I nostri ricercatori del centro d’intelligence, recentemente, hanno scoperto un “pacchetto” frode in vendita nei forum underground che utilizza un Trojan ad accesso remoto per rubare dati delle carte di credito da un’applicazione point of sale (PoS) degli hotel. Questo schema, mirato al settore dell’ospitalità, mostra come i criminali stiano piazzando malware sulle macchine aziendali per raccogliere informazioni finanziarie, piuttosto che puntare i dispositivi degli utenti finali.

In questo scenario particolare, un trojan ad accesso remoto viene usato per infettare i computer della reception dell’hotel. Il malware è in grado di rubare carte di credito e altre informazioni dei clienti catturando schermate dall’applicazione PoS. Secondo il venditore, il trojan è garantito non rilevabile dai programmi antivirus.

Questo pacchetto frode viene offerto a $280. Il prezzo include le istruzioni su come configurare il trojan. I venditori offrono anche consigli su come utilizzare tecniche di social engineering telefoniche tramite software VoIP, per ingannare i front desk manager e installare il trojan.

Per dimostrare l’efficacia del pacchetto frode, il venditore utilizza una schermata, (vedi sopra), tratta dal trojan ad accesso remoto dal sistema POS, presso una delle più grandi catene alberghiere del mondo. La schermata mostra l’applicazione POS popolata con le informazioni sui clienti raccolte al check-in.

Come accennato nei post più recenti, i criminali stanno ampliando sempre più l’obiettivo dei loro attacchi, dall’online banking alle aziende. Uno dei motivi di questo cambiamento è che i dispositivi aziendali, se compromessi, possono produrre beni digitali ad alto valore aggiunto.

Fonte: No Reservations – Remote Access Trojan Pilfers Credit Cards from Hotels

Gli autori di malware di Android hanno colto l’occasione d’infettare gli ignari utenti di smartphone con il lancio dell’ultima novità dell’immensamente popolare serie di giochi “Angry Birds”.

SophosLabs, recentemente, ha incontrato versioni affette da malware del gioco “Angry Birds Space” inserite in Android app store non ufficiali. Si noti: la versione di “Angry Birds Space” nel market ufficiale di Android (recentemente rinominato “Google Play”) *non* ne è affetta.

Il cavallo di Troia, che Sophos rileva come Andr/KongFu-L, pare essere una versione completamente funzionante del popolare gioco per smartphone; ma utilizza l’exploit GingerBreak per ottenere l’accesso root al dispositivo e installare codice dannoso.

Il trojan comunica con un sito web remoto nel tentativo di scaricare e installare ulteriore malware sullo smartphone Android compromesso.

Interessante notare che il malware nasconde il suo payload: sotto forma di due file ELF dannosi, alla fine di un file immagine JPG.

Piazzato il malware, ora i cibercriminali possono inviare istruzioni ai dispositivi Android compromessi per poter scaricare ulteriore codice, o forzare URL da visualizzarsi nel browser dello smartphone.

In effetti, il vostro telefono Android ora è parte di una botnet, sotto il controllo di hacker malintenzionati.

Pare che dovremmo continuare a ricordare agli utenti Android di stare in guardia contro i rischi del malware, e di stare molto attenti, in particolare durante il download di applicazioni da market non ufficiali di Android.

Fonte: Android malware poses as Angry Birds Space game

Pare che la password possa essere facilmente bypassata :

XRY effettua, prima di tutto, il jailbreaking del dispositivo. Secondo Micro Systemation, non vengono usate ‘backdoor’ create da Apple ma si sfruttano falle di sicurezza del sistema operativo, esattamente come fanno i jailbreaker.

Una volta effettuato il jailbreaking dell’iPhone, lo strumento cerca, tramite ‘forza bruta’, il codice di accesso; tentando ogni possibile combinazione di quattro cifre, finché non trova la password corretta. Dato il numero limitato di combinazioni possibili per un codice di quattro cifre – 10.000, da 0000 a 9999 – non serve molto tempo.

Effettuato il jailbreaking e trovato il codice di accesso, è possibile accedere ed esaminare tutti i dati sul dispositivo, compresi i log delle chiamate, messaggi, contatti, dati GPS e persino i tasti digitati.

Una delle morali è utilizzare un codice a otto cifre.

Fonte: Law Enforcement Forensics Tools Against Smart Phones

La funzione di Android “factory data reset”, ​​dovrebbe rimuovere tutti i dati privati ​​da un dispositivo. Ma è realmente così? Come rivelato dall’azienda di sicurezza IT “Hatforce”, è possibile recuperare i dati cancellati da molti telefoni Android. Quando un telefono viene venduto, l’acquirente potrebbe ottenere l’accesso ai dati personali del proprietario precedente, come fotografie, dati delle applicazioni o password memorizzate: anche se il precedente proprietario ha effettuato il “wipe” del dispositivo come raccomandato da molti siti web.

Sebbene i dati “cancellati” non siano più accessibili tramite le normali procedure, sono ancora presenti nella memoria del dispositivo. Utilizzando software speciali, il nuovo proprietario può accedere alla memoria e leggerne i contenuti. Hatforce descrive i dettagli tecnici nel blog aziendale [1] . “Sfortunatamente, non c’è alcun modo semplice per eliminare in modo sicuro tutti i dati personali su molti telefoni Android”, dice Jan Schejbal, il membro del team Hatforce che ha scoperto il problema.

Hatforce ha informato il team di sicurezza Android in merito alla questione. Non è chiaro quali dispositivi siano interessati: il test è stato eseguito su un Google/Samsung Nexus S con Android 2.3.6. Il codice sorgente indica che le versioni più recenti Honeycomb e ICS (3.x e 4.x) effettuano un wipe sicuro della memoria durante il factory data reset.

Tuttavia, questi sistemi più recenti, rappresentano, attualmente, solo il 5% circa dei dispositivi [2].

Hatforce ( https://www.hatforce.com ) è la prima startup mondiale che effettui test di sicurezza crowd-sourced. I servizi comprendono pentest di applicazioni web e mobili. Sin dal suo lancio, Hatforce, ha ottenuto feedback ampiamente positivi, in particolare dalla rivista Forbes: “Questo servizio è un colpo di genio [...] Un’idea di business grandiosa che potrebbe rappresentare un’enorme differenza, per sapere quanto la vostra applicazione, e il vostro brand, siano sicuri.”


Cordiali saluti,

Il team Hatforce
[1] https://www.hatforce.com/blog/android/wipe

[2] http://developer.android.com/resources/dashboard/platform-versions.html

Fonte: Android: “Wipe” feature can leave data

BluetoothLogView è una nuova utility che controlla l’attività dei dispositivi Bluetooth presenti nella vostra zona e ne mostra un log nella finestra principale del programma. Ogni volta che un nuovo dispositivo Bluetooth entra, o esce, dalla vostra zona, una linea di log viene aggiunta con le seguenti informazioni: nome dispositivo, indirizzo dispositivo, ora evento, tipo evento (‘entrata dispositivo’ o ‘uscita dispositivo’), tipo di dispositivo e la società che l’ha creato. BluetoothLogView consente inoltre di specificare una descrizione per ogni dispositivo Bluetooth (a seconda dell’indirizzo MAC) che apparirà nella colonna ‘Descrizione’.

BluetoothLogView richiede un dongle Bluetooth e funziona con lo stack Bluetooth standard di Windows XP/SP2, Windows Vista e Windows 7.

È possibile scaricare questa nuova utility da questa pagina Web .

Fonte: New utility that creates a log of Bluetooth devices detected on your area

Ormai, probabilmente, avrete sentito parlare della violazione di stratfor.com. E che Anonymous ne abbia rivendicato la responsabilità.

Poi Anonymous ha negato di essere responsabile.

Oggi,poi, “Anonymous” ha affermato che il precedente post pastebin postato in forma anonima non era di Anonymous , ma che in realtà fossero dipendenti di Stratfor che sostenevano di essere Anonymous.

Un attimo…ma Anonymous non sostiene che “siamo tutti Anonymous”? Se è così, allora, forse, era Anonymous, dopo tutto.

A qualcuno interessa, ancora?

Al pubblico non sembra. I risultati instantanei di Google per “anonymous è” e “anonymous sono” contengono pochi complimenti al gruppo.

Altre notizie: Anonymous, oggi, ha promesso un altro dump dei dati.

In attesa di smentite da Anonymous naturalmente.

Fonte: Anonymous Anonymous Claims Anonymous is Not Anonymous

Trusteer, in quanto partecipante alla campagna “Get Safe Online” di questa settimana nel Regno Unito, ha avvertito che le chiamate telefoniche fraudolente stanno acquistando popolarità nella comunità criminale con lo scopo di commettere furti d’identità; e che tutti debbono stare in guardia per evitare di diventare vittime, online o offline. Un possibile uso di queste false chiamate “bancarie”, potrebbe essere quello di rubare informazioni d’identificazione personale tramite malware per dare credibilità ai truffatori, mentre vengono raccolte le informazioni mancanti per ‘far funzionare’ gli scam.

Il fenomeno del furto dei dati tramite il web, utilizzato con altri mezzi o contesti come gli attacchi di social engineering, è spesso trascurato. Trusteer ha scoperto che i dati raccolti tramite gli attacchi Man in the Browser possono essere utilizzati per scopi diversi dalle frodi delle transazioni automatizzate. La difesa contro la nuova ondata di attacchi ibridi richiede sia la tecnologia per rilevare il malware MitB che vigilanza da parte degli utenti dei servizi online.

La frode tradizionale tramite malware finanziario inizia identificando la banca e imparando come funzioni il loro servizio di online banking. Una volta che i truffatori abbiano compreso come funzionino i flussi di online banking e i processi di sicurezza, viene progettato uno schema della truffa e si configura l’attacco malware corrispondente (ad esempio, un MitB security training scam discusso nei precedenti post sul blog http://www.trusteer.com/blog). Infine, i clienti della banca vengono infettati dal malware e la frode inizia la sequenza di esecuzione.

Altre forme di frode finanziaria tramite malware funzionano in senso inverso: prima il malware viene inserito nelle macchine delle vittime e traccia le attività online e le credenziali bancarie, poi, i truffatori, utilizzano i dati delle credenziali pescate dai log del malware per accedere ai siti di online banking e perpetrare frodi. La ricerca di Trusteer ha perfino individuato truffatori vendere i log di Zeus sul mercato libero. Il prezzo corrente è compreso tra 60cents e 1$ per 1 GB.

Tuttavia, il problema con questo metodo è che, in molti casi, i dati raccolti dal malware non sono sufficienti per commettere la frode reale:

• Le credenziali d’autenticazione, one time password (OTP), originariamente raccolte non sono più valide
• Le banche richiedono il Transaction Signing per trasferire denaro
• La banca richiede dati di autenticazione aggiuntivi al momento dell’autenticazione da un nuovo indirizzo IP

I truffatori, per ottenere i dati mancanti necessari a effettuare con successo una frode online, possono ricorrere ai servizi di operatori professionisti. Una pubblicità di un forum, scoperta da Trusteer, offre un servizio telefonico con operatori professionisti che parlano fluentemente inglese ed altre lingue europee e che possono impersonare voci maschili e femminili, così come voci anziane e giovani. Come per qualsiasi attività commerciale, il servizio mostra “gli orari di apertura” sia per gli orari lavorativi americani che europei. Il prezzo è piuttosto ragionevole, 10 $ a chiamata. Questi criminali offrivano chiamate a clienti privati, banche, negozi, uffici postali e ogni altra organizzazione in base alle esigenze specifiche dei clienti. Avevano anche i numeri di telefono nel caso le vittime avessero voluto richiamare, per qualsiasi motivo. Ulteriori verifiche di sicurezza da parte di Trusteer rivelano che il gruppo è operativo dal 2009.

Sebbene i reali script del chiamante non siano stati condivisi nella pubblicità del forum, possiamo immaginare che quelli utilizzati per raccogliere i dati mancanti debbano essere simili a:

Fase 1: Il chiamante instaura credibilità
Il chiamante utilizzerebbe i dati raccolti dal malware per guadagnare credibilità, ad esempio chiederà “Sei John Smith, che vive in (indirizzo), con il numero di carta di credito che termina con 2345?”

Fase 2: Il chiamante raccoglie i dati mancanti
Una volta che il chiamante ha instaurato credibilità, inizierà a raccogliere:

a) L’OTP dell’SMS: ad esempio “Abbiamo appena inviato un SMS con un’OTP in modo da poter stabilire che è John Smith, può leggermelo?”
b) Ogni altra informazione di autenticazione aggiuntiva, ad esempio: “Per verificare, può, per favore, darmi le ultime quattro cifre del SSN?”
c) È possibile anche convincere l’utente a generare un transaction signing code tramite un beneficiario fraudolento e informazioni relative all’importo, ad esempio: “Abbiamo bisogno di calibrare il lettore del vostro transaction signing, potrebbe, per favore, inserire i seguenti dati online e dirci cosa succede ”

Mentre l’attenzione di tutti è focalizzata su come proteggersi nel mondo ‘virtuale’, è ancora molto a rischio, qui, nel mondo ‘reale’. I truffatori si rivolgono ai servizi telefonici nel tentativo di indurre le persone a rivelare informazioni riservate, ingaggiando professionisti per impersonare i rappresentanti delle organizzazioni finanziarie. La triste verità è che, in realtà, utilizzare il social engineering al telefono è molto più facile di quanto si creda.

È piuttosto inquietante realizzare quanto sia professionale il marketing del gruppo. Sostiene di avere una vasta esperienza di lavoro con clienti, banche e negozi. Mette in luce anche il proprio know-how finanziario, vantandosi che nella maggior parte dei casi, i bonifici bancari e le transazioni vengono completati.

Alle singole persone Trusteer consiglia che:

• si assicurino di utilizzare soluzioni antimalware aggiornate, in particolare quelle consigliate dalla propria banca, per impedire, in prima istanza, il furto di dati
• considerino tutte le telefonate non richieste con cautela, a prescindere da qualsiasi informazione di validazione possa fornire il chiamante
• usi numeri forniti dalla banca, non dal chiamante, per verificare l’autenticità del contatto.

Fonte: Apply Security Online to Protect Yourself Offline

Una confessione di World of Warcraft, insieme a una miriade di altre parti di prove digitali, hanno permesso alla Vancouver Island Major Crime Unit e alla Royal Canadian Mounted Police di risolvere l’omicidio di Kim Proctor, una liceale canadese, i resti bruciati della quale sono stati trovati sotto un ponte.

Per i casi che coinvolgono gli adolescenti, il mondo online è “più importante che mai”, dice il caporale Darren Lagan, portavoce della British Columbia Island District R.C.M.P.: “Le persone tendono ad essere più libere online, specialmente i giovani, non temono alcuna conseguenza o il giudizio di nessuno.”

I presunti amici di Kim, Kruse Wellwood e Cameron Moffat, l’hanno attirata a casa Kruse, dove l’hanno legata, picchiata e violentata, prima di liberarsi del corpo. Un messaggio di testo, inviato dal luogo in cui si sono sbarazzati del corpo, si è rivelato prova cruciale.

Gli investigatori hanno ​​monitorato Facebook, compresa una pagina commemorativa che la famiglia e gli amici hanno creato in suo onore, alla ricerca di potenziali testimoni, sia lì che su altre pagine disponibili pubblicamente su Facebook; ma per nessuna è stato necessario un mandato.

Ben presto la polizia ha avuto prove sufficienti per richiedere le necessarie autorizzazioni giudiziarie per monitorare e analizzare le attività online di Kruse e Cam. Tenendo Kruse e Cam sotto stretta sorveglianza, la polizia ha spiato le loro case, i loro telefoni cellulari e persino il gazebo dove si sdraiavano nel parco. Tramite l’analisi della forensic dei computer dei ragazzi e dei telefoni cellulari, hanno estratto le loro ricerche di Google e Wikipedia, oltre a vecchie trascrizioni di testi e messaggi istantanei. In totale, la Tech Crimes Unit ha accumulato l’equivalente di 1,4 miliardi di fogli di carta sui due.

Quando i ragazzi sono stati finalmente arrestati, i due sono stati dichiarati colpevoli di omicidio di primo grado e vilipendio di cadavere e sono stati condannati all’ergastolo senza possibilità di libertà condizionata per 10 anni.

Fonte: Vanity Fair

Fonte: World of Warcraft Confession Uncovers Teen Murderer

Il team di ricerca Trusteer ha recentemente scoperto un nuovo attacco stealth, effettuato dal Trojan SpyEye, che aggira le misure di sicurezza dell’SMS (short message service) mobile adottato da molte banche. Utilizzando il codice che abbiamo catturato mentre proteggevamo un utente Rapport, abbiamo scoperto un attacco basato sul Web a due fasi, che permette ai truffatori di cambiare il numero di cellulare del conto bancario online di una vittima e reindirizzare i codici di conferma SMS utilizzati per verificare le transazioni online. Questo attacco, se riuscito, consente ai ladri di effettuare transazioni e verificarle all’insaputa dell’utente.

Fase 1

Nella prima fase dell’attacco, SpyEye ruba i dati di accesso bancari online della vittima. Una procedura standard per il malware finanziario come SpyEye, Zeus e altri. I truffatori ora possono accedere al conto della vittima senza allarmare i sistemi di rilevamento delle frodi.

Fase 2

Nella fase 2, SpyEye cambia il numero di telefono della vittima nel record nell’applicazione di banking online con uno dei vari numeri casuali controllati dall’attacker. Per completare questa operazione ha bisogno del codice di conferma inviato dalla banca al numero di telefono originale del cliente. Per rubarlo, l’attacker utilizza il seguente schema di social engineering.

In primo luogo, SpyEye inietta una pagina fraudolenta nel browser del cliente che sembra provenire dall’applicazione di banking online. La falsa pagina simula l’introduzione di un nuovo sistema di sicurezza, “richiesto” dalla banca, che necessita di registrazione da parte dei clienti. La pagina spiega che con questo nuovo processo di sicurezza al cliente verrà assegnato un numero telefonico univoco e che riceverà una speciale carta SIM via mail. Successivamente, all’utente verrà richiesto di inserire, nella pagina web fasulla, il numero di conferma personale ricevuto sul cellulare per completare il processo di registrazione del nuovo sistema di sicurezza. Questo permetterà ai criminali di rubare il codice di conferma di cui hanno bisogno per autorizzare il cambio del numero di cellulare del cliente.

Ecco una schermata della pagina fraudolenta creata da SpyEye e presentata al cliente (tradotta dallo spagnolo all’inglese):

Ora, i truffatori, possono ricevere qualsiasi futuro codice di verifica delle transazioni SMS dell’account per il quale hanno effettuato l’hijack tramite la propria rete telefonica. Questo permetterà loro di utilizzare il sistema di conferma SMS per deviare i fondi dal conto del cliente a sua insaputa, senza attivare alcun allarme di rilevazione frodi.

L’Out-of-Band non è una panacea

Quest’ultima configurazione di SpyEye dimostra che i sistemi out-of-band authentication (OOBA) , tra cui le soluzioni basate su SMS, non sono infallibili. Utilizzando una combinazione della tecnologia MITB (injection del man in the browser ) e social engineering, i truffatori non sono in grado soltanto di bypassare OOBA ma anche prendere tempo per verificare le transazioni e volare sotto il radar dei sistemi di rilevazione frodi. L’unico modo per sconfiggere questo nuovo attacco, una volta che un computer è stato infettato da SpyEye, è utilizzare la sicurezza degli endpoint che blocca le tecniche MITB. Senza un approccio a più livelli di sicurezza, anche gli schemi OOBA più sofisticati, in circostanze particolari, possono essere resi vani.

Fonte: SpyEye Changes Phone Numbers to Hijack Out of Band SMS

CAINE (Computer Aided Investigative Environment) è uno strumento open source che offre un ambiente completo per la forensic, organizzato per integrare strumenti software già esistenti come moduli software e per fornire un’interfaccia grafica facile da comprendere.

Gli obiettivi principali di progettazione di CAINE sono i seguenti:

• un ambiente interoperabile che supporti l’investigatore digitale durante le quattro fasi dell’indagine digitale
• un’interfaccia grafica facile da comprendere per l’utente
• una compilazione semi-automatica della reportistica finale

CAINE include script attivati all’interno del browser Web Nautilus, progettato per semplificare l’analisi dei file allocati. Attualmente gli script possono gestire molti database, cronologie internet, registri di Windows, file eliminati ed estrarre dati EXIF ​​in file di testo per una semplice analisi. Lo strumento “Quick View” automatizza questo processo, grazie all’identificazione del tipo di file e del rendering tramite uno strumento appropriato.

Gli script “live preview” di Nautilus, inoltre, permettono anche di accedere facilmente alle funzioni amministrative: come rendere scrivibile un dispositivo collegato, passare alla shell, o aprire una finestra di Nautilus con privilegi di amministratore. Lo script “Save as evidence” scriverà il(i) file selezionato(i) in una cartella “Evidence” sul desktop e creerà un report testuale relativo al file, contenente i metadati del file e un commento dell’investigatore, se lo si desidera.

Uno script unico, “Identify iPod Owner”, è incluso nel set degli strumenti. Questo script rileverà un dispositivo iPod collegato e montato, visualizzerà i metadati relativi al dispositivo (nome utente attuale, numero seriale del dispositivo, ecc…).
L’investigatore ha la possibilità di analizzare i file multimediali allocati e lo spazio non allocato, per cercare informazioni relative agli utenti iTunes presenti nei file multimediali acquistati presso l’Apple iTunes store, ad esempio, il vero nome e l’indirizzo e-mail.

Per ulteriori informazioni visitare il sito www.caine-live.net/index.html

Fonte: CAINE 2.5 SUPERNOVA Available