venerdì 14 ottobre 2011

Nuovo exploit kit individuato da Trend Micro, i consigli per difendersi


Ultimamente vi è un nuovo aumento del volume di attacchi di spam che utilizzano un kit exploit - nello specifico, il BlackHole exploit kit - per innescare un payload maligno. In particolare, nelle ultime catene di spam Automated Clearing House (ACH), e nei più recenti corrieri spam su Facebook relativi alla morte di Steve Jobs. Con questo post, gli esperti di Trend Micro, orientano i lettori sulla catena di infezione di tali attacchi per aiutare a capire perchè le pratiche di mitigazione di base sono ancora efficaci e utili per proteggersi dalle minacce di oggi. 

In una campagna di spam tipico che coinvolge il malware, i cybercriminali attirano gli utenti attraverso l'ingegneria sociale facendo eseguire una serie di azioni prima che il carico utile destinato venga eseguito. Ad esempio, un utente deve scaricare, estrarre ed eseguire un presunto file "benigno" per un attacco di spam perchè possa avere successo. Campagne di spam utilizzando kit exploit, tuttavia, sono un pò più pericolosi in quanto hanno solo bisogno di attirare l'utente a cliccare su un link maligno ed il resto del contagio sarà in grado di prendere posto. 

Di seguito è riportato un esempio di questo tipo di spam che pretendono di essere provenienti dal National Automated Clearing House Association (NACHA). Il NACHA gestisce la rete ACH, che facilita le transazioni di pagamento di massa che coinvolge imprese, governi, come pure i consumatori. Gli utenti che hanno maggiori probabilità di ricevere email da NACHA sono quelli che effettuano transazioni relative a libro paga, i benefici del governo, restituzioni d'imposta, ed altri.

Il resoconto delle transazioni nel falso messaggio spam conduce ad una pagina vuota

Nella schermata dello spam di cui sopra, si può vedere che il link punta a un dominio dall'aspetto dubbio che non è legato al National Automated Clearing House Association (NACHA). Una pagina vuota viene visualizzata quando gli utenti fanno clic sul collegamento. Questa pagina vuota è in realtà una pagina gateway che contiene i seguenti JavaScript offuscati:

 La pagina gateway dello script offuscato

Quando decifrati, è possibile vedere che si tratta di uno script che tenta di inserire un iframe che punta ad un altro sito maligno, che utilizza il kit di BlackHole Exploit:

La pagina del gateway decifrata

Una volta che l'iframe viene caricato, il contenuto viene caricato anche dal Kit BlackHole Exploit sul sito che, ancora una volta, contiene uno script molto offuscato. Al momento della decodifica del codice, è possibile vedere il codice vero e proprio che cerca software vulnerabili e utilizza le azioni appropriate. Il kit Exploit BlackHole sfrutta le vulnerabilità sia in applicazioni di terze parti come Adobe Acrobat, Adobe Flash e Java, così come nei componenti di Windows come Microsoft Data Access Components (MDAC) e la Guida in linea e supporto tecnico (HCP).

Il sito del Blackhole  Exploit Kit mostra questo script molto offuscato

Lo sfruttamento esegue uno shellcode, che innesca il download e l'esecuzione di malware. Abbiamo osservato che questi attacchi sono stati utilizzati per diffondere varianti ZeuS, anche se queste possono essere utilizzati anche per diffondere altre famiglie di malware.

Mitigazione multistrato
Come promemoria per gli utenti, ecco alcuni modi per prevenire che questo tipo di minaccia si ottenga nei loro sistemi:
  • Essere a conoscenza di attacchi di ingegneria sociale. La maggior parte degli attacchi online oggi utilizzano il social engineering prima che possano esporre tecnicamente l'infezione. Diffidando da ciò che si fa on-line, le infezioni possono già essere mitigate al momento della comparsa. Semplice buon senso, come non sono divertenti le email indesiderate che potrebbero fare molto in termini della vostra sicurezza personale online.
  • Controllare sempre i link malevoli. Controllare sempre dove puntano gli URL dei collegamenti ipertestuali. E 'anche una buona pratica copiare e incollare un URL nella barra degli indirizzi del browser piuttosto che cliccare il link direttamente.
  • Disabilitare JavaScript nel vostro browser. Come accennato in precedenza, la pagina gateway e la pagina BlackHole Exploit Kit hanno utilizzato JavaScript. Questo è anche il caso di un sacco di minacce di oggi che usano il browser per eseguire un payload maligno. Come tale, è una buona idea disabilitare JavaScript nel vostro browser e permettendo l'accesso solo ai siti di fiducia, se necessario.
  • Ricordarsi sempre di patchare. Il BlackHole Exploit Kit utilizza exploit che colpiscono le vecchie versioni non aggiornate di software. La persistenza di tali strumenti significa che sfruttano gli obsoleti e sono ancora in grado di infettare molti utenti. Non importa quanto scomoda possa essere, la patching del software regolare è ancora un processo di attenuazione importante.
"Lo stato del panorama delle minacce e la dipendenza schiacciante del pubblico su Internet richiede che gli utenti dovrebbero avere la consapevolezza del tipo di minacce trovate sul web, come pure i mezzi per proteggere se stessi da esse. Avendo conoscenza di come questi attacchi lavorano, gli utenti possono ottenere un vantaggio sugli aggressori, ed essere in grado di fermare una minaccia ancor prima che entri nel loro sistema. Un pò di auto-educazione in ultima analisi può rendere tutto Internet un luogo migliore e più sicuro", commenta Roland Dela Paz, Threat Response Engineer di Trend Micro. 

Ulteriori informazioni su come i criminali informatici hanno utilizzato lo spam nei loro schemi maligni possono essere trovati sul rapporto di sicurezza in PDF recentemente rilasciato da Trend Micro, Spam nel mondo aziendale di oggi. Fonte: Trend Micro Malware Blog

3 commenti:


  1. mac cosmetics, http://www.maccosmetics.in.net/
    ravens jerseys, http://www.baltimoreravensjerseys.us/
    christian louboutin uk, http://www.christianlouboutinoutlet.org.uk/
    louis vuitton outlet store, http://www.louisvuittonoutletstore.name/
    tory burch shoes, http://www.toryburchshoesoutlet.com/
    ray ban sunglasses, http://www.rayban-sunglassess.us.com/
    soccer jerseys wholesale, http://www.soccerjerseys.us.com/
    juicy couture tracksuit, http://www.juicycoutureoutlet.net/
    nba jerseys, http://www.nbajerseys.us.com/
    ray ban sunglasses, http://www.raybansunglass.co.uk/
    new balance shoes, http://www.newbalanceshoes.in.net/
    mizuno shoes, http://www.mizunorunningshoes.us/
    true religion jeans outlet, http://www.truereligionjeansoutlets.us.com/
    nike free run uk, http://www.nikefreerunning.org.uk/
    michael kors handbags outlet, http://www.michaelkorshandbagsoutletstore.us.com/
    true religion jeans, http://www.truereligionjeansoutlets.us.com/
    michael kors factory outlet, http://www.michaelkorsfactoryoutlet.us.org/
    pittsburgh steelers jersey, http://www.pittsburghsteelersjersey.com/
    ed hardy clothing, http://www.edhardy.us.com/
    instyler, http://www.instylerionicstyler.com/
    ralph lauren outlet, http://www.ralphlaurenoutlet.in.net/
    cheap football shirts, http://www.cheapfootballshirt.org.uk/
    ralph lauren polo, http://www.ralphlaurenoutlet.in.net/
    converse shoes, http://www.converseshoes.us.com/
    calvin klein underwear, http://www.calvinklein.in.net/
    toms outlet, http://www.toms.us.com/
    asics,asics israel,asics shoes,asics running shoes,asics israel,asics gel,asics running,asics gel nimbus,asics gel kayano
    ray ban,rayban,occhiali ray ban,ray-ban,ray ban occhiali,ray ban sunglasses

    RispondiElimina