UEFI

Software

Microsoft Defender ATP, ora con scanner UEFI incorporato

Alfonso Maruccia | 23 Giugno 2020

Malware Microsoft Sicurezza Windows

Microsoft ha annunciato l’arrivo di una nuova capacità per il suo tool antimalware, uno scanner dedicato a identificare le minacce contro il firmware UEFI.

Microsoft Defender ATP, ovvero il sistema di sicurezza che ha vocazioni multipiattaforma ma necessita di un tool di terze parti per la modifica di tutte le impostazioni su Windows, acquisisce una nuova capacità di contrasto al codice malevolo. Nella versione per Windows 10, l’antivirus di Redmond è ora in grado di dare la caccia anche ai malware che si nascondono nel firmware UEFI.

Defender ATP integra ora un’infrastruttura di scansione dedicata alla ricerca dei “fantasmi nella macchina” come i rootkit UEFI in stile LoJax. Il nuovo scanner è in grado di leggere nel file system interno del firmware UEFI grazie all’interfaccia Serial Peripheral Interface (SPI), di analizzare il contenuto del firmware e di identificare gli exploit, i malware o altri componenti malevoli (o sospetti) eventualmente presenti all’interno del chipset.

Windows Defender

La scansione del firmware avviene in fase di avvio di Windows 10, ha spiegato Microsoft, agisce in accordo con il chipset e il risultato viene visualizzato nella cronologia delle scansioni di Windows Defender. I risultati della scansione possono poi essere raffinati ulteriormente grazie alla caccia avanzata a base di query.

Microsoft spiega che il nuovo scanner per le minacce contro il firmware UEFI si integra nella già ricca serie di strumenti di protezione dei sistemi endpoint messa a disposizione da Defender ATP. Una protezione migliorata che tra l’altro va a integrare e rafforzare ulteriormente l’iniziativa già presentata lo scorso autunno e nota come Secured-core PC.

Malware

Software

Malware scoperto in 28 estensioni per Edge e Chrome

Luca Colantuoni | 18 Dicembre 2020

Browser Web Malware Sicurezza

Avast ha scoperto 28 estensioni (15 per Chrome e 13 per Edge) che includono malware in grado di dirottare il traffico e raccogliere diversi dati dell’utente.

Google ha promesso di migliorare la sicurezza delle estensioni, ma gli strumenti disponibili oggi non funzionano come dovrebbero. Gli esperti di Avast hanno infatti scoperto 15 add-on per Chrome contenenti malware. Altri 13 add-on infetti sono disponibili per Edge, il browser di Microsoft che usa lo stesso codice di base. Google ha rimosso tutte le estensioni dal Chrome Web Store, mentre al momento quelle per Edge sono ancora online.

Le estensioni sono molto popolari perché consentono di personalizzare il browser, aggiungendo anche funzionalità mancanti. Ma proprio per questo motivo sono spesso utilizzate per diffondere malware sui computer degli utenti. La maggioranza degli add-on infetti permettono di scaricare video da Facebook, YouTube o Vimeo. In realtà nascondono codice JavaScript che effettua il reindirizzamento verso siti di phishing e il furto di dati personali.

Quando l’utente clicca su un link, l’estensione fasulla invia l’informazione ad un server remoto che risponde con l’indirizzo di siti contenenti banner pubblicitari. Avast crede quindi che l’obiettivo sia dirottare il traffico per ottenere un guadagno. La privacy e la sicurezza sono compromesse perché viene creato un log dei clic e raccolte numerose informazioni, tra cui indirizzo IP, nome e versione del browser, sistema operativo, data di nascita e indirizzo email.

Secondo Avast, probabilmente le estensioni non nascondevano codice infetto al momento della pubblicazione. Gli autori hanno atteso l’aumento di popolarità (sono state scaricate oltre tre milioni di volte) prima di distribuire un aggiornamento con malware incluso. Il consiglio è ovviamente quello di rimuovere subito le estensioni elencate sul sito di Avast ed effettuare una scansione con un antivirus aggiornato.

Cyber sicurezza, tra verità e falsi miti: la guida aggiornata

Networking

Adrozek, malware spara-pubblicità che infetta i browser Web

Alfonso Maruccia | 14 Dicembre 2020

Advertising Browser Web Malware Sicurezza

Microsoft ha lanciato l’allarme su Adrozek, una campagna malevola in circolazione da mesi e capace di iniettare messaggi pubblicitari indesiderati nelle ricerche Web degli utenti.

Adrozek è una famiglia di malware in continua evoluzione, una minaccia specializzata nella modifica del comportamento dei browser Web che ha preso di mira i principali protagonisti del settore con discreto successo. Le potenziali vittime del malware includono gli utenti di Mozilla Firefox, Google Chrome, Microsoft Edge e il browser russo Yandex (Chromium).

Stando a quanto scoperto dagli ingegneri di Microsoft, Adrozek è in circolazione da almeno lo scorso maggio 2020. L’obiettivo principale del malware consiste nel compromettere il browser tramite l’impiego di estensioni malevole, la modifica di specifiche DLL e la modifica delle impostazioni per iniettare advertising non richiesto all’interno delle ricerche Web dell’utente.

Adrozek, attacco ai browser

Com’è ovvio, la crew che gestisce Adrozek guadagna dall’advertising aggiuntivo tramite un programma di affiliazione, mentre l’utente rischia di visitare link potenzialmente insicuri o in grado di compromettere ulteriormente la sicurezza del sistema con nuovi malware e attacchi. Le zone del pianeta più colpite dall’infezione sono Europa, Asia Meridionale e sudest asiatico.

In totale, dice ancora Microsoft, nei cinque mesi di analisi (da maggio a settembre 2020) Adrozek ha distribuito “centinaia di migliaia” di sample malevoli con un codice in continua evoluzione. I cyber-criminali hanno utilizzato 159 domini unici per ospitare 17.300 URL, da cui sono stati distribuiti in media più di 15.300 sample malevoli (per ogni URL).

L’infezione da Adrozek dovrebbe in ogni caso essere piuttosto facile da debellare: basta reinstallare il browser Web e poi seguire una serie di regole di opsec basilari per evitare altri spiacevoli incontri in futuro.

Leonardo

Security

Leonardo, il furto dei dati è un lavoro da insider

Alfonso Maruccia | 7 Dicembre 2020

Leonardo Malware Sicurezza

Il contractor italiano Leonardo S.p.A. è stato vittima di un’intrusione informatica della durata di due anni. Rubati gigabyte di dati, anche se l’azienda rassicura sulla sicurezza dei progetti classificati.

Per quasi due anni, tra il 2015 e il 2017, i sistemi informatici di Leonardo S.p.A. sono stati sistematicamente violati da un attacco dagli effetti potenzialmente devastanti. Il cyber-criminale ora arrestato, Arturo D’Elia, ha agito dall’interno con la complicità di un dipendente e forse di altri, rubando una quantità enorme di informazioni altamente riservate.

Nella veste di responsabile della sicurezza di Leonardo, D’Elia ha avuto gioco facile nel mettere in atto il suo piano: usando una chiavetta USB e un malware creato per lo scopo e sconosciuto ai software antivirali, il criminale ha infettato 94 postazioni informatiche – 33 delle quali nello stabilimento di Pomigliano D’Arco – e sottratto 10 gigabyte di dati, circa 100.000 file in totale.

I file sono stati spediti a un server esterno, ora sottoposto a sequestro dalla Polizia di Stato, e includevano informazioni di tipo amministrativo-contabile, sulla gestione delle risorse umane, l’approvvigionamento, la distribuzione dei beni strumentali. Violate anche le credenziali di accesso e i dati sensibili dei dipendenti, così come i progetti di componenti per veivoli civili e militari.

Leonardo attacco

Leonardo è una delle aziende europee più importanti attive nel settore della difesa e dell’aerospazio, un colosso controllato (per circa il 30% delle azioni) dal Ministero dell’Economia e delle Finanze, con un fatturato da quasi 14 miliardi di euro e clienti militari sparsi in tutto il mondo.

La breccia nei sistemi di Leonardo è insomma potenzialmente devastante, perché D’Elia ha potuto agire indisturbato carpendo informazioni dall’enorme valore economico ma anche strategico. L’azienda si è accorta della breccia sostanzialmente per caso, nel 2017, individuando nel gennaio di quell’anno un flusso di traffico anomalo.

L’indagine ha portato all’arresto di D’Elia, e Leonardo dice di aver collaborato fin da subito con le autorità giudiziarie per fare chiarezza sulla vicenda. Dal quartier generale romano della multinazionale rassicurano altresì sui potenziali effetti della breccia sui segreti militari italiani: i dati classificati e di valore strategico vengono trattati in aree segregate e non accessibili dall’esterno, dice l’azienda.

Aggiungi alla collezione

No Collections

Here you'll find all collections you've created before.