News

Nuova vulnerabilità Flash 0-day sfruttata per distribuire i cryptoblocker

Gli exploit destinati alla nuova falla di sicurezza di tipo zero-day, individuata in Adobe Flash Player, vengono attualmente distribuiti in maniera aggressiva attraverso due distinti exploit pack. Di per se stessa, la vulnerabilità in questione è stata patchata lo scorso 7 aprile.

Lo sfruttamento della vulnerabilità CVE-2016-1019 era stato già rilevato, “in-the-wild”, prima della release della patch; i malintenzionati, in sostanza, utilizzavano la nuova 0-day per diffondere i temibili ransomware Locky e Cerber. Il coinvolgimento degli exploit pack nello schema di distribuzione dei cryptoblocker non rappresenta di certo una novità, ma nel caso di Locky, malware crittografico diffuso principalmente attraverso lo spam, tale modalità offre un’opportunità in più per amplificare la portata dell’operazione malevola in corso, la quale ha già interessato, a più riprese, il settoreb dell’assistenza sanitaria.

La nuova vulnerabilità 0-day, legata alla confusione dei tipi di dati, riguarda tutte le versioni di Flash Player su Windows 10 e precedenti. Il corrispondente exploit, secondo Proofpoint, è già stato aggiunto al “ricco” arsenale di cui dispongono Nuclear e Magnitude; il primo dei due kit di exploit è di fatto adibito alla diffusione di Locky, mentre il secondo pack malevolo viene utilizzato per recapitare Cerber alle potenziali vittime.

Oltre alla CVE-2016-1019, l’aggiornamento di sicurezza rilasciato da Adobe risolve ugualmente una ventina di ulteriori vulnerabilità, tra cui numerosi bug relativi a corruzione della memoria, use-after-free, type-confusion, stack overflow e bypass della protezione.

Nel commentare la 0-day sotto attacco, Kevin Epstein, Vice-presidente del Threat Operations Center di Proofpoint, ha osservato che il numero delle potenziali vittime potrebbe addirittura ammontare a milioni di utenti; il nuovo exploit, tuttavia, appare diretto esclusivamente alle versioni più datate di Flash Player. “La cosa davvero interessante, riguardo alla diffusione dell’exploit, è che gli attacker sembrano non sfruttare pienamente tale “opportunità”, – ha dichiarato l’esperto. – Non è chiaro, in effetti, se essi comprendono bene cosa si sono ritrovati tra le mani. Si tratta di una vulnerabilità 0-day, ma l’exploit incluso nei kit prende di mira soltanto le versioni precedenti di Flash. I malintenzionati hanno volontariamente limitato il proprio target; il motivo di tutto questo, però, non appare chiaro”.

Di qualunque cosa si tratti, l’exploit, però, è stato già messo in circolazione. Secondo Epstein, la distribuzione del ransomware Cerber attraverso l’exploit kit Magnitude è stata individuata soltanto a partire dal 4 aprile scorso, mentre lo schema Nuclear-Locky, con la “partecipazione” dell’exploit in causa, è risultato attivo sin dal 31 marzo. Entrambi gli exploit pack non sono così popolari, presso gli ambienti cybercriminali, come lo è, ad esempio, il kit Angler; essi, tuttavia, si dimostrano alquanto efficaci e, peraltro, sono stabilmente oggetto di domanda sul mercato nero della criminalità informatica. Per i malintenzionati che diffondono il ransomware Locky, e che ogni giorno inviano milioni di messaggi e-mail nocivi, il nuovo exploit Flash rappresenta un’ottima chance per poter incrementare il tasso di infezione.

Per quel che riguarda la patch destinata a chiudere la vulnerabilità CVE-2016-1019, Adobe aveva emesso una notifica preventiva, un giorno e mezzo prima della release della stessa, allo scopo di mettere in guardia gli utenti nei confronti degli attacchi in corso. Si affermava, attraverso tale notifica, che un exploit avrebbe potuto provocare il crash del sistema, ed avrebbe consentito la potenziale esecuzione di codice arbitrario, da parte di eventuali attacker, sulla macchina rivelatasi vulnerabile. Coloro che hanno provveduto ad installare Flash 21.0.0.182, rilasciato il 10 marzo, si possono considerare fuori pericolo; agli altri utenti si raccomanda, invece, di effettuare immediatamente il necessario update. Secondo i dati di cui dispone Adobe, al momento attuale i malintenzionati attaccano esclusivamente gli OS Windows 7 e XP, con installata la versione 20.0.0.306, o inferiore, di Flash.

“La particolare natura di questa vulnerabilità consente all’aggressore di poter eseguire codice arbitrario sulla macchina compromessa; in questo caso, l’exploit Flash assiste l’attacker nella scrittura di istruzioni arbitrarie su determinate celle della memoria, – spiega Epstein. – Nel caso specifico qui esaminato, il set dei comandi impartiti genera il download e la successiva esecuzione del cryptoblocker”.

Secondo l’esperto, il nuovo exploit verifica soltanto la presenza di versioni ormai “datate” di Flash Player, sebbene risultino sottoposte alla vulnerabilità in causa tutte le versioni di tale prodotto, ad eccezione dell’ultima, rilasciata di recente.

Fonte: Threatpost

Nuova vulnerabilità Flash 0-day sfruttata per distribuire i cryptoblocker

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox