Come evolvono i malware per aggirare gli antivirus, sfruttando Google


Gennaio 26, 2019 Facebook Twitter LinkedIn Google+ ALLERTA PERICOLI INFORMATICI



Allerta Pericoli Informatici : scarica la nostra app e rimani sempre informato :


Servizio di Allerta Pericoli Informatici

Come evolvono i malware per aggirare gli antivirus, sfruttando Google
Due gruppi di ricercatori scoprono nuovi trucchi con cui i malware eludono controlli di sicurezza e analisi. A base di Google Drive e sensori di movimento.
Google (foto: Wired.it)
La criminalità si evolve, a volte usando l’astuzia, a volte la tecnologia, a volte entrambe. Non è dunque strano che un paio delle più recenti minacce informatiche basino il loro funzionamento su un trucchetto tecnico e uno più psicologico. Al centro, però, lo stesso protagonista: Google.

Il sistema C&C
Forse saprete che una delle più ricorrenti e temibili minacce informatiche è il trojan, vale a dire un software malevolo che ha la capacità di prendere possesso del dispositivo della vittima che infetta. Di fatto, il trojan agisce come una sorta di passe-partout che, una volta attivato, regala l’accesso e il controllo del computer, o dello smartphone, al criminale informatico di turno.

Il malvivente, se le cose vanno come spera, si ritrova di fronte a una sorta di centralina con cui può gestire buona parte delle funzionidell’apparecchio. Per questo motivo, la tecnica di controllo è definita Command & control, o C&C per gli amici. Significa che il criminale, da remoto, ha potere di vita e di morte sui dati della vittima.

Ecco perché il trojan è il software d’elezione di un attacco Apt (Advanced persistence threat), cioè un attacco informatico che viene perpetrato per un periodo di tempo piuttosto lungo. Il criminale, o di solito il gruppo criminale, installa un trojan nei sistemi desiderati, e da quel momento puòentrare e uscire come si trattasse di un suo computer, per giorni, settimane, a volte anche mesi.

Effettuare un attacco Apt non è cosa semplice e richiede molte risorse, tanto che i gruppi criminali che ne sono responsabili sono pochi e ciascuno si distingue con un proprio nome.
No, le star di YouTube non ti hanno scritto: quell’email è una truffa
Uno dei più noti è Dark Hydrus Apt, specializzato in attacchi verso il Medio Oriente, che sfrutta abitualmente il trojan RogueRobin. Si tratta di un malware molto furbo, che si attiva dopo che la vittima apre un file Excel confezionato ad hoc.

A quel punto, viene trasferito un file Txt malevolo nella cartella dei file temporanei di Windows, nel computer della vittima, e tramite questo lancia il trojan vero e proprio.

Dal Dns a Google Drive
RogueRobin è dotato di funzioni avanzate, come per esempio la capacità di individuare se viene controllato in un ambiente sandbox (in pratica, un ambiente isolato in cui un file sospetto viene analizzato senza possibilità che infetti il sistema), senza considerare la capacità di scambiare dati e comandi col criminale attraverso la tecnica del Dns Tunneling, che di fatto rende molto difficile individuare la minaccia informatica.

I ricercatori di 360 Threat intelligence center e di Palo Alto Networks hanno scoperto di recente che la nuova versione di RogueRobin, in alternativa al Dns Tunneling, è in grado di sfruttare niente poco di meno che Google Drive. Semplificando, il malware è in grado di caricare e scaricare file, contenenti informazioni e comandi da scambiare coi criminali, dal noto sistema cloud di Google. Il che aumenta le possibilità di farla franca.

Col sensore è meglio
Se questo rappresenta un esempio di evoluzione dei malware dal punto di vista della centrale di comando, quindi l’ultimo anello della catena, eccone uno che invece si rivolge al primo anello. Ci arriva dai ricercatori di Trend Micro, che hanno scoperto due app malevole, presenti fino a qualche giorno fa nello store di Android, capaci di sfruttare il sensore di movimento per mascherarsi. I loro nomi sono Currency Converter e BatterySaverMobi. Dopo essere state installate agevolano l’infezione tramite il trojan Anubis, specializzato in frodi bancarie.

Ma dove sta il trucco diabolico? Dovete sapere che quando dei ricercatori analizzano le app del Google Play Store lo fanno utilizzando degli emulatori. Dei programmi, cioè, che emulano il funzionamento di uno smartphone all’interno del computer di analisi. Va da sé che, trattandosi a tutti gli effetti di un computer e non di un vero smartphone, questo non utilizza alcun sensore di movimento. I ricercatori studiano con calma ogni app e, appena vedono un comportamento sospetto nell’emulatore, la segnalano, ottenendone la rimozione.

Queste due app, però, fanno un giochetto sporco: attivano le funzioni malevole solo se ricevono dati dal sensore di movimento. In questo modo, possono distinguere se si sono state installare in un vero smartphone o in un computer d’analisi. Va da sé che, da oggi, dopo la segnalazione di Trend Micro, ai ricercatori basterà inviare alle varie app che studiano dei dati di movimento farlocchi, per accertarsi che alcune di loro non sfruttino questo trucco.

Resta il fatto che, qualunque sia la tecnologia messa a punto per proteggerci anche da minacce di questo tipo, tutte, o quasi, si basano sempre sulla partecipazione inconsapevole della vittima. Un clic su un file Excel, l’installazione di un’app, il cedere alle lusinghe di una o uno spasimante finto. Occhio.

Come evolvono i malware per aggirare gli antivirus, sfruttando Google

Servizio di Allerta Pericoli Informatici

Alcuni dei Nostri Servizi più richiesti :

Copia Autentica Pagina Web

Copia Autentica Pagina Web

Il nostro studio fornisce un servizio professionale di autenticazione o copia conforme con valore legale di una pagina web o di una pagina di un social network per ogni tipo di contenuto ( testi, immagini, commenti, video, audio, tag ... ) che viene acquisito in modalità forense.

Denuncia per diffamazione su internet o sui social

Il nostro studio fornisce un servizio professionale di supporto e raccolta di prove informatiche con valore legale per effettuare una denuncia per diffamazione su internet o sui social network

MONITORAGGIO DELLA REPUTAZIONE ONLINE PERSONALE E AZIENDALE

La nostra società è in grado di offrirvi il Migliore Servizio di Monitoraggio sul web per tutelare la vostra reputazione personale e/o aziendale.

Servizio professionale per la rimozione di recensioni negative

Il nostro studio fornisce un servizio professionale anche di supporto legale per la rimozioni di recensioni online negative, offensive o comunque inappropriate (recensioni negative su tripadvisor, google ...)

I segreti della Truffa online : come smascherare un truffatore

Questa sezione del nostro portale di assistenza sui rischi informatici desidera offrire un aiuto a tutti coloro che sono stati vittima di una truffa online o hanno il sospetto di avere a che fare con un truffatore.

Certificazione Chat WhatsApp anche da Remoto

La certificazione di una chat WhatsApp che conferisce ad un messaggio ricevuto il valore di una prova legale, può essere eseguita anche da remoto da uno studio di informatica forense ( ricordiamo che uno screenshot non è ritenuto una prova valida ai fini legali ).

Soluzioni Backup per tutte le esigenze anche con criptazione dati

La nostra società offre un servizio completo per le esigenze di backup di privati ed aziende. Lasciatevi consigliare dai Professionisti del Backup per conservare i vostri dati sempre al sicuro e protetti con le migliori tecnologie a disposizione in ottemperanza dei nuovi decreti in materia di protezione dei dati personali ed in osservanza a tutte le normative europee vigenti, anche con crittografia end-to-end per salvaguardare il valore dei vostri contenuti.

Estorsione o ricatto sessuale online : cosa fare e cosa non fare

Il nostro studio fornisce un servizio professionale con assistenza legale nei casi di estersione o ricatti online



Rss Feeds: