Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Cyber-crminali lanciano degli attacchi multipli utilizzando una singola email.
- LUNEDÌ 3 OTTOBRE 2016

English version here: http://bit.ly/2dBwOKO


La caratteristica principale dei cyber criminali è la loro incapacità di restare inattivi. Si danno continuamente da fare per migliorare i loro “giocattoli” e creare nuovi metodi per catturare nuove prede.  Giusto qualche giorno fa, i Laboratori Quick Heal hanno individuato un nuovo tipo di attacco in cui è stato utilizzato un nuovo exploit open source chiamato “CVE-2016-0189” per Internet Explorer.  In questa campagna dannosa, i cryber-criminali  hanno utilizzato più exploit di Microsoft Office e Internet Explorer nella stessa email, invece di inviare più email per diversi tipi di exploit. Questa campagna era attiva ad Agosto 2016 ed è stata creata per colpire alcune organizzazioni private in giro per il mondo. 

Qual è la ragione che sta dietro all'utilizzo di più exploit in una sola email?
Lo scopo di questa campagna è quello di incrementare il tasso di successo dell’exploit e dell’esecuzione del malware sul computer della vittima grazie alle vulnerabilità congiunte di Internet Explorer e Microsoft office. 

Un mix di differenti exploit per raddoppiare i danni. 
In questa campagna, gli attaccanti hanno messo insieme un  exploit di Internet Explorer (CVE-2016-0189) con alcuni vecchi exploit di Microsoft Office (‘CVE-2012-0158’ e ‘CVE-2015-2545’). Questo è stato fatto per incrementare le probabilità di esecuzione del malware. 

Come comincia questo attacco?
La vittima riceve una email contenente vari allegati, di solito con le estensioni “.html” e “.doc”. 
Se il computer sul quale si riceve l’email ha installata una versione senza patch (o non aggiornata) di Microsoft Office o Internet Explorer, l’apertura degli allegati comporterà l’exploit delle vulnerabilità di queste applicazioni: il malware verrà scaricato ed eseguito sulla macchina della vittima. 


Sia l’exploit RTF che quello HTML scaricano il playload del malware dallo stesso URL. 
Alcuni degli URL usati per scaricare il malware sono: 
  • hxxp://www.pgathailand.com/overnight[.]exe
  • hxxp://maxcoffe.co/famozsymboss[.]exe
  • hxxp://ksmovement.pl/ComCom[.]exe

Quick Heal ha rilevato il download dei malware con i nomi “TrojanPWS.ZBot” e “Trojan.Dynamer”: sono progettati per rubare informazioni sensibili  immagazzinate nella macchina infetta e possono inoltre scaricare e installare altre componenti del malware. 

Come stare al sicuro contro questi attacchi:
  1. Installare tutti gli aggiornamenti di sicurezza per il sistema operativo del computer e per tutti i programmi presenti (Adobe, Java, i Browser).
  2. Non cliccare su link e non scaricare allegati che arrivano da utenti indesiderati o in imprevisti.
  3. Se le email sembrano arrivare da contatti conosciuti, è consigliato chiamare il soggetto interessato e verificare la situazione direttamente.
  4. Installare un antivirus che da una protezione multi-livello. Dovrebbero avere una funzione di Email Security in grado di bloccare email false, infette e di phishing. Inoltro dovrebbe anche avere una funzione di Web Protection in grado di bloccare automaticamente l’accesso ai siti web che potrebbero essere infetti da malware. 
Scaricate il PDF qua sotto per avere l'analisi tecnica dell'analisi (English version)



Leggi tutte le news     |     Leggi tutti gli update
Ultime news

GIOVEDÌ 14 OTTOBRE 2021
Quick Heal: report 2° trimestre 2021 sulle minacce informatiche. Le minacce per Android
Il report trimestrale fornisce una panoramica dei rischi informatici più pericolosi e diffusi nel 1° trimestre 2021. Si divide in due sezioni, una per Windows e una per A...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Leadership
Premi & Certificazioni
Scheda riepilogativa
Clienti
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482
Telefono: 055430352

© 2021 nwk - Privacy Policy - Cookie Policy - Login