Infezioni Ransomware attraverso Flash

Con la presente Email Yoroi desidera informarLa di un nuovo vettore di attacco per la propagazione di Ransomware, in grado di infettare gli utenti attraverso la semplice navigazione web su siti malevoli o compromessi.

La scorsa settimana, Adobe ha pubblicato un aggiornamento di sicurezza sulle piattaforme Windows, Mac e Linux per correggere una nuova vulnerabilità di Adobe Flash Player sfruttabile da applet flash malevole per prendere il controllo della macchina. Questa vulnerabilità, identificata con il codice CVE-2015-3113, è stata immediatamente integrata all’interno dell’Exploit Kit Magnitude. Grazie a questa nuova funzionalità, Magnitude è attualmente utilizzato per scrivere applet capaci di scaricare il Ransomware CryptoWall e di eseguirlo sulla macchina vulnerabile. Per aumentare le probabilità di infezione, l’applet scarica due diverse versioni di CryptoWall eseguendo quella non identificata dall’antivirus.

A differenza del tradizionale vettore di attacco via email, dove l’utente deve eseguire volontariamente un allegato malevolo, questo nuovo approccio aumenta notevolmente il livello di rischio dell'organizzazione poiché l’utente può essere infettato semplicemente navigando su siti web malevoli o compromessi senza che nessuna interazione sia richiesta. Attualmente soltanto Internet Explorer su Windows 7 è vulnerabile a questo particolare attacco, ma si consiglia di installare l’aggiornamento di sicurezza per tutti i browser in tutti i sistemi utilizzanti Adobe Flash Player.

Applicare gli aggiornamenti di sicurezza, tuttavia, non è sufficiente. Anche avendo l’ultima versione dei plugin e del browser, il livello di rischio rimane potenzialmente elevato. Exploit simili per Adobe Flash Player sono molto frequenti e sono integrati all’interno dei principali Exploit Kit molto velocemente. Per questo motivo, Yoroi consiglia di adottare un approccio preventivo, abilitando la funzionalità “Click-To-Play” del browser. Questa funzione consente l’esecuzione delle applet previa autorizzazione dell’utente, impedendo l’infezione della macchina a seguito della navigazione su siti web malevoli o compromessi.

Riferimenti:

• Adobe Security Bulletin
• Update automatico del plugin flash del browser
• Analisi su Virus Total dell’applet generata con Exploit Kit Magnitude
• Analisi su Virus Total di una variante
• Guida su come abilitare il click to play

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati server. Yoroi consiglia di mantenere alto il livello di consapevolezza dei vostri utenti, avvisandoli periodicamente delle minacce in corso e di l'utilizzare di un team di esperti per salvaguardare la sicurezza del perimetro "cyber".

Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index