domenica 5 aprile 2020

Check Point: picco dei falsi domini Zoom e file dannosi, ma non solo


Con l’emergenza COVID-19 e la quarantena, piattaforme di videochat e videoconferenza hanno riscosso un enorme successo. In questi giorni di smartworking, di lezioni da casa e videochiamate con gli amici o con i propri cari, le piattaforme come Zoom sono a rischio. Per molte aziende, Zoom è la piattaforma di videoconferenza preferita in un’epoca di isolamento sociale. Oltre al video e all’audio standard, Zoom è anche ricco di utili funzioni che lo rendono ideale per la scuola e l’azienda, nonchè l’organizzazione di riunioni con i team di lavoro. E’ possibile condividere lo schermo, inviare messaggi al gruppo e persino inviare file e  immagini dal proprio servizio cloud preferito.

Check Point Research, la divisione Threat Intelligence di Check Point® Software Technologies Ltd., il principale fornitore di soluzioni di cybersecurity a livello globale, ha osservato un notevole aumento del numero dei domini con la parola “Zoom”, registrati nell'ultima settimana. Dall’avvento della pandemia COVID-19 a gennaio, sono stati documentati 1.700 nuovi domini contenenti la parola “Zoom”: il 25% (425 domini) dei quali sono stati registrati solo negli ultimi 7 giorni, Check Point Software ritiene che 70 di questi siano sospetti. I numeri rafforzano la tendenza degli hacker che approfittano dei milioni di impiegati che ora lavorano da casa attraverso Zoom, il popolare servizio di videoconferenza utilizzato da oltre il 60% delle aziende Fortune 500.

Inoltre, Check Point Research ha rilevato nuovi siti web di phishing per ciascuna delle principali applicazioni di comunicazione, tra cui googloclassroom\.com e googieclassroom\.com, che imitano il sito ufficiale di classroom.google.com. Check Point Research ha rilevato anche file dannosi denominati “zoom-us-zoom_##########.exe”. L’esecuzione di questi file porta all’installazione del noto InstallCore PUA sul computer della vittima, che potrebbe portare potenzialmente all’ulteriore installazione di software dannosi. InstallCore è un’applicazione indesiderata che installa altre applicazioni e minacce sul computer della vittima. InstallCore apporta modifiche al registro di Windows e può risultare difficile da rimuovere a causa di varie strategie.

InstallCore non è tecnicamente un virus ma un programma potenzialmente indesiderato (PUP). InstallCore può anche raccogliere informazioni specifiche dell’utente senza il suo consenso. “Stiamo vedendo un forte aumento del numero di domini registrati con la denominazione Zoom, soprattutto nell'ultima settimana. Il recente e sconcertante aumento significa che gli hacker hanno preso atto del cambiamento del modello di lavoro che il COVID-19 ha imposto, e lo vedono come un’opportunità per attirare, ingannare e sfruttare. Ogni volta che si riceve un link di Zoom o un documento inviato tramite messaggio, io darei un'occhiata in più per assicurarmi che non sia una trappola”, ha spiegato Omer Dembinsky, Manager of Cyber Research di Check Point Software.


I primi problemi di sicurezza per Zoom risalgono a novembre 2018 quando è stata scoperta una pericolosa vulnerabilità (CVE-2018-15715) che consentiva a un utente remoto malintenzionato non autenticato di controllare determinati aspetti in una riunione Zoom attiva. Nel gennaio 2020, Check Point Research ha pubblicato un report che mostra una falla di sicurezza all’interno di Zoom. La ricerca ha mostrato come un hacker possa ascoltare le chiamate via Zoom generando e indovinando numeri casuali assegnati agli URL delle conferenze call. Di conseguenza, Zoom è stata costretta a correggere la falla e a modificare alcune delle sue caratteristiche di sicurezza, come l’obbligo di proteggere automaticamente le riunioni programmate con una password.

Tra i problemi di sicurezza affrontati da Zoom c’è l’ondata di “Zoombombing”, quando i partecipanti non invitati interrompono la riunione al fine di creare confusione, spiare le conversazioni o registrare i video per poi diffonderli online. Check Point Software raccomanda i seguenti consigli di sicurezza per la protezione contro i tentativi di phishing via Zoom: • Usare prudenza con e-mail e file ricevuti da mittenti sconosciuti. La cura per il Coronavirus non arriverà via e-mail. • Non aprire allegati sconosciuti e non cliccare sui link nelle e-mail. • Prestare attenzione ai domini ingannevoli, agli errori di ortografia nelle e-mail e nei siti web e ai mittenti sconosciuti. • Proteggere la propria azienda con un’architettura IT olistica, end-to-end, per prevenire attacchi zero-day.

L’uso di Zoom è aumentato rapidamente da quando è cominciata l’emergenza da coronavirus, superando di gran lunga quello che l’azienda si aspettava. Ciò include oltre 90.000 scuole in 20 paesi che hanno aderito alla sua offerta per aiutare i ragazzi a continuare la loro istruzione da remoto. Per mettere questa crescita nel contesto, alla fine di dicembre dello scorso anno, il numero massimo di partecipanti alla riunione giornaliera, sia gratuiti che a pagamento, condotti su Zoom era di circa 10 milioni. Nel marzo di quest’anno, ha raggiunto oltre 200 milioni di partecipanti alla riunione giornaliera, sia gratuiti che a pagamento. A Zoom lavorano 24 ore su 24 per garantire che tutti i suoi utenti, nuovi e vecchi, grandi e piccoli, possano rimanere in contatto e operativi.

Check Point Research fornisce informazioni di intelligence sulle minacce informatiche ai clienti di Check Point Software e alla più grande comunità di intelligence. Il team di ricerca raccoglie e analizza i dati globali sugli attacchi informatici archiviati su ThreatCloud per tenere a bada gli hacker, garantendo al contempo che tutti i prodotti Check Point vengano aggiornati con le ultime protezioni. Il team di ricerca è composto da oltre 100 analisti e ricercatori che collaborano con altri fornitori di sicurezza, forze dell’ordine e vari CERT. Check Point Software è un fornitore leader di soluzioni di sicurezza informatica per i governi e le aziende di tutto il mondo. Le sue soluzioni proteggono i clienti dagli attacchi informatici, malware, ransomware e altre tipologie di minacce.



Nessun commento:

Posta un commento

Related Posts Plugin for WordPress, Blogger...