News

La più recente vulnerabilità Flash 0-day già bersagliata dagli exploit pack

Nella composizione dei famigerati kit Angler, Neutrino e Magnitude sono stati inseriti, da parte dei malintenzionati, exploit destinati a colpire la più recente vulnerabilità zero-day individuata in Flash Player, peraltro da poco patchata; i nuovi exploit vengono già utilizzati per distribuire ransomware di vario genere, malware bancari ed un Trojan preposto al furto delle credenziali.

Il ricercatore francese conosciuto con il nickname di “Kafeine” ha riferito a Threatpost che un exploit appositamente confezionato per sfruttare la vulnerabilità CVE-2016-4117, entrato a far parte del “team” schierato dal kit Neutrino, è, di fatto, pienamente operativo; il medesimo exploit, invece, non è stato del tutto implementato in Magnitude. Kafeine ha ugualmente confermato che, al momento attuale, il pack Angler si avvale di un exploit analogo, utilizzato per recapitare il temibile Trojan bancario Dridex.

Secondo il ricercatore, gli exploit inseriti in Magnitude sono diretti a tutte le versioni di Flash Player (sino alla 21.0.0.213); i relativi payload nocivi, tuttavia, non sembrano entrare in azione, nonostante gli evidenti riferimenti al codice vulnerabile. Non è escluso che la loro implementazione sia stata eseguita in maniera non corretta. L’exploit di recente incorporato nel kit Neutrino, invece, risulta pienamente funzionante e, a giudicare dai risultati ottenuti su VirusTotal, per il momento viene rilevato con notevole difficoltà.

Commentando con Threatpost la specifica circostanza, Kafeine ha anche osservato che, nel corso dei vari passaggi effettuati con l’exploit kit aggiornato, egli è riuscito ad individuare payload nocivi di vario genere, riguardanti, tra l’altro, i ransomware CryptXXX, Cerber, DMA Locker ed il Trojan Gootkit. Quest’ultimo viene prevalentemente utilizzato per compiere il furto delle credenziali impiegate nelle operazioni di banking online; la caratteristica peculiare di Gootkit è rappresentata dal fatto che tale malware viene caricato in memoria, senza lasciare alcun tipo di file sulla macchina infetta. In precedenza, per distribuire il Trojan in questione, i malfattori ricorrevano all’utilizzo di Angler: all’inizio dell’anno corrente, i ricercatori di Cyphort hanno pubblicato un dettagliato resoconto relativo ad una di tali cyber-campagne, nel corso della quale erano stati impiegati banner pubblicitari malevoli in funzione di redirector, ed il malware Bedep in qualità di downloader.

La patch necessaria per correggere la vulnerabilità 0-day in Flash Player (legata alla confusione dei tipi di dati) è stata rilasciata il 12 maggio scorso, tramite un update di emergenza. Tale falla di sicurezza era stata individuata, qualche giorno prima, da un ricercatore di FireEye, il quale aveva rilevato l’esistenza di exploit “in-the-wild” ad essa destinati. Gli exploit in causa erano stati incorporati all’interno di documenti Microsoft Office, collocati sul sito predisposto dagli attacker, ed accessibili attraverso un dominio con DNS dinamico. Per cercare di infettare i potenziali computer-vittima, i malintenzionati ricorrevano sia all’utilizzo di URL di spam, sia all’impiego di mailing preposti a diffondere gli allegati maligni.

Secondo i dati raccolti da FireEye, nel corso di questa prima serie di attacchi sono stati utilizzati exploit destinati alle versioni 21.0.0.196 e superiori di Flash. Il processo di infezione, piuttosto complesso e laborioso, si svolge in varie fasi: attraverso l’azione compiuta dagli exploit viene in primo luogo lanciato uno shellcode, il quale genera il download e l’esecuzione di un secondo shellcode; quest’ultimo, a sua volta, produce il caricamento e l’esecuzione del malware vero e proprio.
Nel frattempo, l’utente visualizza, sul proprio schermo, un documento fasullo. Sul computer-vittima viene infine aperta una backdoor, la quale consente di ricevere nuovi comandi da parte degli attacker.

L’exploit pack Magnitude, in questi ultimi tempi, viene attivamente utilizzato per distribuire Cerber, il temibile ransomware in grado di richiedere “ad alta voce” il pagamento del riscatto. All’inizio dello scorso mese di aprile, i ricercatori di Proofpoint avevano scoperto che, per recapitare tale blocker, Magnitude aveva iniziato a sfruttare la vulnerabilità Flash CVE-2016-1019, un’ulteriore falla di sicurezza di tipo zero-day rilevata in questo prodotto; anche per essa, Adobe ha poi dovuto rilasciare una patch di emergenza. Lo stesso identico exploit, nell’ambito del kit Nuclear, veniva invece utilizzato per distribuire un altro software estorsore, il famigerato Locky.

Sottolineiamo, in conclusione, come il livello di attività manifestato da Cerber si sia notevolmente innalzato dopo che i cybercriminali intenti alla diffusione di tale ransomware hanno ottenuto l’accesso all’infrastruttura di Dridex, la quale consente di poter effettuare estesi mailing di spam.

Fonte: Threatpost

La più recente vulnerabilità Flash 0-day già bersagliata dagli exploit pack

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox