La battaglia di GMAIL contro i virus spediti via email

[AVVISO] Dal prossimo 13 febbraio il servizio di posta più utilizzato al mondo bloccherà l’invio di allegati Javascript (.js). Questa è la risposta di Google agli hacker che sempre più spesso utilizzano le mail per  infettare usano file JavaScript per provocare il download e il successivo caricamento di codice malevolo (malware, ransomware, ecc…).

Le limitazioni negli allegati non sono certo una novità per i ragazzi di Mountain View che come spiegano in questa pagina già bloccano per la loro potenziale pericolosità una pletora di file con determinate estensioni: .ADE, .ADP, .BAT, .CHM, .CMD, .COM, .CPL, .EXE, .HTA, .INS, .ISP, .JAR, .JSE, .LIB, .LNK, .MDE, .MSC, .MSP, .MST, .PIF, .SCR, .SCT, .SHB, .SYS, .VB, .VBE, .VBS, .VXD, .WSC, .WSF, .WSH

Gli utenti che cercano di spedire email contenenti allegati di questo tipo sono soliti ricevere il seguente avviso di sicurezza che spiega il motivo per cui non è possibile completare l’operazione: «Questo messaggio è stato bloccato perché il suo contenuto costituisce una potenziale minaccia per la sicurezza“.»

In molti casi è possibile ovviare alla limitazione dell’invio di file eseguibili, script o altre tipologie di file bloccati, inserendoli in un archivio Zip (meglio se cifrato), oppure affidandosi a Google Drive, Microsoft OneDrive, Dropbox ecc…

Ramsomware: cos’è e come proteggersi

Che cosa è il ransomware?

Il ransomware è una forma di malware che una volta infettato il dispositivo della vittima ne impedisce l’utilizzo fino a quando l’utente malcapitato non paga un riscatto per sbloccare il sistema. Questo tipo di virus informatico esiste almeno dal 1989, da quando il Trojan “PC Cyborg” criptò i nomi dei file su un disco rigido e costrinse gli utenti a pagare un riscatto per poterli sbloccare. Nel corso del tempo, gli attacchi ransomware sono diventati sempre più sofisticati e mirati.

A tutt’oggi esistono diverse versioni di ransomware. Ad esempio, il ransomware Crypto può infettare un sistema operativo impedendo a un dispositivo di effettuare il boot. Altri tipi di ransomware possono cifrare il contenuto di un drive o intere directory. Altre versioni malevole dispongono di un timer che inizia a cancellare gradualmente i file fino a quando non viene pagato un riscatto. In ogni caso, tutti chiedono il pagamento di un riscatto per sbloccare o liberare il sistema, i file o i dati crittografati.

In che modo si viene infettati?

Il ransomware come qualsiasi altro virus non è nient’altro che un software che s’installa più o meno consapevolmente sul dispositivo della vittima e può essere distribuito in più modi, il più comune è quello di usare un file infetto, allegandolo ad una e-mail. Per esempio, può succedere di ricevere un messaggio e-mail solo all’apparenza proveniente da un mittente conosciuto e ritenuto sicuro, contenente un allegato che in realtà contiene il codice malevolo. Ma il veicolo dell’infezione può essere direttamente una pagina di un sito infetto il cui web server vulnerabile viene sfruttato per far scaricare ed installare ad insaputa dell’utente il ransomware.

Cosa si può fare per proteggersi?

Proteggersi da un attacco con ransomware non è impossibile: si tratta solo di attuare una serie di abitudini e accorgimenti informatici alla portata di tutti.

• E’ la rete di salvataggio in grado di stare tranquilli: fare il backup dei dati e/o dell’intero sistema. Naturalmente occorre eseguire il backup regolarmente e salvarlo offline, su una piattaforma differente;
• Utilizzare una buona suite antivirus, in grado di analizzare allegati e-mail, siti web e file di malware, nonché bloccare pubblicità potenzialmente compromesse;
• Assicurarsi che gli strumenti antivirus e antimalware installati siano sempre dotati degli aggiornamenti più recenti.
• Mantenere sistemi operativi, dispositivi e tutto il software costantemente aggiornati;
• Stabilire e applicare permessi e privilegi, in modo che il minor numero possibile di utenti abbiano la capacità potenziale di infettare applicazioni e dati. Ad esempio per il normale utilizzo di un computer non occorre accedervi utilizzando un utente con i privilegi di amministratore del sistema;
• Ultimo e forse più importante accorgimento è quello di navigare in rete e utilizzarne i servizi con la giusta dose di malizia: NON scaricare file da siti poco affidabili, NON cliccare su allegati o seguire link che appaiono in messaggi e-mail non richiesti.

Google Chrome blocca di default le pubblicità realizzate con Flash

Ennesimo duro colpo ad Adobe Flash da parte di uno dei browser più utilizzati al mondo.

A partire dal primo settembre Google Chrome bloccherà di default i banner pubblicitari realizzati con questa tecnologia: starà poi all’utente, se interessato (ma quando mai…) eventualmente a cliccarci sopra per far partire la pubblicità.

Una scelta che va in favore non solo della sicurezza, ma anche alle prestazioni, poiché spesso e volentieri le pubblicità in Flash sono veicolo non solo per il malware, ma rappresentano anche un ulteriore carico per la CPU.

Dopo il blocco di default dei contenuti flash nei plug-in, i ragazzi di Mountain View mettono ora sul campo un sofisticato algoritmo in grado di discernere tra contenuto importante e mera pubblicità, bloccando di default quest’ultimi contenuti. Ovviamente nel caso venga bloccato un contenuto che l’utente desidera vedere, è sempre possibile scegliere di riprodurlo.

Se i produttori di software non sono in grado di garantire la sicurezza e le prestazioni è giusto che vengano soppiantati da tecnologie più al passo dei tempi come ad esempio l’HTML5. A fare le spese potrebbe essere il mercato pubblicitario, che fa ancora grande affidamento su Flash per creare pubblicità multimediali dinamiche, interattive e ricche di contenuti. Il blocco per default tramite il browser presuppone naturalmente una perdita dei profitti: ma sarebbe pure ora che i creatori di contenuti passino a tecnologie più sicure per i navigatori del web.

[Alert] – Cessazione Carrier PreSelection, il virus che bersaglia gli utenti Telecom

In questi giorni gli internauti italiani sono stati bersaglio di un’imponente e ben organizzata campagna di phishing. Nelle caselle di posta di migliaia di utenti sta arrivando un’email truffaldina che sembra provenire da Telecom Italia quando, in realtà, è stata preparata da un gruppo di criminali informatici con il preciso scopo di trarre in inganno gli ingenui destinatari.

Allegato all’e-mail c’è un file malevolo con una doppia estensione: l’utente più distratto potrebbe pensare di avere a che fare con un documento in formato PDF e invece si tratta di un pericoloso file eseguibile (.EXE) che, se avviato, provvede ad installare una variante del noto malware ZeuS.

Al momento in cui scriviamo sono ancora pochi i motori di scansione capaci di rilevare e bloccare la minaccia in grado di riconoscere e debellare la minaccia (Sophos, Malwarebytes, Bkav, Rising, Avast, Eset e Panda).

I suggerimenti sono i soliti e nonostante possano apparire monotoni in realtà rappresentano la chiave per difendersi dagli attacchi informatici:

• mantenere sempre un antivirus attivo ed aggiornato nel sistema;
• aggiornare costantemente il proprio sistema operativo con tutte le patch disponibili;
• installare software per la prevenzione di exploit complementari all’antivirus;
• controllare sempre attentamente gli indirizzi web prima di inserire dati personali o scaricare materiale eseguibile.

[ALERT] Falso aggiornamento di java in realtà è un malware

Da qualche settimana gira in rete un malware fatto tanto bene da poter indurre in errore anche un tecnico.

Ci riferiamo al falso aggiornamento java che appare improvvisamente mentre si naviga su un qualunque sito e in una schermata avvisa che la versione java installata sul PC è obsoleta e invita ad effettuare l’aggiornamento.

Se incappate in questa pagina non significa che il PC che state utilizzando sia già infetto, si sa che colpisce durante la navigazione anche smartphone e tablet e tutti i tipi di browser più comuni: Chrome, Firefox o Internet Explorer, Opera, Safari.

Naturalmente il nostro consiglio  è di prestare molta attenzione alle pagine che propongono questo tipo di aggiornamento. Se incappate in uno dei link dei siti sopraelencati, oppure vi sembra sospetto, chiudete la pagina per evitare problemi.

Al momento non è chiaro da dove provenga, ma in generale si tratta di un caso di hijacking che sfruttando un bug sul server di alcuni siti utilizza la tecnica del redirect per indurre l’ignara vittima a installare tutta una serie di pericolosi virus:

• jbdownloadup.com
• readloadja.com
• javabashen.com
• javaevd.com
• javagree2014.com
• javaupdatingonline.com
• javaonlined.com
•  javadaygood.com

Se per sbaglio avete già fatto click su un link del genere e usate un sistema operativo Microsoft Windows consigliamo l’utilizzo di Malwarebytes (meglio se in modalità provvisoria) per dare una pulita al vostro computer.

9 luglio l’apocalisse del web (!?!): istruzioni per evitare problemi con DNSchanger

Per chi ancora non ne fosse a conoscenza lunedì 9 luglio potrebbero esserci dei seri problemi in rete causati dallo spegnimento da parte dell’FBI dei server di backup che permettono a tutt’oggi a circa 300.000 PC e Mac (ma anche i router) infettati dal malware DNSchanger di entrare in rete.

L’8 novembre scorso con un operazione denominata “Ghost Click” l’FBI ha smantellato un’organizzazione criminale estone che ha creato una propria rete per veicolare virus e trojan ai PC infetti. Mentre la normale navigazione in internet avviene tramite una rete di server DNS che si preoccupano di risolvere i nomi dei dei nodi di internet (host) attraverso un database distribuito, una volta infettato il computer DNSchanger andava ad utilizzare dei server malevoli localizzati in Estonia, a New York e a Chicago che si occupavano di dirottare il traffico su siti particolari per succhiare informazioni (e denaro) e inoculare virus e trojan.

Il fatto è che dopo aver smantellato i server malevoli l’FBI, per evitare il blocco all’accesso ad internet di centinai di migliaia di utenti, è stata costretta dal tribunale di New York a mettere in piedi, insieme a un gruppo non profit, una serie di server alternativi che fino al 9 luglio (data in cui questi server verranno spenti) hanno “dirottato” il traffico generato dal malware su server controllati dalle autorità.

Il rischio effettivo è che lunedì siano in molti coloro i quali scopriranno di non avere più accesso alla rete visto che  tra quelle centinaia di migliaia di computer che si stima siano ancora infetti molti sono localizzati proprio in Europa: magari non sarà proprio l’apocalisse, ma vuoi mettere il disappunto di scoprire che proprio a te doveva capitare di non potersi collegare a internet (!?!).

Quello che possiamo fare per stare tranquilli è sapere se i nostri computer sono stati infettati dal malware e per farlo sono stati messi in campo dagli esperti dei semplici quanto efficaci strumenti di test e di fix. Continua a leggere →

Violato sito Utorrent.com: problema sicurezza client

Secondo la notizia diramata dal blog ufficiale di BitTorrent ieri il sito utorrent.com è stato violato. Il problema è stato corretto dopo qualche ora e il client è stato infettato con un malware (riconosciuto da Sofos come CXmal/FakeAV-A) che si spaccia per un antivirus per cui avesse recentemente scaricato µTorrent per Windows potrebbe trovarsi con una versione infetta.

Interessante l’idea degli hacker di utilizzare il noto client di P2P per propagare il loro software malevolo!

Spam in calo dell’80 percento

Magari qualcuno se nè pure accorto. Quelle maledettissime mail che affollano il nostro account offrendoci Viagra un tot al chilo o cavolate simili nelle ultime settimane si sono ridotte dell’80 percento…

Dalle statistiche diffuse in questi giorni da Symantec, pare che lo scorso mese di giugno erano in circolazione solo 39,2 miliardi di email di spam ogni giorno contro i 225 miliardi al giorno nel mese di giugno dello scorso anno.

A porre un deciso freno al fastidiosissimo fenomeno dello spam sono stati lo smantellamento della rete di spam Rustock e la chiusura del sito web Spamit (che da solo era responsabile di 75-100 miliardi di mail di spam giornaliere).

Ma secondo gli addetti ai lavori non sarebbero tutte rose e fiori. Continua a leggere →

Come usare Hijackthis

Impariamo a sfruttare un tool gratuito molto potente per proteggere il nostro PC dagli attacchi informatici.

Hijackthis è un software molto potente rilasciato gratuitamente dalla TRENDMicro, che permette di scansionare approfonditamente il proprio sistema analizzando i processi attivi alla ricerca di worms, trojan, malware e spyware, consentendo di capire se il PC è infetto e di rimuovere le chiavi di registro più frequentemente utilizzate dai virus creando automaticamente backup di sicurezza (rimuovere per sbaglio qualcosa non è un dramma se si ha una copia!).

Hijackthis NON cancella i virus dal PC ma evita che questi vengano lanciati al successivo riavvio.

Il programma si può evitare di installarlo utilizzando la versione Executable (al momento ver. 2.0.4, disponibile per tutte le piattaforme Microsoft Windows) e pesa pochissimo (nemmeno 400Kb), quindi lo si può portare facilmente con se in una chiavetta USB per utilizzarlo con comodo al momento del bisogno.

Ecco le istruzioni per utilizzarlo al meglio. Continua a leggere →