giovedì 27 settembre 2018

Marchionne, Musk.. tutti investono in Bitcoin-code?

Da qualche giorno Facebook mi bombarda di pubblicità su Marchionne ed Elon Musk, che, chi prima di morire (il primo) e chi prima di abbandonare Tesla (il secondo) avrebbero investito ingenti capitali in una nuova società, rivoluzionaria per l'intera umanità: BitCoin-Code o BTC-Profit-Italy:




Tutte le varie pubblicità puntano ad articoli scritti in lingua italiana che sostanzialmente si riferiscono alla stessa pseudo notizia (esempio: link 1 , link 2): un sistema di investimento rivoluzionario, basato su intelligenza artificiale e transazioni automatiche capaci di indivinare l'87% delle previsioni, consentendoti di guadagnare immediatamente ingenti somme di denaro. Lo scopo della società, però, viene presentato come umanitario, perché questi due illustri personaggi non hanno investito i loro capitali per vederli fruttare, bensì per investire in una startup che rivoluzionerà l'umanità, che promette di ridistribubire la ricchezza nel mondo:
Esattamente cosa è Bitcoin Code? Bitcoin Code è una financial technology con un piano di redistribuzione del capitale mondiale. Praticamente attingere dallo 0.1% dai più ricchi e darlo indietro al restante 99.9%. Sergio aveva capito che la ricchezza non è equamente distribuita nel mondo, e per quanto sapesse che ci sarebbero sempre stati ricchi e poveri, immaginava che la situazione sarebbe stata sempre meno tollerabile da parte delle classi più povere, con lo 0.1% che controlla più o meno il 90% della ricchezza mondiale. Marchionne stimava di poter riuscire ad abbassarla a circa il 20% senza causare una crisi finanziaria globale. Tradotto in parole semplici: cosa significa per te, una normale persona di classe media o bassa? Significa che diventeresti 2-3 volte più ricco, e nessuno oltre i "super-ricchi" ne sarà influenzato. Sembra fantastico, vero?
Ok, questa è la teoria, ma come funzionerà? vi starete domandando. In generale, l'idea è semplice. Lo 0.1% più ricco ha la propria fortuna investita in shares, che vengono gestite per conto loro da broker di Wall Street. L'idea è di battere i mercanti di Wall Street al loro stesso gioco - di fare soldi nel business di Wall Street, in maniera tale che, lentamente ma sicuramente, l'enorme ricchezza inizi a diminuire. come in una partita di poker, dove un nuovo giocatore arriva al tavolo più grande e inizia a vincere.

Entrambi gli articoli di esempio, poi, cercano di dare più credibilità al tutto proponendo un'intervista a chi viene presentato prima come fondatore (Martin Reed) e poi come direttore tecnico (Robert Drijver ), ma che, in foto, è sempre la stessa persona, così come lo psuedo ex trader che fornisce la propria esperienza (Toon Vandamme o Matthew Anderson):



Abbiamo tutte le carte in regola per sensibilizzare le masse: presunto scopo umanitario dell'investimento, contrapposizione fra ultra ricchi e resto del mondo, testimonials d'eccezione, visionari come Marchionne e Musk e soprattutto possibilità di investimenti minimi con alta remunerazione del capitale, et voilà: la truffa è servita!

Ma se non credo ci sia bisogno di spendere ulteriori parole per smascherare la palese truffa, di cui vi invito a fare segnalazioni a Facebook ogni volta che vi appare come annuncio sponsorizzato, voglio dedicarmi a cosa succede dopo: entrambe le pagine, cliccando sui link che espongono, veicolano l'utente verso una pseudo pagina di registrazione tipo questa hxxps://pro-net-system.com/Bitcoin-IT/ nella quale ho inserito dati falsi pur di riuscire ad andare avanti. Dopo 2 differenti registrazioni, arrivo a quella che sembrerebbe una home page di un servizio di trading online che condivide la stessa grafica, ma ha due nomi diversi a seconda del sito da cui provengo:
Una volta che siamo registrati ed abbiamo avuto accesso alla nostra home, il malcapitato innanzitutto selezionerà la propria lingua e poi cercherà di capire come si investe. Dalla home abbiamo 2 opzioni che potrebbero solleticare l'immaginazione: fare una prova registrando un nuovo conto oppure depositare delle somme. Sono sicuro che anche chi abbia finora creduto alla reale opportunità di investimento voglia fare delle simulazizoni prima di investire del vero denaro e così, come lui, anche io ho scelto per l'opzione conto di prova e così, scelta la leva finanziaria mi vengono assegnate le password di prova e vengo rediretto ad un altro sito, un vero desktop di trading online basato sulla piattaforma mql5:


Dopo una prova vi potrebbe venir voglia di passare al secondo step, quello cioè di inserire i dati finanziari per effettuare un reale trasferimento di fondi... Ecco, non fatelo!


lunedì 18 dicembre 2017

Windows 10 e Onedrive: come disfarsene

Windows 10 si sa è invasivo, vuole a tutti i costi che l'utente si integri con i vari tool Microsoft tra cui OneDrive, con cui ha un sodalizio difficile da rompere. Così capita che anche quando si è disinstallata l'applicazione di OneDrive, essa continui ad apparire nel menu ad albero di esplora risorse come semplice icona vuota... E' vero, non darebbe fastidio, ma se la si volesse rimuovere?

Ecco una semplice procedura testata su Windows 10 PRO 1709 (Fall Creator Update), ma che dovrebbe andare bene anche su altre versioni e precedenti build.

Aprite il registro di sistema con i provilegi di amministratore (cercate regedit ed eseguitela con il tasto destro cliccando su Esegui come amministratore), poi aprite il sequende percorso:

HKEY_CLASSES_ROOT\CLSID\{018D5C66-4533-4307-9B53-224DE2ED1FE6}

Sulla parte destra troverete la chiave System.IsPinnedToNameSpaceTree che ha il valore 1. Mettetela a 0 e chiudete il registry.

Et voilà, OneDrive è scomparso!


mercoledì 8 giugno 2016

Phishing: tentativi di rubare crdenziali accesso hosting Aruba

Segnalo questa mail in cui qualche malintenzionato prova a rubare le credenziali di accesso del vostro dominio su Aruba

Il mittente è un indirizzo valido di Aruba, ovvero comunicazioni[at]staff.aruba.it e tutta la mail è ben confezionata. L'unico errore evidente è nell'oggetto della mail, che presenta un italiano poco credibile. 

Cliccando sul link contenuto nella mail, si arriva ad una pagina clone della schermata di login per il servizio hosting di Aruba (vedi seguito) che però è ospitata al seguente indirizzo: hxxp://www.genioman.it/aruba/Logon.html. Server, questo chiaramente compromesso. 


Il clone è ben fatto, tranne per il captcha che risulta assente. Una volta inserite delle pseudo credenziali, il finto sito vi rimanda alla pagina ufficiale di Aruba. 


venerdì 13 maggio 2016

Ramsonware fight: fake SDA mail will deliver you a virus..

Hi guys,
during last months I tried to help a lot of friends to fight several ramsonware infections, but I never saw a real fake email and how the attack is done.

Today, one of my mail addresses has received an email from someone who is presenting as SDA.
Here how the email looks like




At the first look, the email seems safe (obviously only if you really wait for some gift :) ), but after just reading few words, you can easily understand that the email has been translated with an automatic tool.
Ok, this is fake, but I want to go deep into the matter.

The sender: the sender is not SDA, of course, but it is a real address coming from italian institute. Someone has been comprimesed there.

Email content: all the active content of the email come from a compromised russian server
where are hosted the images of the fake email and the redictor to the fake SDA courrier page. Example  (BE CAREFUL):

hxxp://podboika.ru/vNq1MzUKiYwQ/yZXbPmC1s9p5FN6.php?id=xxxxx

That link will redirect to a fake SDA page where theorically you should download your tracking number (BE CAREFUL):
hxxp://c4zj.sdaexpress-italia24.org/tduw.php?id=ZnVja3lvdUBmdWNrLnJ1 (the address changes)
Nothing to say, really they did a fantastic clone of the SDA site and all the links point to the real SDA site, except 1: the download button ("SCARICA").  It downloads from the same server a zip file called spedizione_13952.zip, containing an obfuscated javascript file having the same name. You can take a look of the code here.


Of course, I have not the time to deobfuscate the whole code, but using some tricks I'm able to decrypt the string of some routines and I found the links where the real malware is hosted (BE CAREFUL):

function xHkt() {
    var yIlLgr = "hxxp://ofnar.is/1.exe";
    return yIlLgr;
}
function tGJ() {
    var OSLQYzU = "hxxp://probst-elektro.ch/media/1.exe";
    return OSLQYzU;
}
At the time when I'm writing this post, the file 1.exe is still not recognized as a virus and Kaspersky says that it is safe!!
But I know that it is not the truth!!

So, let's have a safe look on the file 1.exe. To do that I've used the free service for the automatic malware analysis provided by hybrid-analysis.com and here is the full report.

Conclusion: be careful and don't trust the internet!