Cos’è accaduto al likejacking di Facebook?

Il post seguente è stato tradotto per gentile concessione di F-Secure

Nel 2010 il likejacking di Facebook ( tecnica di social engineering che ingannava le persone tramite aggiornamenti dello stato di Facebook ) era un trending problem. Quindi, cos’è accaduto agli scam likejacking e allo spam? Beh, Facebook ha aumentato la sicurezza e il trend è diminuito in modo significativo; almeno se paragonato ai picchi del 2010.

Ma non si può domare un buon spammer. Non puoi batterli? Unisciti a loro.

Oggi, parte della stessa spazzatura che era trasmessa via likejacking, ora è trasmessa tramite la pubblicità di Facebook.

Sponsor di Facebook

La miniatura centrale superiore, sopra, è una sorta di uovo malformato . Una tipica click-bait.

Gli ad link ad una pagina con campagne localizzate. Notare il “Ca” e “Fi”.

Lezioni di cucina 101

La landing page utilizza un trucco “app” per reindirizzare automaticamente a una campagna di spam:

schema lavoro da casa

Siamo abbastanza sicuri che questi trucchi siano una violazione del ToS di Facebook. Ma finora Facebook non ha avuto reazioni al campione che gli abbiamo inviato.

A quanto pare.

Alcune delle campagne spam, a seconda dei source ad, non sono esattamente “safe for work”:

Jailbait ads

Un ulteriore problema: alcuni degli ad sembrano essere collegati a siti web compromessi. Gli spammer potrebbero anche non pagare questi annunci.

Venite giudicati dalla società della quale vi occupate?

Questa, probabilmente, è una domanda che brand legittimi con una presenza su Facebook, dovrebbero porsi.

Fonte: Whatever Happened to Facebook Likejacking?


Posted in F-Secure, Traduzioni inglese-italiano and tagged , , , by with no comments yet.

Hack-Tool per Android ruba informazioni PC

Il post seguente è stato tradotto per gentile concessione di F-Secure

Yeh, uno dei nostri analisti di Security Response, si è imbattuto in un interessante report su un forum cinese, durante il fine settimana, in merito a un’app Android che sostanzialmente trasforma il dispositivo in un hack-tool in grado di rubare dati da una macchina Windows collegata.

È riuscito a trovare un campione (MD5: 283d16309a5a35a13f8fa4c5e1ae01b1) per ulteriori indagini. Quando viene eseguito, il campione (lo rileviamo come Hack-Tool:Android/UsbCleaver.A) installa un’app chiamata USBCleaver sul dispositivo:

hacktool_android_usbcleaver_0 (53k image)

Quando viene lanciata, l’app, induce l’utente a scaricare un file ZIP da un server remoto:

hacktool_android_usbcleaver_1 (188k image)

Poi esegue l’unzip del file scaricato nella cartella /mnt/sdcard/usbcleaver/system. I file salvati sono essenzialmente utilità, usate per recuperare informazioni specifiche quando il dispositivo è collegato via USB a una macchina Windows. Nota: abbiamo individuato la maggior parte dei file con le rilevazioni più datate

I dati seguenti vengono catturati dal PC connesso:.

• Password del browser (Firefox, Chrome e IE)
• Password Wi-Fi del PC
• Informazioni di rete del PC

L’app offre all’utente la possibilità di scegliere quali informazioni voglia recuperare:

hacktool_android_usbcleaver_2 (178k image)

hacktool_android_usbcleaver_3 (196k image)

hacktool_android_usbcleaver_4 (185k image)

Per eseguire le utilità, il campione crea i file autorun.inf e go.bat in /mnt/sdcard. Quando il dispositivo è collegato a una macchina Windows, lo script autorun viene attivato, esegue il file go.bat in background, che, a sua volta, esegue i file indicati dalla cartella usbcleaver/system.

I dati raccolti sono memorizzati sul dispositivo in /mnt/sdcard/usbcleaver/logs. L’utente dell’app può fare clic sul pulsante ‘File di log’ per visualizzare le informazioni recuperate dal PC:

hacktool_android_usbcleaver_5 (186k image)

Questo non è il primo trojan Android, segnalato quest’anno, con la capacità d’infettare i PC; dato che quella ‘distinzione’ appartiene alla famiglia delle app trojan-spy, che rileviamo come Sscul (elencate nel nostro Q1 2013 report delle minacce mobili).

A differenza del malware Sscul, però, maggiormente focalizzato sulle intercettazioni remote, USBCleaver sembra essere progettato per facilitare un attacco mirato, tramite la raccolta d’informazioni utili per una successiva infiltrazione

Fortunatamente, la routine d’infezione Windows di UsbCleaver può essere bloccata da una semplice precauzione, standard di sicurezza negli ultimi due anni: disabilitando l’esecuzione automatica di default (lo standard sulle macchine Windows 7). Un ulteriore fattore attenuante è che i sistemi Windows più vecchi necessitano di driver mobili installati manualmente affinché questo attacco sia efficace.

————- ———
Analisi a cura di- Yeh

Fonte: Android Hack-Tool Steals PC Info


Posted in F-Secure, Traduzioni inglese-italiano and tagged , , , by with no comments yet.

Funzionalità ransomware di ZeuS: win_unlock

Il post seguente è stato tradotto per gentile concessione di F-Secure

Stamattina presto, mentre eseguivamo il nostro quotidiano data mining, ci siamo imbattuti in una nuova variante di ZeuS 2.x. Comprendeva un nuovo comando backdoor chiamato: win_unlock. Molto interessante. Pare che questo ZeuS 2.x leggermente modificato includa una funzione ransomware.

Quando questa particolare variante viene eseguita, apre Internet Explorer ad una pagina specifica (lex.creativesandboxs.com/locker/lock.php) e impedisce all’utente di fare qualsiasi altra cosa con il sistema infetto. La pagina web aperta, presumibilmente, mostra un qualche tipo di messaggio di estorsione; ma, al momento, non è disponibile perché il sito è offline.

Il modo più semplice per sbloccare il sistema è quello di eliminare semplicemente il trojan. Ma potrebbe essere un po’ complicato, in quanto il trojan impedisce di fare qualsiasi cosa con il sistema infetto, per fortuna il blocco può essere facilmente disattivato.

Guardando il codice che corrisponde a un comando win_unlock, è chiaro che l’informazione di sblocco è memorizzata nel registro.

ZeuS, funzionalità ransomware

Lo sblocco può, quindi, essere eseguito facilmente tramite un editor per il registro:

1. Avviare il sistema in modalità provvisoria
2. Aggiungere una nuova chiave denominata syscheck in HKEY_CURRENT_USER
3. Creare un nuovo valore DWORD sotto la chiave syscheck
4. Impostare il nome del nuovo valore DWORD a Checked
5. Impostare i dati per il valore Checked a 1
6. Riavviare

SHA1: 03f0c26c6ba77c05152a1e0cc8bc5657f0c83119
Analisi di Mikko S. e Marko

Fonte: ZeuS Ransomware Feature: win_unlock


Posted in F-Secure, Traduzioni inglese-italiano and tagged , , by with no comments yet.

Anonimo Anonymous sostiene che Anonymous non sia Anonymous

Il post seguente è stato tradotto per gentile concessione di F-Secure

Ormai, probabilmente, avrete sentito parlare della violazione di stratfor.com. E che Anonymous ne abbia rivendicato la responsabilità.

Poi Anonymous ha negato di essere responsabile.

pastebin.com/8yrwyNkt


Oggi,poi, “Anonymous” ha affermato che il precedente post pastebin postato in forma anonima non era di Anonymous , ma che in realtà fossero dipendenti di Stratfor che sostenevano di essere Anonymous.


pastebin.com/4KeCkGUF

Un attimo…ma Anonymous non sostiene che “siamo tutti Anonymous”? Se è così, allora, forse, era Anonymous, dopo tutto.

A qualcuno interessa, ancora?

Al pubblico non sembra. I risultati instantanei di Google per “anonymous è” e “anonymous sono” contengono pochi complimenti al gruppo.

Altre notizie: Anonymous, oggi, ha promesso un altro dump dei dati.

pastebin.com/q5kXd7Fd

In attesa di smentite da Anonymous naturalmente.

Fonte: Anonymous Anonymous Claims Anonymous is Not Anonymous


Posted in F-Secure, Traduzioni inglese-italiano and tagged , by with 1 comment.

Trojan:BASH/QHost.WB

Il post seguente è stato tradotto per gentile concessione di F-Secure

Ci siamo imbattuti in un falso installer FlashPlayer.pkg per Mac:

Una volta installato, il trojan aggiunge alcune voci nei file host con l’intento di effettuare l’hijack degli utenti che visitano vari siti di Google, (ad esempio, google.com.tw, ​​google.com.tl, ecc), verso l’indirizzo IP 91.224.160.26, che si trova nei Paesi Bassi.

Il server dell’indirizzo IP visualizza una pagina web fasulla, creata per apparire simile al sito legittimo di Google.

Per fare un esempio, questo è l’aspetto di Google.com.tw su un sistema normale, non-infetto:

trojan_bash_qhost_wb_google_tw_clean (68k image)

Ecco, invece, come appare Google.com.tw su un sistema infetto:

trojan_bash_qhost_wb_google_tw_infected_system (72k image)

Quando viene richiesta una ricerca, il server remoto restituisce una falsa pagina che imita una pagina legittima dei risultati di ricerca di Google.

Ecco una richiesta di ricerca sul sito reale di google.com.tw su un sistema pulito:

trojan_bash_qhost_wb_google_tw_clean_searches (169k image)

Ed ecco la stessa richiesta su un sistema infetto:

trojan_bash_qhost_wb_google_tw_infected_system_searches (250k image)

Anche se la pagina sembra abbastanza realistica, fare clic su uno dei link non porterà l’utente ad altri siti. Il clic sui link aprirà, però, nuove pagine pop-up, tutte provenienti da un server remoto separato:

trojan_bash_qhost_wb_google_tw_infected_system_search_source (173k image)

Mentre scriviamo, le pagine pop-up non mostrano nulla, anche se presumiamo siano annunci di qualche tipo. Pare che il server remoto che invia le pagine pop-up non sia operativo.

L’altro server remoto che invia false richieste di ricerca sembra essere ancora attivo.

Abbiamo identificato questo trojan come Trojan:BASH/QHost.WB.

—–

Analisi di – Brod

Fonte: Trojan:BASH/QHost.WB


Posted in F-Secure, Traduzioni inglese-italiano and tagged by with no comments yet.

Delle minacce di Android: Spyware:Android/SndApps.A e Trojan:Android/SmsSpy.D

Il post seguente è stato tradotto per gentile concessione di F-Secure

Il malware per Android sembra essere di gran moda al momento. Ecco alcuni commenti in merito ad un paio di interessanti questioni accessorie che sono sorte durante le nostre analisi.

Ecco la prima: c’è stato un report recente in merito ad applicazioni sospette trovate nell’Android Market ufficiale. Le app in questione, da allora, sono state ritirate ma il nostro threat hunting team s’è imbattuto in loro in forum e altri luoghi simili, generalmente promossi come ‘app gratuite’.

Le stesse applicazioni sembrano essere semplici giochi. Ad un certo punto, però, pare siano stati inseriti alcuni servizi aggiuntivi. Le versioni precedenti non richiedevano altro che l’accesso a Internet:

permissions_internet (104k image)

Le versioni successive, però, tendono ad andare un po’ più sul personale:

application_permissions (47k image)

new_permissions (169k image)

Dopo le modifiche, l’app è in grado di accedere a varie parti di informazioni del dispositivo: il carrier e il paese, l’ID del dispositivo, l’indirizzo e-mail e il numero di telefono.

services (92k image)

Le informazioni vengono inviate a un server remoto.

Un’ulteriore modifica permette a questa app di inserire una piccola icona che, se si fa clic, porta l’utente ad altre app, che, presumibilmente, potrebbe voler provare. Le app pubblicizzate sembrano mostrare lo stesso comportamento sospetto.

applications (66k image)

La cosa interessante è che entrambe le versioni, sia la precedente “irrilevante” che la successiva “sospetta”, sembrano provenire dagli stessi sviluppatori:

comparison (56k image)

Sembra essere un caso di nuovi comportamenti discutibili aggiunti in un secondo momento ad un’applicazione esistente e non un app riconfezionata con l’aggiunta di routine estranee e dannose. Ne stiamo ancora esaminando i vari aspetti, ma, per ora, in base al comportamento osservato rileviamo queste app come Spyware:Android/SndApps.A

Questo caso ci interessa, in quanto sembra essere un’evoluzione nello sviluppo di applicazioni Android, in particolare ‘greyware’. Questo tipo di comportamento sembra confermare una delle nostre previsioni precedenti, secondo la quale uno sviluppatore “fidato” sarebbe in grado di far uscire un aggiornamento contenente routine sospette/indesiderate/non etiche, che potrebbero invadere la privacy dell’utente.

Le nuove routine inserite potrebbero ottenere informazioni sugli utenti ed essere utilizzate per altri scopi, come l’invio di messaggi pubblicitari o spam. Nel peggiore dei casi, i dettagli possono essere venduti a terzi. Non avremmo modo di sapere cosa si stia facendo con le informazioni.

In un altro caso, ancora più recente, abbiamo discusso dello strano comportamento di un’altra app Android segnalata , questa volta un trojan.

Non aveva senso che il trojan intercettasse un messaggio SMS, per poi inviarlo ad un indirizzo di loopback:

smsspy_loopback (131k image)

Dalla nostra indagine pare che questa app possa essere un programma di test. Lo rileviamo come Trojan:. Android/SmsSpy.C

In ogni caso, uno dei nostri threat hunter ha trovato un file (SHA1: 7d8004b107979e159b307a885638e46fdcd54586) che sembra essere maggiormente utile:

smsspy_link (160k image)

Questo sembra aver più senso. Lo rileviamo come Trojan:Android/SmsSpy.D

—–

Analisi e post di: Zimry, Irene, Raulf e Leong

Fonte: On Android threats Spyware: Android/SndApps.A and Trojan:Android/SmsSpy.D


Posted in F-Secure, Traduzioni inglese-italiano and tagged , , by with no comments yet.

Un altro malware per Android utilizza un root exploit

Il post seguente è stato tradotto per gentile concessione di F-Secure

È stato scoperto un altro malware per Android che usa il root exploit “Rage Against The Cage” e lo abbiamo identificato come Trojan:Android/DroidKungFu.A .

Questo nuovo malware era integrato in un’applicazione trojan che potrebbe richiedere un accesso di root per non essere visibile.

L’infezione avviene in due parti:

Infezione: Parte 1

La prima parte consiste nell’installazione di un’applicazione trojan che otterrà i privilegi di root e installerà l’applicazione com.google.ssearch . Questa applicazione punterà al service component Trojan: Android/DroidKungFu.A che attiverà il servizio com.google.ssearch.Receiver.

Dopo averlo creato, chiamerà la funzione getPermission () che installerà un APK embedded.

droidkungfu_create (47k image)

droidkungfu_getpermission (56k image)

Questo richiamerà checkPermission (), che controllerà se com.google.ssearch.apk sia già presente. In caso contrario verrà installato il file “legacy”, un file APK, in “system/app” (la cartella dell’applicazione).

Infezione: Parte 2

La seconda parte ha a che fare con il componente principale del malware, com.google.ssearch.apk. Come potremmo ricordare, questo componente era presente anche nell’applicazione col trojan.

Ecco una schermata che mostra com.google.ssearch.apk installato.

droidkungfu_screen (194k image)

Il malware sembra avere una funzionalità di backdoor. Ecco alcune delle capacità che abbiamo notato:

  • execDelete – eseguire un comando per cancellare un file
  •  

  • execHomepage – eseguire un comando per aprire una pagina
  •  

  • execInstall – scaricare e installare un APK
  •  

  • execOpenUrl – aprire un URL
  •  

  • execStartApp – eseguire o avviare un pacchetto applicativo
  •  

Trojan: Android/DroidKungFu.A potrebbe ottenere le seguenti informazioni e inviarle a un server remoto:

  • imei – numero IMEI
  •  

  • ostype – versione build, ad esempio 2.2
  •  

  • osapi – versione SDK
  •  

  • mobile – numero di cellulare degli utenti
  •  

  • mobilemodel – modello del telefono
  •  

  • netoperator – Operatore di rete
  •  

  • nettype – Tipo di connettività di rete
  •  

  • managerid – un valore hard-coded che è “sp033″
  •  

  • sdmemory – memoria disponibile della scheda SD
  •  

  • aliamemory – memoria disponibile nel telefono
  •  

Root è impostato a 1, come per significare “con root” e queste informazioni vengono inviate successivamente a “http://search.gong [...]. php.”

Il malware riceve i comandi da “http://search.gong [...]. php” mediante il posting nell’ “imei”, “managerid” e il valore di root.

Inoltre segnala lo stato dei comandi su “http://search.gong [...]. php” mediante il posting in “imei”, “taskid”, “state” e “comment”.

Soluzioni inviate da Zimry

Fonte: Another Android malware utilizing a root exploit


Posted in F-Secure, Traduzioni inglese-italiano and tagged , , by with no comments yet.

Nuova variante di DroidDream trovata sui telefoni Android

Il post seguente è stato tradotto per gentile concessione di F-Secure

Android è diventato l’obiettivo principale del malware mobile.

Ecco “Hot Girls 1 “, ieri era ancora disponibile per il download dall’Android Market:

hot girls 1

Questa applicazione, inizialmente, era innocua. Ma un pericoloso sviluppatore, chiamato “Magic Photo Studio”, ha scaricato l’applicazione originale, l’ha modificata e ha rifatto l’upload sull’Android Market.

Come risultato finale, durante l’installazione di “Hot Girls 1″, potrete notare che richiede permessi sospetti, specialmente per un’applicazione che dovrebbe soltanto mostrare immagini di, beh, ragazze focose:

hot girls 1 hot girls 1

Il pericoloso sviluppatore ha inserito codice che si attiva quando il telefono riceve una chiamata.

hot girls 1

Il codice aggiuntivo si connette ad un server e invia dettagli sul dispositivo infetto agli autori del malware. Quindi stiamo parlando di una botnet mobile.

Il nostro prodotto per la sicurezza di Android F-Secure Mobile Security , la blocca come una variante del trojan DroidDream, chiamata Trojan:Android/DroidDream.B

Dozzine di esempi di applicazioni infette sono state trovate nell’Android Market, pubblicate con i nomi dello sviluppatore, quali Magic Photo Studio, BeeGoo e Mango Studio .

Google, ora, li ha rimossi dal Market.

Fonte: New DroidDream Variant Found on Android Phones


Posted in F-Secure, Traduzioni inglese-italiano and tagged , , , , , by with no comments yet.

Siti di phishing ospitati sui server di Google

Il post seguente è stato tradotto per gentile concessione di F-Secure

Google Documenti permette agli utenti di creare documenti, fogli di calcolo, eccetera su google.com (ospitato nella cloud di Google):

spreadsheets.google.com

I fogli di calcolo possono contenere anche alcune funzionalità, come i form, che possono essere messe a disposizione di chiunque.

Purtroppo ciò significa vedere regolarmente siti di phishing nei fogli di calcolo di Google Documenti, ospitati su spreadsheets.google.com.

Ecco alcuni esempi:

spreadsheets.google.com

spreadsheets.google.com

spreadsheets.google.com

Sono attacchi seri, visto che le pagine di phishing sono ospitate sul reale google.com, con tanto di certificato SSL valido.

spreadsheets.google.com

Durante le nostre ricerche, ci siamo imbattuti in questo form del foglio di calcolo di Google:

spreadsheets.google.com

Nonostante tutti i nostri sforzi, non riusciamo a capire se si tratti di phishing, o di una pagina valida gestita da Google [vedi sotto per la risposta].

Inizialmente la pagina si presenta, ovviamente, come phishing: è ospitata sul server pubblico spreadsheets.google.com, dove chiunque può ospitare form.
E chiede il vostro numero Google Voice, indirizzo e-mail e il codice PIN segreto .

Ma poi, trovate anche fantomatici dipendenti di Google che si linkano al form .

Quindi, non riusciamo a capire. Voi?

Ecco l’URL:

https://spreadsheets.google.com/viewform?formkey=cjlWRDFTWERkZEIxUzVjSmNsN0ExU1E6MA

Se ci capite qualcosa, fatecelo sapere tramite i commenti .

Aggiornamento : secondo l’opinione generale, su Twitter, sembra si tratti di un sito di phishing. Ma la giuria è ancora riunita per deliberare.

spreadssheets

Aggiornamento : siamo stati contattati da un dipendente di Google.

Ci hanno informato che, sorprendentemente, la pagina in questione è proprio il form ufficiale di Google per richiedere il trasferimento dell’account di Google Voice. Ci hanno anche detto di rimuovere tutti i riferimenti al form in questo post del blog. Ma temo non sia possibile farlo.

Fonte: Phishing Sites Hosted on Google’s Servers


Posted in F-Secure and tagged , by with no comments yet.