Report McAfee Labs sulle minacce

Transcript

1 REPORT Report McAfee Labs sulle minacce Settembre 218 ARGOMENTI PRINCIPALI DEL TRIMESTRE Vuoi entrare in un dispositivo Windows 1 bloccato? Chiedi a Cortana (CVE ) Report sulle minacce: Non prendere parte alla rivoluzione delle blockchain se non garantisci la sicurezza La banda AsiaHit Group intrufola furtivamente app per frodi legate alla fatturazione in Google Play 1 Report McAfee Labs sulle minacce: settembre 218

2 Nel secondo trimestre, McAfee Global Threat Intelligence ha analizzato ogni giorno, in media, 1.8. URL, 8. file, e altri 2. file in una sandbox. Introduzione Benvenuti nel Report McAfee Labs sulle minacce: settembre 218. In questa edizione, evidenziamo rilevanti ricerche investigative e trend nelle statistiche sulle minacce raccolte dai gruppi McAfee Advanced Threat Research e McAfee Labs nel secondo trimestre del 218. I criminali informatici continuano a seguire i soldi. Sebbene questa affermazione suoni familiare, il nostro ultimo report sulle minacce mostra chiaramente la migrazione da alcuni vecchi attacchi a nuovi vettori di minacce man mano che diventano più redditizi. Proprio come nel primo trimestre, riscontriamo che la popolarità del mining delle criptovalute continua ad aumentare. In questo report descriviamo in dettaglio i risultati recenti di tre analisi di McAfee Labs che hanno fatto la loro comparsa nel secondo trimestre. I riassunti di ciascuna di queste analisi sono consultabili alle pagine 5-7. Un'area di indagine da parte dei nostri gruppi di ricerca è quella degli assistenti digitali. Nel secondo trimestre abbiamo analizzato una vulnerabilità in Microsoft Cortana. Questa falla ha permesso ad un aggressore di accedere ad un dispositivo Windows bloccato e di eseguire del codice. In base alla nostra policy di divulgazione delle vulnerabilità, abbiamo comunicato i nostri risultati a Microsoft; l'analisi ha portato al bollettino CVE Abbiamo inoltre esaminato il mondo degli attacchi alle criptovalute con un visione approfondita della tecnologia blockchain. Il nostro report descrive in dettaglio molte delle vulnerabilità sfruttate dagli aggressori in cerca di un rapido ritorno del loro investimento. Report preparato e redatto da: Christiaan Beek Carlos Castillo Cedric Cochin Ashley Dolezal Steve Grobman Charles McFarland Niamh Minihane Chris Palm Eric Peterson Steve Povolny Raj Samani Craig Schmugar ReseAnne Sims Dan Sommer Bing Sun 2 Report McAfee Labs sulle minacce: settembre 218

3 ARGOMENTI PRINCIPALI Passando al malware, il nostro report dettaglia un'area del crimine informatico che è spesso poco segnalata rispetto agli attacchi di ransomware su larga scala e "clamorosi" degli ultimi 18 mesi. Le frodi legate alla fatturazione sono state per qualche tempo il modus operandi di diversi gruppi di aggressori. Prendiamo in esame una campagna dell'asiahitgroup che ha tentato di far pagare 2. vittime utilizzando app provenienti da negozi ufficiali come Google Play. Nel secondo trimestre, McAfee Global Threat Intelligence ha ricevuto in media 49 miliardi di richieste al giorno. Nel frattempo, la quantità di nuovo malware è diminuita per il secondo trimestre consecutivo; tuttavia, questo potrebbe non essere significativo perché abbiamo osservato un picco nel quarto trimestre del 217 e i nuovi esempi sono rimasti relativamente invariati per quattro degli ultimi cinque trimestri. I nuovi esempi di malware mobile sono aumentati del 27% nel secondo trimestre; questo è il secondo trimestre consecutivo di crescita. Il malware estrattore di valute rimane molto attivo; il numero complessivo di esempi è aumentato dell'86% nel secondo trimestre, con oltre 2,5 milioni di nuovi file aggiunti al database malware. Siamo lieti di annunciare che tutte le nostre ricerche sono ora disponibili sulla piattaforma McAfee epolicy Orchestrator (McAfee epo ), a partire dalla Versione Si tratta di un'aggiunta ai nostri canali social tradizionali, dettagliati di seguito, oltre alle pagine principali di McAfee Labs e McAfee Advanced Threat Research. Resta protetto. Resta aggiornato. - Steve Grobman, Chief Technology Officer - Raj Samani, Chief Scientist e McAfee Fellow, Advanced Threat Research 3 Report McAfee Labs sulle minacce: settembre 218

4 REPORT Indice dei contenuti 4 Prev Nonce Hash Data 5 Vuoi entrare in un dispositivo Windows 1 bloccato? Chiedi a Cortana (CVE ) 6 Report sulle minacce: non prendere parte alla rivoluzione delle blockchain se non garantisci la sicurezza 7 La banda AsiaHit Group intrufola furtivamente app per frodi legate alla fatturazione in Google Play 9 Statistiche sulle minacce Report McAfee Labs sulle minacce: settembre 218

5 ARGOMENTI PRINCIPALI Argomenti principali del trimestre Vuoi entrare in un dispositivo Windows 1 bloccato? Chiedi a Cortana (CVE ) McAfee Labs e il gruppo McAfee Advanced Threat Research hanno scoperto una vulnerabilità dell'assistente vocale Cortana in Microsoft Windows 1. La vulnerabilità, per cui Microsoft ha fornito una soluzione a giugno, può portare all'esecuzione di codice non autorizzato. Spieghiamo come questa vulnerabilità può essere utilizzata per eseguire il codice dallo schermo bloccato di un computer Windows 1 cui sono state applicate tutte le patch (RS3 e RS4 prima della patch di giugno). In questa analisi, prendiamo in considerazione tre vettori di ricerca che sono state combinate in Microsoft e che insieme costituiscono la vulnerabilità CVE Il primo di questi è una fuga di informazioni; concludiamo con una demo che mostra l'esecuzione completa del codice per accedere a un dispositivo Windows bloccato! Abbiamo presentato la vulnerabilità a Microsoft in aprile come parte della policy di divulgazione responsabile del team McAfee Advanced Threat Research. Questa vulnerabilità è stata individuata da Cedric Cochin, Cyber Security Architect e Senior Principal Engineer. Vulnerabilità in Microsoft Cortana Esecuzione del payload PS1 (bypass AMSI, rimozione Defender dall'equazione, quindi bypass UAC) Esecuzione di PS1 con ELEVATA integrità (no UAC) Reset delle credenziali. L'antagonista ha ora pieno accesso alla sessione dell'utente bloccato. Esecuzione iniziale Payload prima fase Payload seconda fase Azioni sugli obiettivi Figura 1. Con quattro passaggi basilari, un aggressore può sfruttare Cortana e ottenere il pieno controllo di un sistema Windows 1. 5 Report McAfee Labs sulle minacce: settembre 218

6 ARGOMENTI PRINCIPALI Report sulle minacce: non prendere parte alla rivoluzione delle blockchain se non garantisci la sicurezza Data la crescente popolarità delle criptovalute, la rivoluzione blockchain è in pieno svolgimento. I criminali informatici hanno anche trovato nuove prospettive, tra cui l'estrazione illegale di monete e il furto a scopi di lucro. A giugno, il gruppo McAfee Advanced Threat Research ha pubblicato un report sulle minacce blockchain per spiegare le minacce attuali contro gli utenti e coloro che implementano le tecnologie blockchain. Anche se non hai mai sentito parlare di blockchain, probabilmente hai sentito nominare le criptovalute, in particolare Bitcoin, l'implementazione più popolare. Le criptovalute vengono create su una blockchain, che registra le transazioni in modo decentralizzato e consente di creare un "libro mastro" di fiducia tra persone inaffidabili. Ogni blocco nel libro mastro è collegato al blocco successivo, creando una catena, da cui il nome di blockchain. La catena consente a chiunque di convalidare tutte le transazioni senza dover rivolgersi ad una fonte esterna. Da qui, nascono valute decentralizzate come Bitcoin. In questo report prendiamo in esame i principali vettori di attacco: phishing, malware, vulnerabilità di implementazione e tecnologia. Funzione Hash Funzione Hash Prec. Nonce Prec. Nonce Prec. Nonce Hash Dati Hash Dati Hash Dati Blocca I minatori "frantumano" un blocco fino a quando non viene trovato un hash valido, incrementando il Nonce tra un tentativo e l'altro. L'hash valido diventa parte del blocco successivo. La catena può essere seguita utilizzando l'hash precedente di ogni blocco. Figura 2. Una blockchain PoW, basata su ogni hash precedente. Fonte: 6 Report McAfee Labs sulle minacce: settembre 218

7 ARGOMENTI PRINCIPALI La banda AsiaHitGroup intrufola furtivamente app per frodi legate alla fatturazione in Google Play Il gruppo McAfee Mobile Research ha individuato una nuova campagna di frodi legate alla fatturazione di almeno 15 app pubblicate nel 218 su Google Play. Le frodi dei pagamenti (che includono le frodi della fatturazione) sono una delle principali categorie di applicazioni potenzialmente dannose su Google Play, in base al report "Android Security 217 Year in Review" (Sicurezza di Android: rassegna dell'anno 217). Questa nuova campagna dimostra che i criminali informatici continuano a trovare nuovi modi per sottrarre denaro alle vittime utilizzando app sui negozi ufficiali come Google Play. I protagonisti di questa campagna, la banda AsiaHitGroup, sono attivi almeno dalla fine del 216 con la distribuzione delle applicazioni di installazione fasulle Sonvpay.A, che hanno cercato di far pagare almeno 2. vittime - principalmente dalla Thailandia e dalla Malesia - per il download di copie di applicazioni popolari. Un anno dopo, nel novembre 217, è stata scoperta una nuova campagna su Google Play, Sonvpay.B, che utilizzava la geolocalizzazione degli indirizzi IP per confermare la nazione della vittima e ha aggiunto le vittime russe alle frodi della fatturazione per aumentare le possibilità di rubare denaro a utenti insospettabili. La nostra indagine spiega come opera il malware in queste campagne. Figura 3. Le app dannose della banda AsiaHitGroup precedentemente trovate su Google Play. 7 Report McAfee Labs sulle minacce: settembre 218

8 ARGOMENTI PRINCIPALI STATISTICHE McAfee Global Threat Intelligence Ogni trimestre, la dashboard cloud di McAfee Global Threat Intelligence (McAfee GTI) ci consente di vedere e analizzare gli schemi di attacco usati nel mondo reale, per proteggere meglio la clientela. Queste informazioni ci forniscono visibilità sul volume di attacchi subiti dai nostri clienti. Ogni giorno, in media, McAfee GTI ha ricevuto 49 miliardi di query e 13 miliardi di linee di dati telemetrici, analizzando 1.8. URL e 8. file, oltre ad altri 2. file in una sandbox. Le protezioni McAfee GTI contro i file dannosi ne hanno segnalati 86. (,1%) pericolosi nel secondo trimestre, su un totale di 86 milioni di file testati. Le protezioni McAfee GTI contro gli URL dannosi ne hanno segnalati 365. (,5%) pericolosi nel secondo trimestre, su un totale di 73 milioni di URL testati. Le protezioni McAfee GTI contro gli indirizzi IP dannosi ne hanno segnalati 268. (,4%) pericolosi nel secondo trimestre, su un totale di 67 milioni di indirizzi IP testati. 8 Report McAfee Labs sulle minacce: settembre 218

9 REPORT Statistiche sulle minacce 1 Malware 17 Casi 19 Minacce di web e rete 9 Report McAfee Labs sulle minacce: settembre 218

10 Malware Nuovo malware Totale malware I dati del malware provengono dal database di esempi McAfee, che include i file pericolosi raccolti dalle trappole antispam di McAfee, dai crawler e dagli invii dei clienti, oltre che da altre fonti del settore Fonte: McAfee Labs, 218. Fonte: McAfee Labs, 218. Nuovo malware per Mac OS Malware complessivo per Mac OS Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Report McAfee Labs sulle minacce: settembre 218

11 Nuovo malware mobile Totale malware mobile Fonte: McAfee Labs, 218. Fonte: McAfee Labs, 218. Tassi di infezione da malware mobile su base regionale (percentuale di clienti mobili che hanno segnalato un'infezione) 14% Tassi di infezione da malware mobile su base globale (percentuale di clienti mobili che hanno segnalato un'infezione) 12% 18% 16% 14% 12% 1% 8% 6% 4% 2% % Africa Asia Australia Europa Nord America 3 T T T T 218 Sud America 1% 8% 6% 4% 2% % Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Report McAfee Labs sulle minacce: settembre 218

12 Nuovo ransomware 2.. Totale ransomware Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Nuovo malware di blocco dello schermo Android 2.. Totale malware di blocco dello schermo Android Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Report McAfee Labs sulle minacce: settembre 218

13 Nuovi file binari firmati malevoli Totale file binari firmati pericolosi Le autorità di certificazione forniscono certificati digitali che rendono disponibili informazioni una volta che un elemento binario (applicazione) viene firmato e validato dal fornitore di contenuti. Quando i criminali informatici ottengono dei certificati digitali per elementi binari firmati dannosi, è molto più semplice sferrare gli attacchi. Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Nuovo malware exploit Totale malware exploit Gli exploit sfruttano i bug e le vulnerabilità presenti nel software e nell'hardware. Gli attacchi zero-day sono esempi di exploit andati a buon fine. Per un esempio, consultare il post McAfee Labs "Analyzing Microsoft Office Zero-Day Exploit CVE : Memory Corruption Vulnerability." (Analisi dell'exploit Microsoft Office Zero-Day Exploit CVE : vulnerabilità di corruzione della memoria). Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Report McAfee Labs sulle minacce: settembre 218

14 Nuovo malware delle macro Totale malware delle macro Il malware delle macro solitamente arriva come documento Word o Excel all'interno di un' di spam o di un allegato compresso. Nomi contraffatti ma allettanti incoraggiano le vittime ad aprire i documenti, portando ad un'infezione se le macro sono abilitate Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Nuovo malware Faceliker Totale malware Faceliker Il trojan Faceliker manipola i clic in Facebook per assegnare artificialmente i Mi piace a determinati contenuti. Per maggiori informazioni, leggere questo post di McAfee Labs Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Report McAfee Labs sulle minacce: settembre 218

15 Nuovo malware JavaScript Totale malware JavaScript Per maggiori informazioni sulle minacce JavaScript e PowerShell, consultare "La crescita del malware basato su script," pubblicato in una precedente edizione del Report McAfee Labs sulle minacce Fonte: McAfee Labs, 218. Fonte: McAfee Labs, 218. Nuovo malware PowerShell Totale malware PowerShell Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Report McAfee Labs sulle minacce: settembre 218

16 Nuovo malware LNK Totale malware LNK I criminali informatici utilizzano sempre più shortcut.lnk per recapitare furtivamente script PowerShell dannosi e altro malware Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Nuovo malware estrattore di valuta Malware estrattore di valuta complessivo Il malware estrattore di valuta dirotta i sistemi per creare ("minare") le valute informatiche senza il consenso delle vittime o che queste ne siano a conoscenza. Le nuove minacce che estraggono valuta sono aumentate in modo considerevole nel Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Report McAfee Labs sulle minacce: settembre 218

17 Incidenti Incidenti resi noti pubblicamente per regione (numero di incidenti resi noti pubblicamente) I primi 1 vettori di attacco nel periodo (numero di violazioni segnalate) I dati sugli eventi di sicurezza provengono da varie fonti, tra cui hackmageddon.com, privacyrights.org/databreaches, haveibeenpwned.com e databreaches.net Africa Asia Pacifico Più regioni Americhe Europa Sconosciuto Malware Violazione dell'account Fuoriuscita Accesso non autorizzato Furto Vulnerabilità Truffa W-2 Denial of Service Defacing La maggior parte dei vettori di attacco o sono sconosciuti o non sono stati pubblicamente segnalati. Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Report McAfee Labs sulle minacce: settembre 218

18 Principali settori presi di mira nelle Americhe (numero di violazioni segnalate) 45 I primi 1 settori presi di mira nel periodo (numero di violazioni segnalate) Sanità Pubblica Amministrazione Finanza Istruzione Molteplici Media Intrattenimento Tecnologia Vendita al dettaglio Criptovaluta Sanità Pubblica Amministrazione Molteplici Istruzione Finanza Intrattenimento Vendita al dettaglio Media Tecnologia Servizi online 3 T T T T 218 Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Report McAfee Labs sulle minacce: settembre 218

19 Minacce di web e rete Nuovi URL sospetti Nuovi URL di download sospetti Fonte: McAfee Labs, Nuovi URL dannosi Nuovi URL di phishing Fonte: McAfee Labs, 218. Il database web McAfee TrustedSource contiene gli indirizzi URL (pagine web) organizzati in categorie e basati sulla reputazione web, per l utilizzo nelle policy di filtraggio degli accessi al web. Gli URL sospetti sono il numero complessivo di siti che ricevono un punteggio di rischio elevato o medio. Gli URL dannosi distribuiscono codice, tra cui eseguibili "drive-by" e trojan, progettati per dirottare le impostazioni o l'attività di un computer. I download dannosi provengono da siti che consentono all'utente, talvolta in modo inconsapevole, di scaricare involontariamente codice dannoso o fastidioso. Gli URL di phishing sono pagine web che tipicamente arrivano all'interno di truffaldine per sottrarre le informazioni sull'account dell'utente Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Report McAfee Labs sulle minacce: settembre 218

20 I principali malware che si collegano ai server di controllo nel secondo trimestre 1% 1% 1% 1% 2% 3% 4% GoScanSSH Wapomi 5% China Chopper Maazben 52% Ramnit 35% Salty Muieblackcat Mirai Altri Prevalenza dei botnet di spam in volume nel secondo trimestre 3% 2%1% 1% 7% Gamut Cutwail Stealrat Kelihos Necurs 86% Altri La botnet di spam Gamut ha superato tutte le altre nel corso del secondo trimestre. In particolare, ha incrementato in modo particolare il volume della truffa di phishing "Canada Revenue Agency". Le recenti campagne sono state collegate a false offerte di lavoro che vengono comunemente utilizzate come tattica di reclutamento "money mule". Fonte: McAfee Labs, 218. Fonte: McAfee Labs, 218. Le principali nazioni che ospitano server di controllo di botnet nel secondo trimestre I principali attacchi alle reti nel secondo trimestre 24% 2% 2% 2% 2% 4% 4% 5% 5% 14% 36% Stati Uniti Germania Russia Paesi Bassi Francia Cina Giappone Brasile Regno Unito Hong Kong Altri 9% 13% 4% 3% 3% 3% Denial of Service (DoS) 13% 52% Server Message Block Browser Brute Force Web DNS Scansione SSL Fonte: McAfee Labs, 218. Fonte: McAfee Labs, Report McAfee Labs sulle minacce: settembre 218

21 Informazioni su McAfee McAfee è l'azienda che offre sicurezza informatica dal dispositivo al cloud. Ispirandosi alla forza della collaborazione, McAfee crea soluzioni per aziende e consumatori che rendono il mondo un luogo più sicuro. Realizzando soluzioni che funzionano insieme ai prodotti delle altre aziende, McAfee aiuta le imprese a orchestrare degli ambienti informatici che sono veramente integrati e in cui la protezione, il rilevamento e la neutralizzazione delle minacce hanno luogo in modo simultaneo e collaborativo. Proteggendo i consumatori in tutti i loro dispositivi, McAfee ne mette in sicurezza lo stile di vita digitale in casa e fuori. Collaborando con altre aziende dedicate alla sicurezza, McAfee è alla guida della lotta ai criminali informatici per il bene di tutti. A proposito di McAfee Labs e McAfee Advanced Threat Research McAfee Labs, guidato da McAfee Advanced Threat Research, è uno dei più autorevoli laboratori di idee a livello mondiale per la ricerca e l'informazione sulle minacce e per la sicurezza informatica. Grazie ai dati provenienti da milioni di sensori sui principali vettori di minaccia - file, web, messaggi e rete - McAfee Labs e McAfee Advanced Threat Research, offrono informazioni sulle minacce in tempo reale, analisi critica e valutazioni di esperti per migliorare la protezione e ridurre i rischi. Via Fantoli, Milano Italy McAfee e il logo McAfee sono marchi registrati o marchi di McAfee, LLC o sue filiali negli Stati Uniti e in altri Paesi. Altri marchi e denominazioni potrebbero essere rivendicati come proprietà di terzi. Copyright 218 McAfee, LLC. 4116_918 SETTEMBRE Report McAfee Labs sulle minacce: settembre 218