QUADRUPLICATI GLI ATTACCHI DI MALWARE DI MINING CONTRO GLI IPHONE E AUMENTATI ANCHE QUELLI CONTRO IL BROWSER SAFARI.
L’ULTIMO “GLOBAL THREAT INDEX” DI CHECK POINT
L’ultimo “Global Threat Index” di Check Point rileva nelle ultime due settimane di settembre un aumento del 400% di malware di Crypto-Mining contro i dispositivi mobili di Apple e contemporaneamente un aumento anche del malware che colpisce gli utenti del browser Safari del medesimo colosso tecnologico. Gli attacchi hanno utilizzato “Coinhive”, il malware di mining al primo posto nell’indice Check Point da dicembre 2017.
“Coinhive” incide sul 19% delle organizzazioni di tutto il mondo e non è un caso se dominano la scena delle minacce di questi ultimi tempi proprio i malware di mining di Cripto-moneta. Questi tipi di malware, ricordiamo, stanno soppiantando i ransomware in quanto rispetto a quest’ultimi non vengono rilevati da parte dell’utente che si accorgerà solamente (e non sempre) di un calo delle prestazioni della propria macchina. Di norma infettano il computer della vittima attraverso l’installazione di programmi prelevati da fonti non attendibili, dall’infezione di altri malware ma anche ad opera di contenuti javascript malevoli dei siti web che vengono visitati.
Nel caso dei dispositivi Apple non è ancora nota la vulnerabilità che sta dietro gli attacchi, apparentemente non coinvolge l’utilizzo di nuove funzionalità dei device, ma il messaggio che ne deriva è che le aziende non devono trascurare di considerare i dispositivi mobili come parte della superficie di attacco e quindi proteggerli opportunamente con soluzioni complete di sicurezza e prevenzione delle minacce. Non dimentichiamo che un attaccante sfrutta qualsiasi falla della rete per penetrare nel perimetro dell’azienda.
Immagine della World Cyber Threat Map di Check Point
Dal Global Threat Index di Check Point vediamo l’evoluzione delle tre minacce più “popolari” rispetto al mese scorso (per l’elenco completo consultare il documento di Check Point)
- Coinhive, stabile al primo posto da dicembre 2017. Esegue attività di Mining online della Cripto-valuta Monero quando un utente visita una pagina Web infetta (anche da dispositivo mobile). Il JavaScript che viene eseguito dal malware utilizza una gran quantità di risorse della macchina per produrre la cripto-moneta e potrebbe causare un anomalo arresto della macchina stessa.
- Dorkbot, stabile rispetto al mese precedente. E’ un worm progettato per consentire l’esecuzione di codice in modalità remota e per scaricare un malware aggiuntivo nel sistema infetto. Viene veicolato con vari sistemi primo tra tutti la posta elettronica e si auto-replica nella rete infettata.
- Cryptoloot – Crypto-miner, in salita rispetto al mese precedente. Utilizza la CPU o la GPU della vittima e le risorse esistenti per l’estrazione della cripto-moneta. È un concorrente agguerrito di Coinhive.
Per quanto riguarda le tre minacce ai dispositivi mobili più “popolari” troviamo:
- Lokibot – Trojan che ruba informazioni bancarie dai dispositivi Android ma che può anche trasformarsi in un ransomware che blocca il telefono qualora si tentasse di rimuoverlo o inibirlo.
- Lotoor – Malware che sfrutta le vulnerabilità del sistema operativo Android per ottenere i privilegi di root sui dispositivi mobili compromessi.
- Triada – Backdoor modulare che colpisce dispositivi Android iniettandosi nei processi di sistema e che garantisce i privilegi di super utente ad un attaccante per il download ulteriore di malware. Triada effetua anche lo spoofing degli indirizzi URL digitati nel browser
I ricercatori Check Point hanno anche analizzato le tre vulnerabilità più sfruttate nel mese scorso che globalmente hanno colpito circa il 45% delle organizzazioni. Le tre vulnerabilità sono:
- CVE-2017-7269 – Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow ()
In presenza dell’estensione WebDAV su Microsoft Windows Server 2003 R2 con Web Server IIS 6.0, un utente malintenzionato remoto può prendere il controllo della macchina ed eseguire su essa codice arbitrario o causare un attacco di negazione del servizio (attacco DOS). Ciò è dovuto principalmente a una vulnerabilità di Buffer Overflow causata da una errata convalida di un’intestazione lunga nella richiesta HTTP. - CVE-2016-6309 – OpenSSL tls_get_message_body Funzione init_msg Structure Use After Free ()
Vulnerabilità riscontrata in Openssl 1.1.0a che permette ad un utente malintenzionato remoto non autenticato di sfruttare questa vulnerabilità inviando uno specifico messaggio al server vulnerabile. Ciò gli permette di eseguire codice arbitrario sul target. - Web servers PHPMyAdmin Misconfiguration Code Injection
La vulnerabilità è dovuta ad una errata configurazione di PHPMyAdmin. Un utente malintenzionato remoto può sfruttare questa vulnerabilità inviando una richiesta HTTP appositamente predisposta al target.
MITIGATION – BEST PRACTICES
Il Global Threat Index di Check Point ci impone di ribadire alcuni utili consigli di prevenzione:
- Aggiornare sempre Sistemi Operativi, Applicazioni, Driver, Protocolli, dispositivi Mobili, e tutto quello che può essere aggiornato. Non sorprende più, ma non è una cosa accettabile, vedere che la vulnerabilità più sfruttata riguardi Windows Server 2003 R2 che ha avuto l’End of Support di Microsoft a luglio del 2015!
- Utilizzare soluzioni di sicurezza e anti-malware professionali, aggiornate e aggiornabili
- Scaricare software da fonti attendibili, e tutto quello che si scarica da internet sottoporlo a scansione antivirus o controllo dell’hash prima di installarlo. Visitare inoltre solo siti attendibili e prima di visitare siti di dubbia liceità sottoporre il link a controllo anti-malware (es. su VirusTotal)
- La posta elettronica rimane il mezzo più utilizzato per propagare malware. Educate il personale aziendale a riconoscere mail sospette, a sottoporre a scansioni anti-malware i messaggi e gli allegati.
- Sui dispositivi mobili impostate delle policy aziendali che impediscano di scaricare App non autorizzate così come evitare di “rootare” o “jailbreakare” i dispositivi stessi.
- Educare il personale dipendente alla Sicurezza Informatica, in modo che nell’utilizzo di qualsiasi device e software utilizzino le best practices in materia di Sicurezza.