MosaicRegressor rootkit UEFI

Software

MosaicRegressor, nuovo rootkit UEFI scoperto dai ricercatori

Alfonso Maruccia | 8 Ottobre 2020

Malware Sicurezza UEFI

Kaspersky ha individuato e analizzato MosaicRegressor, minaccia informatica complessa e altamente pericolosa che sfrutta un rootkit in grado di infettare i livelli più bassi e inaccessibili di un sistema informatico.

Nel 2018 fece scalpore la notizia della scoperta di LoJax, primo rootkit conosciuto in grado di compromettere il firmware UEFI del PC garantendosi un livello di persistenza senza precedenti. Ora la storia si ripete con MosaicRegressor, nuovo rootkit UEFI scovato dalla società di sicurezza Kaspersky. L’obiettivo è sempre lo stesso, vale a dire attacchi APT (Advanced-Persistent Threat) e spionaggio contro target particolarmente sensibili.

MosaicRegressor è una minaccia informatica piuttosto complessa grazie a un design modulare, spiega la security enterprise moscovita, ed è stata adoperata dagli hacker cinesi per operazioni di intelligence contro almeno due organizzazioni non governative (ONG) nel corso del 2019. La natura modulare del malware rende l’analisi complicata e giocoforza incompleta, visto che i cyber-criminali possono decidere in autonomia quali componenti installare (da remoto) a seconda della macchina infetta e del bersaglio.

UEFI

Il rootkit UEFI scoperto da Kaspersky è una versione custom del bootkit VectorEDK di Hacking Team, la società italiana specializzata in spionaggio informatico che ha subito l’oramai famigerato leak di dati e documenti riservati negli anni passati. Il riutilizzo del codice di HT ha permesso agli autori di MosaicRegressor di risparmiare tempo, rendendo il lavoro di sviluppo del malware molto più agile.

Stando a quanto sostiene Kaspersky, al momento non è noto come i criminali cinesi siano riusciti a compromettere il firmware UEFI scovato dai ricercatori. Le immagini infette del firmware (in grado di reinstallare i componenti del malware anche dopo la re-inizializzazione del sistema operativo) potrebbero essere state installate con l’accesso diretto al PC, in fase di assemblaggio o attraverso altri metodi ancora sconosciuti.

Malware

Software

Malware scoperto in 28 estensioni per Edge e Chrome

Luca Colantuoni | 18 Dicembre 2020

Browser Web Malware Sicurezza

Avast ha scoperto 28 estensioni (15 per Chrome e 13 per Edge) che includono malware in grado di dirottare il traffico e raccogliere diversi dati dell’utente.

Google ha promesso di migliorare la sicurezza delle estensioni, ma gli strumenti disponibili oggi non funzionano come dovrebbero. Gli esperti di Avast hanno infatti scoperto 15 add-on per Chrome contenenti malware. Altri 13 add-on infetti sono disponibili per Edge, il browser di Microsoft che usa lo stesso codice di base. Google ha rimosso tutte le estensioni dal Chrome Web Store, mentre al momento quelle per Edge sono ancora online.

Le estensioni sono molto popolari perché consentono di personalizzare il browser, aggiungendo anche funzionalità mancanti. Ma proprio per questo motivo sono spesso utilizzate per diffondere malware sui computer degli utenti. La maggioranza degli add-on infetti permettono di scaricare video da Facebook, YouTube o Vimeo. In realtà nascondono codice JavaScript che effettua il reindirizzamento verso siti di phishing e il furto di dati personali.

Quando l’utente clicca su un link, l’estensione fasulla invia l’informazione ad un server remoto che risponde con l’indirizzo di siti contenenti banner pubblicitari. Avast crede quindi che l’obiettivo sia dirottare il traffico per ottenere un guadagno. La privacy e la sicurezza sono compromesse perché viene creato un log dei clic e raccolte numerose informazioni, tra cui indirizzo IP, nome e versione del browser, sistema operativo, data di nascita e indirizzo email.

Secondo Avast, probabilmente le estensioni non nascondevano codice infetto al momento della pubblicazione. Gli autori hanno atteso l’aumento di popolarità (sono state scaricate oltre tre milioni di volte) prima di distribuire un aggiornamento con malware incluso. Il consiglio è ovviamente quello di rimuovere subito le estensioni elencate sul sito di Avast ed effettuare una scansione con un antivirus aggiornato.

Cyber sicurezza, tra verità e falsi miti: la guida aggiornata

Networking

Adrozek, malware spara-pubblicità che infetta i browser Web

Alfonso Maruccia | 14 Dicembre 2020

Advertising Browser Web Malware Sicurezza

Microsoft ha lanciato l’allarme su Adrozek, una campagna malevola in circolazione da mesi e capace di iniettare messaggi pubblicitari indesiderati nelle ricerche Web degli utenti.

Adrozek è una famiglia di malware in continua evoluzione, una minaccia specializzata nella modifica del comportamento dei browser Web che ha preso di mira i principali protagonisti del settore con discreto successo. Le potenziali vittime del malware includono gli utenti di Mozilla Firefox, Google Chrome, Microsoft Edge e il browser russo Yandex (Chromium).

Stando a quanto scoperto dagli ingegneri di Microsoft, Adrozek è in circolazione da almeno lo scorso maggio 2020. L’obiettivo principale del malware consiste nel compromettere il browser tramite l’impiego di estensioni malevole, la modifica di specifiche DLL e la modifica delle impostazioni per iniettare advertising non richiesto all’interno delle ricerche Web dell’utente.

Adrozek, attacco ai browser

Com’è ovvio, la crew che gestisce Adrozek guadagna dall’advertising aggiuntivo tramite un programma di affiliazione, mentre l’utente rischia di visitare link potenzialmente insicuri o in grado di compromettere ulteriormente la sicurezza del sistema con nuovi malware e attacchi. Le zone del pianeta più colpite dall’infezione sono Europa, Asia Meridionale e sudest asiatico.

In totale, dice ancora Microsoft, nei cinque mesi di analisi (da maggio a settembre 2020) Adrozek ha distribuito “centinaia di migliaia” di sample malevoli con un codice in continua evoluzione. I cyber-criminali hanno utilizzato 159 domini unici per ospitare 17.300 URL, da cui sono stati distribuiti in media più di 15.300 sample malevoli (per ogni URL).

L’infezione da Adrozek dovrebbe in ogni caso essere piuttosto facile da debellare: basta reinstallare il browser Web e poi seguire una serie di regole di opsec basilari per evitare altri spiacevoli incontri in futuro.

Leonardo

Security

Leonardo, il furto dei dati è un lavoro da insider

Alfonso Maruccia | 7 Dicembre 2020

Leonardo Malware Sicurezza

Il contractor italiano Leonardo S.p.A. è stato vittima di un’intrusione informatica della durata di due anni. Rubati gigabyte di dati, anche se l’azienda rassicura sulla sicurezza dei progetti classificati.

Per quasi due anni, tra il 2015 e il 2017, i sistemi informatici di Leonardo S.p.A. sono stati sistematicamente violati da un attacco dagli effetti potenzialmente devastanti. Il cyber-criminale ora arrestato, Arturo D’Elia, ha agito dall’interno con la complicità di un dipendente e forse di altri, rubando una quantità enorme di informazioni altamente riservate.

Nella veste di responsabile della sicurezza di Leonardo, D’Elia ha avuto gioco facile nel mettere in atto il suo piano: usando una chiavetta USB e un malware creato per lo scopo e sconosciuto ai software antivirali, il criminale ha infettato 94 postazioni informatiche – 33 delle quali nello stabilimento di Pomigliano D’Arco – e sottratto 10 gigabyte di dati, circa 100.000 file in totale.

I file sono stati spediti a un server esterno, ora sottoposto a sequestro dalla Polizia di Stato, e includevano informazioni di tipo amministrativo-contabile, sulla gestione delle risorse umane, l’approvvigionamento, la distribuzione dei beni strumentali. Violate anche le credenziali di accesso e i dati sensibili dei dipendenti, così come i progetti di componenti per veivoli civili e militari.

Leonardo attacco

Leonardo è una delle aziende europee più importanti attive nel settore della difesa e dell’aerospazio, un colosso controllato (per circa il 30% delle azioni) dal Ministero dell’Economia e delle Finanze, con un fatturato da quasi 14 miliardi di euro e clienti militari sparsi in tutto il mondo.

La breccia nei sistemi di Leonardo è insomma potenzialmente devastante, perché D’Elia ha potuto agire indisturbato carpendo informazioni dall’enorme valore economico ma anche strategico. L’azienda si è accorta della breccia sostanzialmente per caso, nel 2017, individuando nel gennaio di quell’anno un flusso di traffico anomalo.

L’indagine ha portato all’arresto di D’Elia, e Leonardo dice di aver collaborato fin da subito con le autorità giudiziarie per fare chiarezza sulla vicenda. Dal quartier generale romano della multinazionale rassicurano altresì sui potenziali effetti della breccia sui segreti militari italiani: i dati classificati e di valore strategico vengono trattati in aree segregate e non accessibili dall’esterno, dice l’azienda.

Aggiungi alla collezione

No Collections

Here you'll find all collections you've created before.