.:: Securnetwork.net Blog – Massimo Rabbi ::.

Alcuni giorni fa tra i post Facebook di uno dei miei contatti, è comparso un interessantissimo talk di Mikko Hypponen, intitolato “Fighting viruses, defending the net”.
Per chi non lo conoscesse Hypponen è uno dei pezzi di grossi di F-Secure, compagnia nella quale è dal lontano 1991. Di sicuro è uno che in fatto di virus, malware e security in genere “ne sa a pacchi” per usare un’espressione.
Il talk merita veramente di essere visto, 20 minuti godibilissimi dall’inizio alla fine ad alto contenuto tecnico, ingegno e un pizzico di humor.

Cos’ha di cosi’ speciale venerdi’ 11 febbraio 2011 da poco passato?
Un giorno palindromo (11022011) come molti si sono divertiti a scrivere e a dire?
No, in realtà la mia attenzione è caduta sull’articolo comparso su The Register e su come questa data costituisca il decimo anniversario dalla comparsa del famigerato worm Anna Kournikova.

Per chi non lo ricorda, fu uno dei tanti esempi di worm di quegli anni, scritto in Visual Basic Script (VBS) e che si diffondeva via mail attraverso un banale “trucchetto” di social engineering che invitava a visualizzare un’immagine della nota tennista russa.

Di sicuro non cosi’ sofisticato come il più noto Love Bug o anche I Love You, ma in grado di diffondersi a velocità doppia rispetto al suo simile rilasciato un anno prima. Fu forse l’ultimo nella sua “specie” con una simile capillarità di infezione.

Perchè val la pena ricordarlo oggi giorno, quando ormai esistono malware, spyware e rootkit in grado di nascondersi nel sistema e rendere la loro individuazione piu’ difficile che mai ai normali software antivirus?
Per il semplice fatto che fu uno dei primi esempi di virus di “successo” scritti utilizzando appositi scripting toolkit.
Leggi il resto dell’articolo »

Il servizio di URL shortening di Google, goo.gl, sarebbe stato utilizzato negli ultimi tempi per la diffusione di un worm Twitter.
I link incriminati finora individuati che portano alla diffusione del malware sono i seguenti: “goo.gl/R7f68″ e “goo.gl/od0az”.

I responsabili di Twitter hanno fatto sapere che non appena la diffusione del worm è stata scoperta, hanno provveduto a notificare la procedura di password reset per tutti coloro che sono stati interessati dal problema.
E’ stato anche consigliato un controllo sulle connessioni oAuth “autorizzate” per verificare la possibilità che ne siano state aggiunte alcune in maniera illecita ed eventualmente rimuoverle.

Per tutti coloro che hanno cliccato sui link sopra riportati, l’effetto è stato quello di un primo redirect verso un sito compromesso di una compagnia francese di mobili, e successivamente ad altri domini.
La cosa interessante è come il worm sembra si sia diffuso principalmente attraverso le piattaforme Twitter per dispositivi mobile.
Gerry Egan, direttore di Symantec Security Response, ha fatto sapere come gli URL malevoli in questione punti in effetti ad una copia del “Neosploit attack toolkit“.
Leggi il resto dell’articolo »

Il rootkit TDL4 è l’ultima delle evoluzioni del famigerato TDSS, già in circolazione da un po’ di tempo.
La novità che riguarda questo malware, è che TDL4 sembra faccia uso di uno dei bug di Windows usato in precedenza da Stuxnet.

Pare infatti che il rootkit sfrutti la vulnerabilità del Windows Task Scheduler su macchine Windows 7/2008 (x86/x64) per poter installarsi senza che venga segnalato alcun messaggio dal sistema di protezione UAC.
E’ questo quello che appare nel report di Sergey Golovanov, security expert dei Kaspersky Lab.

Sembra dunque che TDL4 tenti di seguire la strada “indicata” in primis dal worm Stuxnet, di cui si è fatto un gran parlare negli ultimi tempi, soprattutto per la sua particolarità di attaccare i sistemi SCADA.
Per quanto riguarda il bug relativo al Windows Task Scheduler, il codice di exploit ad esso relativo è stato rilasciato qualche settimana fa, e quindi facilmente reperibile.

A quanto pare la frenesia scatenata dalla morte di una celebre star è un buon modo per diffondere il malware.
E i vari cyber-criminali del pianeta lo sanno bene.
Questa volta nel mirino è finito il capitano Jack Sparrow o meglio l’attore Johnny Depp che stando alle indiscrezioni sarebbe morto in un incidente d’auto. “Peccato” che la pagina web che riporta la notizia sia falsa, una simil-CNN.
Tuttavia sembra che il rumor si sia diffuso in fretta e su Twitter non si sia parlato d’altro.

Ecco qua un video di Sophos che mostra come viene attuato l’inganno e installato il malware. Maggiori informazioni sull’accaduto sempre sul blog di Sophos.

Altro “buon” esempio di social engineering!