Tags Posts tagged with "Check Point Software Technologies"

Check Point Software Technologies

0 500

I ricercatori Check Point hanno scoperto oltre 400 vulnerabilità nel chip Qualcomm integrato in oltre il 40% dei telefoni del mondo, compresi i telefoni di fascia alta di Google, LG, Samsung, Xiaomi, OnePlus e altri. Attraverso queste vulnerabilità, i malintenzionati possono controllare un telefono Android per spiare, renderlo inaccessibile e nascondere attività malevole.

  • Centinaia di sezioni di codice vulnerabile sono state trovate nel Digital Signal Processor (DSP) di Qualcomm;
  • Quasi tutti i telefoni Android esistenti sono esposti a potenziali attacchi;
  • Sebbene Qualcomm abbia sviluppato delle patch, i brand di telefonia devono ancora implementare delle correzioni, rendendo la minaccia ancora attuabile.

I ricercatori di Check Point hanno individuato centinaia di sezioni di codice vulnerabile all’interno di un chip che si trova in oltre il 40% dei telefoni del mondo. Il chip, noto come Digital Signal Processor (DSP), è prodotto da Qualcomm, e si trova in quasi tutti i telefoni Android del pianeta, compresi i telefoni di fascia alta di Google, Samsung, LG, Xiaomi, OnePlus e altri. In un report intitolato “DSP-Gate” che verrà presentato durante DEF CON 2020, i ricercatori di Check Point hanno evidenziato gli importanti rischi per la sicurezza di oltre 400 vulnerabilità riscontrate nel DSP di Qualcomm:

  1. Il vostro smartphone ti spia. I malintenzionati possono trasformare il vostro telefono in un perfetto strumento di spionaggio, senza che sia necessaria alcuna interazione con l’utente. Le informazioni che possono essere sottratte dallo smartphone includono foto, video, registrazione delle chiamate, dati del microfono in tempo reale, GPS e dati sulla posizione e altro ancora.
  2. Il vostro smartphone diventa inaccessibile. Gli aggressori possono sfruttare le vulnerabilità per rendere il vostro smartphone costantemente inaccessibile, facendo diventare tutte le informazioni memorizzate all’interno permanentemente non disponibili – comprese foto, video, contatti, ecc.
  3. Il vostro smartphone nasconde attività malevole. Malware e altri codici malevoli possono nascondere completamente le attività di un hacker e diventare impossibili da rimuovere.

Per sfruttare queste vulnerabilità, un hacker dovrebbe semplicemente persuadere l’obiettivo a installare una banale applicazione benigna, che non richiede alcuna autorizzazione.

Cos’è un DSP

DSP sta per processore di segnale digitale. Un DSP è un processore dedicato e ottimizzato per eseguire in maniera estremamente efficiente sequenze di istruzioni ricorrenti nell’elaborazione di segnali digitali. I DSP sono progettati per eseguire funzioni matematiche come addizione e sottrazione ad alta velocità con il minimo consumo di energia. La tecnologia si trova all’interno di cuffie, smartphone, altoparlanti intelligenti, attrezzatura audio da studio, sistemi di intrattenimento per veicoli e altro ancora. Per esempio, c’è un DSP all’interno del vostro smartphone per decodificare file MP3, potenziare i bassi della vostra musica, eseguire la matematica per la cancellazione attiva del rumore e riconoscere la vostra voce quando dite “Ehi, Google!”. In parole povere, probabilmente potete guardare un DSP come un computer completo su un singolo chip – e quasi tutti i telefoni moderni includono almeno uno di questi chip.

DSP, un nuovo vettore di attacco

Dopo aver condotto le proprie analisi sul DSP di Qualcomm, i ricercatori del Check Point affermano che i DSP rappresentano una importante frontiera di attacco per gli hacker. Questi chip introducono nuove superfici di attacco e punti deboli nei dispositivi mobile. I chip DSP sono molto più vulnerabili ai rischi in quanto vengono gestiti come “Scatole Nere”, poiché può essere molto complesso per chiunque altro che non sia il loro produttore rivedere il loro design, le funzionalità o il codice.

Comunicazione responsabile

I ricercatori del Check Point hanno comunicato in modo responsabile le loro scoperte a Qualcomm. Il produttore del chip ha riconosciuto le vulnerabilità di sicurezza e ha notificato i relativi fornitori, rilasciando CVE-2020-11201, CVE-2020-11202, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 e CVE-2020-11209.

Avviso importante

Check Point Research ha deciso di non pubblicare tutti i dettagli tecnici di queste vulnerabilità fino a quando i produttori di telefonia mobile non avranno una soluzione completa ai possibili rischi descritti. Tuttavia, abbiamo deciso di annunciare questa scoperta per sensibilizzare l’opinione pubblica su questi problemi. Inoltre, abbiamo aggiornato i funzionari governativi competenti e i produttori di dispositivi mobili interessati, e abbiamo collaborato a questo proposito per aiutare a rendere i loro telefoni cellulari più sicuri, con tutti i dettagli della ricerca. Check Point Research si impegna a rendere la tecnologia e i prodotti in tutto il mondo più sicuri e collaborerà con qualsiasi fornitore di sicurezza che richieda tale collaborazione. In uno sforzo proattivo, abbiamo anche offerto alle organizzazioni che potrebbero essere interessate da questi rischi 20 licenze SandBlast Mobile gratuite per la loro gestione dei dispositivi mobili per proteggere e prevenire qualsiasi potenziale danno nei prossimi 6 mesi da questa pubblicazione. iPhone non è interessato dalle vulnerabilità descritte nella in questa ricerca.

Yaniv Balmas, Head of Cyber Research di Check Point, dichiara:

“Anche se Qualcomm ha risolto il problema, purtroppo non è la fine della storia. Centinaia di milioni di telefoni sono esposti a questo rischio di sicurezza. Si può essere spiati. Si possono perdere tutti i dati. La nostra ricerca mostra il complesso ecosistema del mondo mobile. Con una lunga supply chain integrata in ogni singolo smartphone, non è banale trovare problemi profondamente nascosti in questi dispositivi, ma non è nemmeno banale risolverli. Per fortuna questa volta siamo riusciti a individuare questi problemi. Ma, supponiamo che ci vorranno mesi o addirittura anni per risolverli completamente. Se tali vulnerabilità saranno trovate e utilizzate da malintenzionati, troveranno milioni di utenti di smartphone che non avranno modo di proteggersi per molto tempo.

Spetta ora ai vendor, come Google, Samsung e Xiaomi, integrare queste patch in tutte le proprie linee di smartphone, sia in produzione che già disponibili sul mercato. Secondo le nostre stime, ci vorrà un po’ di tempo prima che tutti i vendor integrino le patch in tutti i loro telefoni. Quindi, non ci sembra che pubblicare tutti i dettagli tecnici sia la cosa più responsabile da fare, dato l’alto rischio che questi finiscano nelle mani sbagliate. Per ora, i consumatori devono aspettare che anche i produttori interessati implementino le correzioni. Check Point offre protezione per queste vulnerabilità con la propria soluzione di protezione mobile.”

0 283

La notizia del giorno in tema di cybersecurity è l’hackeraggio dello smartphone di Bezos tramite Whatsapp.

Oded Vanunu, Head of Products Vulnerabilities di Check Point Software Technologies, azienda leader nella cybersecurity, commenta così.

“L‘uso delle più popolari app social per infettare le persone con malware è una tendenza che Check Point ha previsto oltre un anno fa. Come abbiamo dimostrato nella nostra ricerca su WhatsApp del dicembre 2019 e nella nostra ricerca sull’app dell’agosto 2018 – i link dannosi avrebbero potuto essere inviati attraverso alcune vulnerabilità che esistevano sulla piattaforma (fino a quando non sono state corrette in seguito alla nostra collaborazione con Facebook) e la manipolazione dei contenuti era possibile.

Riteniamo che questo modo di operare sia estremamente comune soprattutto con attacchi mirati contro specifiche persone che utilizzano queste app. 

I prezzi che i criminali sono disposti a pagare per sfruttare le vulnerabilità in tali piattaforme popolari (che contengono dati di miliardi di persone in tutto il mondo) sono in aumento, e gli exploit di questi bug possono servire come un’arma cibernetica molto efficace.

La sicurezza informatica globale richiede soluzioni designate per tutte le piattaforme digitali attuali e future, e quanto più comuni e diffuse diventano, tanto più sofisticato e impegnativo è questo compito”

Check Point® Software Technologies Ltd., il principale fornitore di soluzioni di cybersecurity a livello globale, ha introdotto un nuovo motore di rilevamento malware basato sull’intelligenza artificiale nella sua soluzione di prevenzione delle minacce SandBlast Network, per consentire una prevenzione ancora più rapida e precisa. Il nuovo motore Malware DNA classifica le nuove forme di malware sulla base delle informazioni disponibili sulle famiglie già note, accelerando così la capacità di identificare e bloccare le minacce zero-day prima che possano causare danni.

Malware DNA analizza ogni variante di malware che passa attraverso la sandbox SandBlast Network per trovare modelli di codice e similitudini comportamentali, che corrispondono a famiglie di malware esistenti e conosciute. Poiché la maggior parte delle minacce informatiche viene costruita utilizzando blocchi di codice malevoli già disponibili, Malware DNA accelera l’identificazione delle minacce informatiche sconosciute e riduce i tempi di risposta per rafforzare ulteriormente la sicurezza delle organizzazioni.

L’intelligenza artificiale e il machine learning di Malware DNA sono supportati dall’osservazione di milioni di campioni di malware già rilevati da ThreatCloud di Check Point, la più grande risorsa al mondo di intelligence sulle minacce. Il nuovo motore aumenta le capacità di rilevamento, controllo e consegna sicura dei contenuti di SandBlast Network per fornire una protezione completa contro gli attacchi mirati più pericolosi e zero-day sulle reti aziendali.

Per gli hacker, riutilizzare il codice esistente che ha già dimostrato di funzionare, si traduce in un risparmio di tempo e fatica, quindi la stragrande maggioranza dei malware viene creato in questo modo. Le linee di codice che compongono il malware sono il DNA delle minacce informatiche, e il nuovo motore Malware DNA consente di abbinare rapidamente il codice utilizzato nel malware, anche se nuovo di zecca, alle famiglie di minacce esistenti”, ha detto Maya Horowitz, Head of Threat Intelligence Research di Check Point. “Rintracciando rapidamente l’origine di nuove minacce zero-day, i tempi di risposta sono ulteriormente accelerati, riducendo drasticamente i rischi per le organizzazioni. Malware DNA è un ottimo esempio dell’incessante attenzione di Check Point nello sviluppo e nella fornitura delle più avanzate tecnologie di prevenzione delle minacce.”

SandBlast Network è una soluzione completa per la prevenzione delle minacce della rete. Rileva le minacce informatiche resistenti all’evasione per mantenere le reti delle organizzazioni libere da minacce, e garantisce che il contenuto condiviso sia sicuro da utilizzare in tutta l’organizzazione, massimizzando la produttività degli utenti. SandBlast Network è parte integrante dell’architettura di sicurezza informatica completamente consolidata di Check Point, Infinity, che protegge tutti gli aspetti dell’IT moderno, inclusi reti, endpoint, cloud e mobile. Utilizza le informazioni in tempo reale sulle minacce provenienti dal database di conoscenze ThreatCloud per monitorare continuamente le minacce su tutte le piattaforme attraverso un’unica dashboard.

NSS Labs, una fonte di fiducia e riconosciuta a livello mondiale per i test di sicurezza informatica indipendenti e basati sui fatti, ha classificato come Consigliata la soluzione SandBlast di Check Point per il rilevamento del 100% delle minacce e-mail e http, e il 100% del malware utilizzando sofisticate tecniche di evasione, senza falsi positivi. Check Point ha ricevuto il 18° premio Raccomandato da quando NSS Labs ha iniziato a testare le sue soluzioni nel 2010, confermando ulteriormente la capacità di Check Point di proteggere le organizzazioni anche dai più avanzati attacchi informatici.

Nelle ultime ore WhatsApp ha comunicato di essere stata attaccata da hacker che sono stati in grado di installare, da remoto, un software di controllo su telefoni e altri dispositivi utilizzando una grande vulnerabilità nell’app di messaggistica.

Di seguito puoi trovare il commento di Oded Vanunu, Head Of Products Vulnerability Research di Check Point Software Technologies:

La vulnerabilità identificata come CVE-2019-3568 può essere sfruttata con successo per installare uno spyware e rubare dati da uno smartphone semplicemente effettuando una chiamata WhatsApp, anche nel caso in cui la chiamata non riceva una risposta. Inoltre, la vittima non sarebbe in grado di venire a conoscenza dell’intrusione in atto, poiché lo spyware cancella le informazioni sulle chiamate in arrivo dai log per operare in modo furtivo. Per riuscire ad evadere dalla sandbox si suppone che siano stati utilizzati più attacchi ZeroDay.

Al momento sono a rischio tutti gli utenti che utilizzano l’app WhatsApp (iOS/Android), soprattutto se questo tipo di exploit arriva nelle mani sbagliate.

Riteniamo però che per ora sia stato utilizzato solo dalle forze dell’ordine, quindi potrebbe avere avuto solo un impatto minimo.

Questo episodio sottolinea ancora una volta come le nostre app quotidiane siano più spesso prese di mira da malintenzionati per ottenere l’accesso ai nostri dati privati e sensibili, o addirittura per ottenere il pieno controllo sul nostro dispositivo. Tale metodo continuerà ad essere utilizzato dagli aggressori a causa dell’uso continuativo e quotidiano di queste app. Le vulnerabilità sulla piattaforma mobile valgono molti soldi, per esempio nel listino prezzi “Zerodium” si è disposti a pagare fino a 1 milione di dollari per la vulnerabilità di WhatsApp che permette l’esecuzione di codice remoto. Noi chiamiamo questo tipo di attacchi Gen V, perché di larga scala, multi-vettore e in rapida evoluzione.

Check Point Software Technologies ha raccolto tutti i malware MacOS noti. È la prima volta che un vendor di cybersecurity classifica tutti i malware MacOS in un’unica libreria per spiegare il funzionamento di ogni malware!!

Molte persone credono che usando MacOS siano al sicuro da attacchi hacker e non si preoccupano di essere infettati. Anche se i malware MacOS sono meno evoluti rispetto i malware Windows per quanto riguarda complessità, numero di infezioni e altro ancora, col passare del tempo gli attacchi stanno diventando sempre più sofisticati.

Dato che il gran numero di utenti Mac è un grande incentivo per gli hacker che cercano di ampliare il loro terreno di attacco, nei prossimi anni vedremo per MacOS lo stesso andamento che abbiamo visto per Windows.

Per questo motivo un vendor come Check Point Software Technologies ha ritenuto valido classificarli. Tra i vari malware presenti nella libreria, Pierluigi Torriani, Security Engineering Manager Italy di Check Point Software Technologies, ne individua due tra i più interessanti e pericolosi, che possono già aver colpito molti utenti:

  • CreativeUpdate: si tratta di un Cryptominer ufficialmente segnalato per la prima volta il 1° febbraio 2018. Un utente che naviga sul sito MacUpdate può trovare software interessante e scaricarlo regolarmente. Peccato però che fra i software infetti vi potrebbero essere anche Firefox, OnyX e Deeper. È stato scoperto, infatti, che il link di download sul sito MacUpdate era stato modificato, in modo da puntare ad un URL controllato da un hacker che forniva il malware. La falsa applicazione di Firefox è stata distribuita da download-installer.cdn-mozilla.net. Il dominio termina in cdn-mozilla.net, che non è sicuramente lo stesso di mozilla.net; questo è un tipico trucco che porta l’utente a pensare che provenga dal sito legittimo. Pertanto, invece della legittima applicazione di Firefox, una versione trojan veniva fornita all’utente con tanto di firma dello sviluppatore e certificato originale dell’applicazione legittima di Firefox. Analizzandola ulteriormente si conferma che la firma digitale è legittima e risulta proprio firmata da Mozilla. In sostanza, il malware eseguiva l’applicazione legittima di Firefox affinché l’utente non sospettasse di nessuna operazione malevola. Quello che fa riflettere è la modalità utilizzata, ingannando l’utente, sfruttando un’applicazione legittima e piuttosto popolare con inserito del codice malevolo. Inoltre, non è la complessità dell’operazione, e nemmeno l’insidiosità del malware, ma l’utilizzo di un sito come MacUpdate come vettore d’infezione significa puntare ad infettare un gran numero di utenti. Qual era l’obiettivo del malware? Semplicemente generare criptovalute e connettersi al sito minergate.com, il che conferma il trend in atto delle infezioni da criptominer.
  • Flashback: per la prima volta scoperto nel 2011, fa parte delle categorie trojan/backdoor. Si tratta di uno dei malware più interessanti per MacOS, a causa del gran numero di infezioni e delle tecniche che utilizza. Flashback è probabilmente il primo malware ad ampia diffusione su MacOS, con oltre 500mila infezioni. Il malware si diffonde, camuffandosi sotto un aggiornamento Adobe Flash o come un’applet firmata java, che utilizza un exploit per installare automaticamente il malware senza che l’utente ne sia a conoscenza. Una delle cose più interessanti di questo malware è che si offusca da solo dopo l’infezione, quindi l’eseguibile non verrà eseguito correttamente su un’altra macchina eccetto quella su cui è stato iniettato in precedenza. Ciò avviene crittografando la struttura dei dati con l’UUID della macchina ed algoritmo di cifratura RC4. Il malware utilizza anche DGA, un algoritmo di generazione del dominio, basato sulla data per rendere più difficile l’identificazione dei suoi server C&C. In questo modo, il malware genera quotidianamente diversi indirizzi di comunicazione remoti. Un’altra cosa interessante di questo malware è che utilizza Twitter come metodo per inviare comandi al malware da parte dall’attaccante.

L’intera libreria realizzata da Check Point è consultabile al seguente link: https://research.checkpoint.com/macos-malware-pedia/

Il Check Point Research, il team di Threat Intelligence di Check Point Software Technologies ha fatto de nuove scoperte.

Queste scoperte hanno un minimo comune denominatore: in entrambi i casi gli hacker scelgono le librerie di terze parti o i componenti open source che compongono un’applicazione per fornire malware agli ignari utenti delle app. Da un punto di vista criminale, colpire una società infettando uno dei componenti della catena di fornitura è molto allettante e molto più facile che colpire direttamente l’organizzazione stessa.

Recentemente Check Point Software Technologies ha individuato una massiccia campagna di adware per dispositivi mobili che ha già generato quasi 150 milioni di download di 206 app infette presenti sul Google Play Store.

Soprannominata “SimBad” – dato che la maggior parte delle app infette sono giochi di simulazione – questa campagna adware è in grado di rendere fastidioso l’uso del telefonino. L’utente, infatti, riceve numerosi annunci pubblicitari al di fuori dell’applicazione ed è impossibilitato a disinstallare le app incriminanti.

Tutte le app infette utilizzano un SDK (Software Development Kit) malevolo per eseguire le loro operazioni. Sebbene siano disponibili altri SDK per la monetizzazione delle app, gli sviluppatori di giochi hanno scelto di utilizzare un SDK a loro vantaggio, visualizzando un numero molto più elevato di annunci per aumentare i loro profitti.

Il comportamento malevolo delle app include quindi:

  1. mostrare annunci al di fuori dell’applicazione, ad esempio quando l’utente sblocca il proprio telefono o utilizza altre app;
  2. apertura costante di Google Play o 9Apps Store e reindirizzamento a un’altra particolare applicazione, in modo che lo sviluppatore possa trarre vantaggio da installazioni aggiuntive;
  3. nascondere la relativa icona dal programma di avvio per impedire la disinstallazione;
  4. apertura di un browser Web con collegamenti forniti dallo sviluppatore dell’app;
  5. download di file APK (Android Package) e richiesta all’utente di installarli;
  6. ricerca di una parola fornita dall’app in Google Play.

Un’altra recente scoperta realizzata dal team di ricerca di Check Point Software Technologies riguarda un gruppo di applicazioni Android che nascondono malware all’interno del SDK di monetizzazione, denominato SWAnalyticsche è stato inserito in applicazioni Android apparentemente innocue e pubblicate nei principali app store cinesi di terze parti. Una volta installata l’app, SWAnalytics segnala alle vittime l’apertura di un’applicazione infetta o riavvia i loro telefoni, appropriandosi in modo silenzioso dell’elenco dei contatti che vengono inviati a un server remoto.

Check Point Software Technologies rileva che al momento le applicazioni infette sono 12, la maggior parte delle quali sono app di utilità di sistema, e che sono già state scaricate ben 111 milioni di volte. Questo significa che il malintenzionato potrebbe aver già raccolto i contatti e i numeri di un terzo dell’intera popolazione cinese!!

Tali dati potrebbero essere già presenti nei mercati del “dark web” per ulteriori exploit, come casi di marketing illecito, truffe telefoniche mirate o abuso di programmi di referral.

Joomla! è uno dei Content Management System più famosi ed è utilizzato da centinaia di migliaia di organizzazioni in tutto il mondo.

Nel corso degli anni, il CMS è stato al centro di molte vulnerabilità, come l’escalation dei privilegi del filtro per il cross-site scripting Joomla Core Sterilizer (CVE-2017-7985) e l’esecuzione di comandi remoti di Joomla Object Injection (CVE-2015-8562).

Recentemente Check Point Research, il team di ricerca di Check Point Software Technologies, ha scoperto una nuova campagna di attacchi a opera di un noto attore di minacce informatiche che sta sfruttando ovviamente a scopo di lucro una vulnerabilità presente in JMail, il servizio email di Joomla!.

JMail è il servizio di posta di Joomla, che consente all’utente di inviare posta attraverso la piattaforma. In mancanza di sistemi di sicurezza appropriati, il servizio può essere manipolato facilmente per essere utilizzato per il phishing, lo spam o addirittura per implementare un’infrastruttura backdoor all’interno della piattaforma. Infatti, alterando l’intestazione User-Agent nelle richieste HTTP, un criminale può manipolare la piattaforma e sovrascrivere il servizio JMail esistente.

Check Point Software Technologies segnala come l’attore della minaccia, Alarg53, è consapevole di questo e lo sta attualmente sfruttando per realizzare una campagna di spam davvero proficua. Secondo i ricercatori, Alarg53 non è nuovo in queste avventure. I dati dimostrano che Alarg53 è colpevole di ben 15.000 attacchi hacker, incluso quello che aveva coinvolto i server della Stanford University sfruttando una vulnerabilità di WordPress. In questa campagna, però, Alarg53 si è superato, includendo addirittura un’infrastruttura di backdoor e phishing significativa e su vasta scala.

L’annuncio della campagna di phishing che sta interessando Joomla! è stato comunicato dall’azienda durante il RSA Trade Show di San Francisco che si sta svolgendo in questi giorni.

WinRAR è uno dei programmi shareware di compressione e archiviazione di dati più diffusi al mondo oggi, utilizzato da oltre 500 milioni di persone, sia per scopo personale sia professionale.

Il team di ricerca di Check Point Software Technologies ha realizzato una scoperta sensazionale: utilizzando il fuzz testing WinAFL, il team di ricerca ha individuato un bug all’interno di WinRAR che esiste da circa 19 anni!

La scoperta è il risultato di una ricerca che è iniziata qualche mese fa con la creazione di un laboratorio di fuzzing multiprocessore. Dopo aver ottenuto buoni risultati con Adobe Research, il team ha deciso di eseguire fuzz testing all’interno di WinRAR.

Uno dei crash prodotti dal fuzzer ha portato il team di ricerca a trovare una DDL (dynamic-link library) realizzata nel 2006 senza un meccanismo di protezione (come ASLR, DEP, ecc.) e utilizzata da WinRAR.

Dopo avere eseguito altri crash test, i ricercatori hanno individuato un bug in grado di avviare l’esecuzione di un codice da remoto che potrebbe potenzialmente infettare milioni e milioni di persone.

Check Point® Software Technologies Ltd., il principale fornitore di soluzioni di cybersecurity a livello globale, ha annunciato la pubblicazione della prima parte del Security Report 2019.

Di seguito i fenomeni più importanti che vale la pena sottolineare:

  • dominio dei cryptominer: quattro cryptominer sono stati tra i malware più diffusi, occupando i primi posti della classifica e colpendo il 37% delle organizzazioni a livello globale. Nonostante un calo del valore di tutte le cryptovalute, il 20% delle aziende continua a essere colpito da attacchi cryptomining ogni settimana. Di recente, i cryptominer si sono evoluti per sfruttare vulnerabilità di alto profilo e per eludere sandbox e prodotti di sicurezza, al fine di espandere i loro tassi di contagio.
  • i dispositivi mobile sono sotto attacco: nel 2018, il 33% delle organizzazioni in tutto il mondo è stato colpito da malware mobile, di cui i principali tre colpiscono il sistema operativo Android. Inoltre, si sono verificati diversi casi in cui il malware mobile è stato preinstallato sui dispositivi e nelle app disponibili negli app store.
  • uso massiccio delle botnet per lanciare gli attacchi: i bot sono stati nel 2018 il terzo tipo di malware più comune, con il 18% delle organizzazioni colpite da bot che vengono utilizzate per lanciare attacchi DDoS e diffondere altri malware. Le infezioni bot sono state determinanti in quasi la metà (49%) delle organizzazioni che hanno subito un attacco DDoS nel 2018.
  • attacchi ransomware in calo: nel 2018 l’utilizzo di ransomware è diminuito drasticamente, con un impatto su appena il 4% delle organizzazioni a livello globale.

Dall’aumento vertiginoso degli attacchi cryptomining, alle massicce violazioni dei dati, agli attacchi DDoS, nell’ultimo anno ci sono stati molti disagi informatici per le organizzazioni globali. I cybercriminali hanno a disposizione un’ampia gamma di opzioni per indirizzare ed estrarre ricavi dalle organizzazioni di qualsiasi settore, e la prima parte del Security Report 2019 evidenzia gli approcci che stanno utilizzando, sempre più furtivamente”, ha dichiarato Peter Alexander, Chief Marketing Officer di Check Point Software Technologies.  “Questi attacchi di quinta generazione multi-vettoriali, veloci e su larga scala stanno diventando sempre più frequenti, e le organizzazioni devono adottare una strategia di sicurezza informatica su più livelli che impedisca a questi attacchi di impossessarsi delle loro reti e dei loro dati. Il Security Report 2019 mette a disposizione conoscenze, approfondimenti e raccomandazioni su come prevenire questi attacchi.

0 1147

Check Point® Software Technologies Ltd, il principale fornitore di soluzioni di cybersecurity a livello globale, ha pubblicato il Global Threat Index di novembre rivelando l’entrata della botnet Emotet nella Top 10 dei malware più diffusi, sia italiana sia mondiale.

La botnet Emotet, che era già apparsa in altre campagne, è stata la protagonista della campagna hacker che ha colpito duramente il Giorno del Ringraziamento. La campagna si è caratterizzata per l’invio di email spam contenenti malware che si presentavano sotto forma di biglietti di ringraziamento e che avevano come oggetto “Thanksgiving day wishes”, “Thanksgiving wishes” e “the Thanksgiving day congratulation!”. Le email si presentano con allegati malevoli, spesso con nomi di file relativi al Giorno del Ringraziamento, per diffondere la botnet e distribuire altri malware. Di conseguenza, l’impatto globale della botnet Emotet è aumentato del 25% rispetto a ottobre.

Ma il mese di novembre è stato anche il primo anniversario del cryptominer Coinhive, che guida il Global Threat Index dallo scorso dicembre. Negli ultimi 12 mesi, Coinhive da solo ha avuto un impatto sul 24% delle organizzazioni in tutto il mondo, mentre i malware cryptomining, in generale, hanno avuto un impatto globale del 38%. La stessa situazione riguarda l’Italia che vede Coinhive stabile al primo posto in classifica da dicembre 2017.

Durante il mese di novembre, abbiamo registrato un aumento significativo degli sforzi per contrastare la botnet Emotet, che si è diffusa tramite messaggi legati a una particolare ricorrenza per attrarre un maggior numero di click”, ha dichiarato Maya Horowitz, Director Threat Intelligence and Research di Check Point. “I dipendenti e le aziende ormai si aspettano di ricevere messaggi di questo tipo. Questi messaggi sono utilizzati per diffondere la botnet Emotet. Si tratta di una tecnica di social engineering capace di ingannare le potenziali vittime e far aprire loro email malevole. Data questa potenzialità, insieme alla sua persistenza e all’uso di tecniche evasive per evitare il rilevamento, Emotet ha avuto quindi un grande successo nel mese di novembre.

Mentre Coinhive è rimasto per un anno il malware più prolifico, si è verificato l’aumento di un malware che può essere utilizzato per distribuire payload aggiuntivi alle macchine infette. Questi moduli possono massimizzare i ritorni economici degli aggressori grazie alla loro natura multiuso.

I tre malware più diffusi a novembre 2018 sono stati:

  1. ↔ Coinhive – uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero. Il JavaScript installato utilizza una grande quantità di risorse computazionali delle macchine degli utenti finali per estrarre monete e potrebbe causare l’arresto anomalo del sistema.
  2. ? Cryptolootmalware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta. Competitor di Coinhive, Cryptoloot cerca di accaparrarsi più vittime chiedendo ai siti una percentuale minore in termini di profitti.
  3. ? Andromedabot modulare utilizzato principalmente come backdoor per recapitare un malware aggiuntivo agli host infetti, e può essere modificato per creare diversi tipi di botnet.

Per quanto riguarda, invece, la classifica dei malware mobile, Triada, malware modulare per Android, mantiene il primo posto, seguito da Hiddad che è tornato a occupare il secondo posto, e da Lokibot, trojan bancario che colpisce i sistemi Android e che ruba informazioni, che è invece sceso al terzo gradino di questa speciale classifica.

I tre malware per dispositivi mobili più diffusi a novembre 2018:

  1. Triada malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati. Triada può anche fare lo spoofing di URL caricati nel browser.
  2. Hiddad malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti. La sua funzione principale è visualizzare annunci, ma è anche in grado di accedere ai dati chiave di sicurezza, integrati nel sistema operativo, consentendo all’aggressore di ottenere dati sensibili dell’utente.
  3. Lokibot trojan bancario che colpisce i sistemi Android e che ruba informazioni, può anche trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore.

I ricercatori di Check Point hanno anche analizzato le vulnerabilità informatiche più sfruttate dai criminali informatici. Ancora una volta, CVE-2017-7269 rimane solida al primo posto, con un impatto globale del 48%. Al secondo posto invece, OpenSSL TLS DTLS DTLS Heartbeat Information Disclosure con un impatto del 44%, seguito da CVE-2016-6309, una vulnerabilità della funzione tls_get_get_message_body di OpenSSL, che ha colpito il 42% delle organizzazioni.

Le tre vulnerabilità più diffuse nel mese di novembre sono state:

  1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP.
  2. ↔ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – in OpenSSL esiste una vulnerabilità che diffonde informazioni a causa di un errore durante la gestione dei pacchetti TLS/DTLS heartbeat. Un aggressore può sfruttare questa vulnerabilità per rivelare il contenuto della memoria di un client o server collegato.
  3. ? OpenSSL tls_get_message_body Function init_msg Structure Use After Free (CVE-2016-6309) – una vulnerabilità use-after-free è stata riprodotta nella funzione tls_get_get_message_body di OpenSSL. Un attacco remoto, non autenticato, potrebbe sfruttare questa vulnerabilità inviando un messaggio personalizzato al server vulnerabile. Lo sfruttamento permette all’aggressore di eseguire un codice arbitrario sul sistema.

La ThreatCloud Map e il Global Threat Impact Index di Check Point si avvalgono dell’intelligence ThreatCloud dell’azienda, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.