Mac Osx una mela brucata nella tempesta tsunami tra malware, trojan backdoor e SEO poisoning attack

Il sistema operativo Mac si è dimostratio negli anni, un esempio commerciale della potenza mediatica delle corporation,
avrete certamente letto le dichiarazioni di Richard Stallman di Linux e della Community legata a Linux e allo sviluppo del software in modalità open source linux based.
Cosa significa per i linuxiani il mondo mac ? che impatto ha la mela nelle loro vite ? nulla, meno di zero ! il sistema osx è come una mela ovvero una palla tonda che rotola
rotole e avvolge tutti inconsapevolmente in una realtà fatta di gabbie dorate.
I ricercatori eset e quelli di sophos nella loro attività volta al monitoraggio della rete e dei fenomeni che la circondano hanno scovato la presenza di una backdoor che deriva da
Una vecchia backdoor di Linux, trasportata su Mac OS attraverso un porting, tale tecnica è stata rielaborata per creare un nuovo trojan chiamato OSX/Tsunami-A.
Questo malware sfrutta una variante di Troj/Kaiten, un trojan per Linux progettato per inserirsi in un computer e rimanere collegato a un canale IRC in attesa di istruzioni.
che impatto potrebbe avere ? semplice avere a portata di mano intere reti di computer per lanciare attacchi su larga scala. Chi potrebbe avere interesse a diffondere tale virus nei sitemi mac ?
Probabilmente pirati informatici che hanno la necessità di creare un esercito di computer necessario a lanciare ciber attacchi ad obbiettivi sensibili.
“Tipicamente del codice come questo è usato per radunare i computer compromessi in un attacco DDoS (Distributed Denial of Service) contro un sito web” scrive infatti Graham Clueley sul blog Naked Security di Sophos. Questo tipo di attacco può essere una dimostrazione fine a sé stessa, oppure lo strumento per penetrare delle difese di un certo sito per poi compiere altre azioni, che vanno dal defacing al furto d’informazioni. OSX/Tsunami tuttavia è più complesso, perché può eseguire diverse istruzioni oltre al citato attacco DDoS, tra cui l’accesso diretto ai contenuti del computer infetto.

Non è chiaro tuttavia in che modo Tsunami possa finire su un sistema Mac OS. È certamente possibile nel caso di un accesso fisico al computer, ma non è detto che una buona operazione di social engineering non riesca convincere gli utenti meno smaliziati a installare software pericoloso. Che significa ? si potrebbe tentare di indurre l’utente ad installare questo malware in diversi modi, primo fra tutti si potrebbe utilizzare la tecnica del SEO poisoning attack ( sfruttare siti ben piazzati nei motori di ricerca per diffondere il malware su larga scala).
Ma questo è già avvenuto nel mondo mac ricorderete Macdefender che nel maggio 2011 mutò il nome in Mac Guard per infiltrare la sua payload nel sistema target….
ma come avveniva ? il file avSetup.pkg scaricato inconsapevolmente veniva eseguito, questo falso antivirus, non chiede la password di amministratore, viene installato nella cartella Applicazioni. un downloader chiamato avRunner, che si avvia automaticamente. Allo stesso tempo, il pacchetto di installazione si cancella non lasciando alcuna traccia del programma di installazione originale.
il finto antivirus veniva scaricato con l’applicazione avRunner da un indirizzo IP (nascosto con tecniche steganografiche), Sullo schermo dell utente colpito cominceranno ad apparire pop-up pornografici e di un software per la rimozione delle infezioni in versione premium da acquistare tramite carta di credito, in modo da spingere l’utente a fornire i dati da sottrarre.
Ma tornando a Tsunami per il momento non rappresenta un pericolo per gli utenti Mac, anche perché dev’essere ancora analizzato a fondo.
Che dire del trojan persistente Flashback.c propoposto come finto aggiornamento di sicurezza che è in grado di installarsi in modo eprsistente su osx ??
Il consiglio che potrei dare è quello di non affidarsi ciecamente alle “prodezze” e agli spot commerciali.. poichè non è poi così difficile ottenere l’accesso delle credenziali di accesso tramite script dell’ultima versione di osx specialmente se upgradato…
Quindi Tsunami è senza dubbio una ragione d’interesse per tutti gli esperti di sicurezza e di sistemi operativi, perché è il primo malware per Mac OS X che sfrutta una falla derivata dai sistemi *nix (Mac OS è infatti basato su Unix).

facebook e il trojan “Bredolab”

attenzione Pericolo per gli utenti di facebook !

se ricevete una mail con oggetto “Password Reset Confirmation Email”

da l’indirizzo apparente service@facebook.com magari con scritto The Facebook Team siete vittime di una tragica presa in giro.

a peggiorare la situazione intervengono alcuni fantomatici esperti che faendosi trascinare dal fatto che questa email sembra vera assicurano che è genuina e tutti potete cliccare su questi messaggi senza incorrere in nessuna minuccia.
Poi si continua nel tam tam che sta investendo la rete si sostiene in diversi siti che solo una decina di software antivirus sono in grado di scovare questo trojan contenuto nel corpo del messaggio perchè solo dopo si capisce leggendo pagine e pagine che c’è qualcosa che non va in questi messaggi misteriosi alcuni in italiano alcuni in inglese che stanno arrivando agli utenti registrati su facebook.

In poche parole è una e-mail che serve per carpire dati sensibili dai vostri account, e accedere al vostro computer il worm Bredolab incluso nel messaggio che viene spacciato per vero diche che per la sicurezza dei propri iscritti è necessario  sostituire utente e password per l’accesso alla piattaforma facebook, ma qui sta la furbata la password da inserire la suggerisce chi ha scritto la mail spacciandosi per il team di facebook.

In poche parole basta che l’utente medio voglia a suo modo approfondire la faccenda e si appresta a cliccare il virus worm entra in azione trasformando il pc in una spazzatura che patcha i file  “svchost.exe” ed “explorer.exe” e facendo tale operazione a volte vengono elusi molti software antivirus che pur restando attivi, non fanno il proprio lavoro es. di norma il firewall legittima il traffico per tali processi considerati parte essenziale del sistema.
Una volta che i software antivirus e i relativi firewall vengono “rincitrulliti” il malware inizia a scaricare altro codice maligno che fa diventare il pc dell’utente una macchina zombie al servizio di terzi.

Un consiglio analizzate sempre le e-mail che vi arrivano, cercate di scoprire quale server è stato utilizzato prima di ridurre il vostro pc in una specie di vecchio soprammobile o a vostra scelta in una lavabiancheria rotta .

consigli
1) eliminare il messaggio

2) non aprire nessun allegato da sconosciuti
3) non cedere credenziali a terzi e poi gridare al lupo al lupo…
4)lavatevi la faccia prima di mettervi davanti al pc

MS Windows Wormable Vulnerability, Out-of-Band Patch Released (MS08-067)

Threat Type: Malicious Web Site / Malicious Code

Websense® Security Labs^TM has received reports of exploits circulating in the wild that take advantage of a serious Windows vulnerability. Microsoft just released an out-of-band patch to address this just hours ago (see MS08-067).

The remote code execution vulnerability is found in netapi32.dll, and carries a severity rating of “Critical” by Microsoft, affecting even fully patched Windows machines. This vulnerability (CVE-2008-4250) allows malicious hackers to write a worm (self-propagating malicious code without need for any user interaction), by crafting a special RPC request. A successful exploitation would result in the complete control of victim machine.

To date, we have seen attacks installing a Trojan (Gimmiv) upon successful exploitation. At the time of this alert, only 25% of 36 anti-virus vendors could detect this malicious code. Blocking TCP ports 139 and 445 at the firewall is only a partial solution because most desktops have file/printer sharing turned on. The out-of-band patch release by Microsoft testifies to the severity of this vulnerability and the urgency for an immediate fix.

Websense is monitoring the development of this attack, and has classified the corresponding Web sites and malicious code that the exploit downloads.

More information:

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4250

http://blogs.technet.com/mmpc/archive/2008/10/23/get-protected-now.aspx

http://blogs.technet.com/swi/archive/2008/10/23/More-detail-about-MS08-067.aspx

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

FALSA E-MAIL MICROSOFT KB584432.exe VIRUS Security Update for OS Microsoft Windows

NON APRITE LA FALSA E-MAIL DELLA MICROSOFT CHE STA ARRIVANDO IN QUESTI GIORNI !

DA : Microsoft Customer Service” <customerservice@microsoft.com>

OGGETTO : Security Update for OS Microsoft Windows

SEGUE TESTO E ALLEGATO DI 33 KB

QUESTA E-MAIL E’ ASSOLUTAMENTE FALSA E DANNOSA GLI AUTORI DELLA MAIL IN OGGETTO HANNO UTILIZZATO UN SERVER NELLA REPUBBLICA CECA, NULLA A CHE FARE CON I SERVER MICROSOFT.

ALLEGO TESTO E-MAIL :

Dear Microsoft Customer,

Please notice that Microsoft company has recently issued a Security Update for OS Microsoft Windows. The update applies to the following OS versions: Microsoft Windows 98, Microsoft Windows 2000, Microsoft Windows Millenium, Microsoft Windows XP, Microsoft Windows Vista.

Please notice, that present update applies to high-priority updates category. In order to help protect your computer against security threats and performance problems, we strongly recommend you to install this update.

Since public distribution of this Update through the official website http://www.microsoft.com would have result in efficient creation of a malicious software, we made a decision to issue an experimental private version of an update for all Microsoft Windows OS users.

As your computer is set to receive notifications when new updates are available, you have received this notice.

In order to start the update, please follow the step-by-step instruction:
1. Run the file, that you have received along with this message.
2. Carefully follow all the instructions you see on the screen.

If nothing changes after you have run the file, probably in the settings of your OS you have an indication to run all the updates at a background routine. In that case, at this point the upgrade of your OS will be finished.

We apologize for any inconvenience this back order may be causing you.

Thank you,

Steve Lipner
Director of Security Assurance
Microsoft Corp.

—–BEGIN PGP SIGNATURE—–
Version: PGP 7.1

0849JB5RD2VW1QL4NWFGQUL1LDPE49EPZHWG85DIC99Z9CZ9Z7SR9J7JLD1FY61TJ
6NXM1VC8DTKWAI9PSPH9T8SD2JSPH1L0EL8M968TUEHSG5UFTHUQUD95RNU3DKRQ6
4FO81Y6QTTK452ORNUVXKI8HB8TU0N4F1TGWVJ9KQQ8W3UNG2VV3AN5Q7GZVQ2PFF
B87089F03JDELY8ZJ11XUF7NILGF8D8S9QT14YS2LYLMVM478NDMDNK4H263S8KIC
66UB1N5V47OLP117AAZVQUZ9TE966UDXJFK==
—–END PGP SIGNATURE—–

SEGUE ANALISI DETTAGLIATA VIRUS

AVG Segnalato falso positivo in file aaaamon.dll

ATTENZIONE NON SI TRATTA DI UN VIRUS E’ UN FALSO POSITIVO

Situazione : FALSO POSITIVO

Gli utenti di Windows 2000 e Windows XP (SP2 e SP3) che utilizzano AVG 8.0 aggiornato ai rilasci dettagliati sopra possono verificare la rilevazione di un Trojan all’interno del file aaaamon.dll. Si tratta di un falso positivo: il file aaaamon.dll è un componente legittimo di sistema di Windows utilizzato per ottimizzare la gestione delle risorse ram e cpu del computer.

Per evitare la continua rilevazione del file infetto è possibile procedere come segue :

• Inserire il file nell’elenco delle eccezioni di Resident Shield. Oppure …
• Cliccare su ignora all’apertura della finestra di dialogo che avvisa dell’avvenuta rilevazione. Oppure …
• Spostare il file in quarantena. Nonostante Windows possa funzionare correttamente senza questo file apparirà una finestra di dialogo che chiede il ripristino del file: cliccare su annulla e quindi accettare che Windows rimanga con una versione non verificata del file. Alla ricezione del prossimo aggiornamento da parte di AVG, accedere all’area di quarantena e ripristinare il file.

Attenzione ! Questo articolo si riferisce solo all’infezione Trojan Horse Patched_c.yl rilevata nel file %windir%\system32\aaaamon.dll oppure nella directory DLLCache del sistema operativo. Ogni altro tipo di infezione rilevata, sebbene sullo stesso file, non è da considerarsi un falso positivo.

Per coloro che hanno messo il file in quarantena e successivamente hanno svuotato l’area di quarantena è possibile scaricare la libreria direttamente da download aaaamon.dll.

FONTE: AVG

Fernando Alonso ferito in un incidente: ATTENZIONE SI TRATTA DI UN TROJAN HORSE (VIRUS)

FALSO INDIDENTE DEL PILOTA DI FORMULA 1
Fernando Alonso contenente pericoloso virus ! non cliccare !!!

Mi è appena arrrivata una curiosa e-mail dove c’è scritto che il pilota di formula 1 Fernando Alonso è stato coinvolto in uno spavento incidente, non cliccate assolutamnte si tratta di un nuovo tipo di trojan “bancario” alcune case antivirus lo identificano come “Banker.LGC” questo trojan utilizzando questa notizia diffonde una falsa notizia che riguarda il pilota spagnolo, addirittura si dice che è rimasto gravemente ferito in un incidente a Bilbao, a primo impatto sembra una notizia vera, nel corpo del messaggio si trova un collegamento dove si dovrebbe scaricare il video dell’incidente, non appena si clicca viene eseguito un programma che è in grado di rubare in pochi secondi una quantità impressionante di dati sensibili, quali password, numeri e codici segreti di conti correnti. Questo tipo di trojan è molto pericoloso perchè si tratta di una evoluzione non da poco, è un malware ben progettato che riesce a colpire in pochi secondi i nostri pc. Questo genere di operazione ci dimostra che internet è veramente un luogo insicuro e pericoloso dove come nel mondo reale esistono le persone per bene ed esistono “truffatori”, ladri e gente senza scrupoli interessata solo al profitto economico la quale utilizzando le proprie capacità informatiche
in modo assolutamente negativo danneggia i computer altrui, gente che non avendo meglio da fare si arricchisce alle spalle del prossimo, e magari cerca una persona poco esperta per far tramutare il suo pc in uno zombie pronto a lanciare migliaia di virus o ancora peggio essere sfruttato come computer remoto o per subdole operazioni illegali, quindi prestate attenzione !!

riporto il testo integrale

“Il pilota di Formula 1 Fernando Alonso ha avuto un grave incidente stradale, a Bilbao.
Alonso è stato colpito da un’altra auto a un incrocio. Il pilota dell’altro veicolo è morto sul colpo,
mentre Fernando Alonso è in gravi condizioni.
Alonso è ricoverato in ospedale a Bilbao, e i medici parlano di lesioni al midollo“

che dire non hanno limite ! è una vergogna !