durante l’installazione di “Hot Girls 1″, potrete notare che richiede permessi sospetti, specialmente per un’applicazione che dovrebbe soltanto mostrare immagini di, beh, ragazze focose:

hot girls 1 hot girls 1

Il pericoloso sviluppatore ha inserito codice che si attiva quando il telefono riceve una chiamata.

hot girls 1

Il codice aggiuntivo si connette ad un server e invia dettagli sul dispositivo infetto agli autori del malware. Quindi stiamo parlando di una botnet mobile.

Il nostro prodotto per la sicurezza di Android F-Secure Mobile Security , la blocca come una variante del trojan DroidDream, chiamata Trojan:Android/DroidDream.B

Dozzine di esempi di applicazioni infette sono state trovate nell’Android Market, pubblicate con i nomi dello sviluppatore, quali Magic Photo Studio, BeeGoo e Mango Studio .

Google, ora, li ha rimossi dal Market.

Fonte: New DroidDream Variant Found on Android Phones

read more no comments

Siti di phishing ospitati sui server di Google

maggio 31st, 2011, posted in F-Secure

Il post seguente è stato tradotto per gentile concessione di F-Secure

Google Documenti permette agli utenti di creare documenti, fogli di calcolo, eccetera su google.com (ospitato nella cloud di Google):

spreadsheets.google.com

I fogli di calcolo possono contenere anche alcune funzionalità, come i form, che possono essere messe a disposizione di chiunque.

Purtroppo ciò significa vedere regolarmente siti di phishing nei fogli di calcolo di Google Documenti, ospitati su spreadsheets.google.com.

Ecco alcuni esempi:

spreadsheets.google.com

spreadsheets.google.com

spreadsheets.google.com

Sono attacchi seri, visto che le pagine di phishing sono ospitate sul reale google.com, con tanto di certificato SSL valido.

spreadsheets.google.com

Durante le nostre ricerche, ci siamo imbattuti in questo form del foglio di calcolo di Google:

spreadsheets.google.com

Nonostante tutti i nostri sforzi, non riusciamo a capire se si tratti di phishing, o di una pagina valida gestita da Google [vedi sotto per la risposta].

Inizialmente la pagina si presenta, ovviamente, come phishing: è ospitata sul server pubblico spreadsheets.google.com, dove chiunque può ospitare form.
E chiede il vostro numero Google Voice, indirizzo e-mail e il codice PIN segreto .

Ma poi, trovate anche fantomatici dipendenti di Google che si linkano al form .

Quindi, non riusciamo a capire. Voi?

Ecco l’URL:

https://spreadsheets.google.com/viewform?formkey=cjlWRDFTWERkZEIxUzVjSmNsN0ExU1E6MA

Se ci capite qualcosa, fatecelo sapere tramite i commenti .

Aggiornamento : secondo l’opinione generale, su Twitter, sembra si tratti di un sito di phishing. Ma la giuria è ancora riunita per deliberare.

spreadssheets

Aggiornamento : siamo stati contattati da un dipendente di Google.

Ci hanno informato che, sorprendentemente, la pagina in questione è proprio il form ufficiale di Google per richiedere il trasferimento dell’account di Google Voice. Ci hanno anche detto di rimuovere tutti i riferimenti al form in questo post del blog. Ma temo non sia possibile farlo.

Fonte: Phishing Sites Hosted on Google’s Servers

read more no comments