Apr 16, 2024 Marina Londei Approfondimenti, Attacchi, Malware, News, RSS 0

---

LockBit continua a colpire le organizzazioni di tutto il mondo, evolvendosi rapidamente. In seguito a un recente incidente, il team Kaspersky Global Emergency Response ha individuato una variante del ransomware che ha dimostrato funzionalità di auto-propagazione. 

La variante ha utilizzato feature finora inedite che, in caso di successo, possono creare un “effetto valanga” incontrollato capace di diffondere il malware nella rete aziendale. La nuova versione del ransomware riesce a diffondersi autonomamente attraverso la rete usando credenziali con privilegi elevati ed è in grado di disabilitare Windows Defender, la crittografia delle condivisioni di rete e cancellare Windows Event Logs per nascondere la propria attività.

Il nuovo LockBit ha inoltre presentato alcune funzionalità adattive che gli permettono di adattarsi alle configurazioni specifiche dell’architettura aziendale della vittima, per esempio infettando solo determinati tipi di file o un certo gruppo di sistemi. Kaspersky ha anche scoperto che gli attaccanti hanno usato lo script SessionGopher per individuare e rubare le password salvate per le connessioni remote nei sistemi compromessi.

“Il builder LockBit 3.0 è apparso nel 2022, ma gli aggressori lo utilizzano ancora attivamente per creare versioni personalizzate e non richiede competenze di programmazione avanzate. Questa flessibilità consente agli avversari di migliorare l’efficacia dei propri attacchi, come dimostra il recente caso. Inoltre, rende questo tipo di attacchi ancora più pericolosi, considerando l’aumento della frequenza delle fughe di credenziali aziendali” ha dichiarato Cristian Souza, Incident Response Specialist, Kaspersky Global Emergency Response Team.

L’attacco in questione ha colpito un’organizzazione dell’Africa occidentale, in Guinea-Bissau, ma gli incidenti di sicurezza che coinvolgono LockBit, anche senza le ultime funzionalità, si verificano regolarmente in vari settori e aree geografiche.

Per proteggersi dagli attacchi ransomware e mitigare le conseguenze Kaspersky consiglia di implementare un programma di backup regolari e implementare soluzioni di sicurezza efficaci per la protezione degli endpoint e la ricerca proattiva delle minacce. Le organizzazioni dovrebbero inoltre disabilitare servizi e porte inutilizzati e mantenere i software sempre aggiornati.

---

---

---

https://www.securityinfo.it/2024/04/16/scoperta-una-nuova-variante-di-lockbit-in-grado-di-auto-propagarsi/?utm_source=rss&utm_medium=rss&utm_campaign=scoperta-una-nuova-variante-di-lockbit-in-grado-di-auto-propagarsi

Apr 11, 2024 Marina Londei Attacchi, News, RSS 0

---

Il pericolo dell’IA usata dal cybercrimine si sta facendo sempre più reale: i ricercatori di Proofpoint hanno individuato uno script Powershell malevolo che sembra essere stato generato da un chatbot.

A marzo i ricercatori hanno scoperto una campagna di phishing del gruppo TA547 che distribuiva il malware Rhadamanthys, un information stealer utilizzato da molti gruppi cybercriminali. Gli attaccanti hanno colpito numerose organizzazioni tedesche inviando email dove si fingevano agenti di Metro, una multinazionale, che chiedevano approfondimenti relativi a fatture.

I messaggi contenevano un file ZIP protetto da password che conteneva un file LNK. Una volta eseguito, il file attivava la Powershell per eseguire uno script remoto. Lo script decodificava il file in Base64 di Rhadamanthys, lo caricava in memoria come assembly e poi eseguiva l’entry point dell’assembly; in questo modo, il malware poteva essere eseguito senza permanenza su disco.

Analizzando lo script Powershell, i ricercatori sono giunti alla conclusione che è altamente probabile che sia stato scritto dall’IA: lo script includeva una serie di commenti molto specifici e grammaticalmente corretti che spiegavano il funzionamento dei singoli componenti e funzioni, caratteristiche tipiche degli output dei chatbot.

La campagna individuata da Proofpoint è un’indicazione importante di come il panorama del cybercrimine si sta evolvendo per integrare sempre di più l’IA nelle sue attività. I chatbot possono aiutare i cybercriminali a eseguire attacchi sofisticati e modificare velocemente il funzionamento dei malware; inoltre, anche chi ha poche conoscenze di programmazione può realizzare attacchi con poco sforzo.

L’intelligenza artificiale ha il potenziale di rendere inefficaci le difese attualmente in atto. Nel caso specifico di TA547 lo script, verosimilmente creato con l’IA, è stato usato solo per distribuire l’information stealer e non per modificare il comportamento del malware; ciò ha permesso ai tool di sicurezza di individuare e fermare il malware.

I tool di IA, però, stanno evolvendo rapidamente e il cybercrimine può usarli a suo vantaggio per realizzare malware più efficaci capaci di modificare il proprio comportamento in base alle difese e alle configurazioni del dispositivo colpito. I casi di intelligenza artificiale usata per gli attacchi informatici saranno sempre più frequenti, e ciò conferma la necessità di definire controlli più severi per limitare i rischi derivanti da usi impropri.

---

---

---

https://www.securityinfo.it/2024/04/11/ta547-ia-script-powershell-distribuire-malware/?utm_source=rss&utm_medium=rss&utm_campaign=ta547-ia-script-powershell-distribuire-malware

Apr 09, 2024 Marina Londei Attacchi, News, RSS 0

---

I ricercatori di Proofpoint hanno individuato numerosi canali YouTube che distribuivano malware pubblicizzando il download di videogiochi craccati e piratati.

I video incriminati spiegavano agli utenti come scaricare e installare il gioco, ma i link presenti in descrizione scaricavano in realtà information stealer, tra i quali Vidar, StealC e Lumma Stealer. Molti account che avevano caricato i video sono stati compromessi o acquistati da utenti legittimi, ma ci sono anche casi in cui gli account erano stati creati esclusivamente per distribuire i malware e sono rimasti attivi per poche ore.

Questo metodo di distribuzione dei malware non è nuovo, ma i ricercatori sottolineano che in questo caso gli attaccanti hanno scelto di colpire utenti molto giovani condividendo link per scaricare giochi molto popolari tra i più piccoli, in alcuni casi anche bambini, quindi gruppi di persone che fanno più fatica a identificare contenuti sospetti.

Gli account malevoli hanno insospettito i ricercatori perché gli ultimi video pubblicati erano molto diversi dai precedenti, sia per la lingua usata, che per il contenuto e la descrizione. In alcuni casi gli account erano verificati, ma non pubblicavano video sulla piattaforma da molto tempo.

In un caso specifico, la maggior parte dei video dell’account erano stati pubblicati oltre un anno fa ed erano tutti in thailandese, mentre gli ultimi video (12) erano stati caricati tutti nell’arco di 24 ore e si riferivano a crack per videogiochi e software popolari.

Nella descrizione di uno dei video c’era un link MediaFire che portava al download di un archivio .rar con un eseguibile che, una volta eseguito, installava il malware Vidar Stealer. In altri casi i link rimandavano a dei canali Telegram o Discord con le istruzioni per scaricare il presunto gioco.

I video che diffondevano link malevoli hanno in media più di 1.000 visualizzazioni l’uno, anche se i ricercatori ritengono che il numero sia stato aumentato facendo uso di bot.

“Al momento Proofpoint non ha visibilità su come gli account YouTube identificati possano essere stati compromessi e YouTube è stato rapido nel rimuovere gli account segnalati dal team di ricerca” hanno spiegato i ricercatori.

Di recente, lo scorso gennaio, i ricercatori di FortiGuard Labs avevano individuato una campagna simile che sfruttava i video di YouTube per distribuire una variante dello stealer Lumma. Come sempre, per proteggersi da questi attacchi è consigliato non scaricare software e altri contenuti da fonti non ufficiali. 

---

---

---

https://www.securityinfo.it/2024/04/09/canali-youtube-malware-software-piratati/?utm_source=rss&utm_medium=rss&utm_campaign=canali-youtube-malware-software-piratati

Apr 04, 2024 Marina Londei Approfondimenti, Hacking, In evidenza, Minacce, RSS 0

---

I consumatori sono preoccupati dalle nuove minacce informatiche, soprattutto ora che i cybercriminali hanno cominciato ad adottare l’intelligenza artificiale per sferrare i loro attacchi.

Secondo il Report Consumer Cybersecurity Assessment 2024 di Bitdefender, sondaggio condotto su più di 7.000 consumatori in Australia, Francia, Germania, Italia, Spagna, Regno Unito e Stati Uniti, la maggior parte degli utenti (67%) è preoccupata per la sicurezza e la privacy dell’intelligenza artificiale. In Italia questa percentuale scende al 49%. I consumatori temono che le tradizionali normative sulla protezione dei dati non siano in grado di risolvere le preoccupazioni in merito all’archiviazione, all’uso e all’accesso ai dati.

Il 48% degli intervistati si è detto preoccupato della possibilità che i criminali informatici possano accedere alle loro finanze tramite i dispositivi personali, e il 17% teme per il furto di identità. Il 78% degli utenti, anche in Italia, ha dichiarato di usare un dispositivo mobile per effettuare transazioni sensibili, ma il 45% di essi non usa alcun tipo di sicurezza mobile. Il 38% degli intervistati si fida della sicurezza iOS e Android, mentre un 23% ha dichiarato di non sapere che esistono soluzioni di sicurezza per dispositivi mobile.

Quasi un quarto degli intervistati (24%) ha dichiarato di aver subito uno o più incidenti di sicurezza nell’ultimo anno. Tra i Paesi coinvolti nel sondaggio, l’Italia ha registrato la percentuale più bassa, il 16,14%. Il 37,5% degli intervistati di età compresa tra i 16 e i 24 anni ha dichiarato di aver subito un incidente di sicurezza, rispetto ad appena l’11,9% degli intervistati di età superiore ai 55 anni.

A minacciare maggiormente i consumatori sono le truffe via SMS, sperimentate dal 45,4% degli intervistati, seguito dai tentativi di frode (44%), dalle email di phishing (42%), dall’esposizione dei dati (27,5%), dalle infezioni malware (18,3%) e dal doxing (9,7%). L’Italia è uno dei Paesi che ha registrato il maggior numero di tentativi di phishing. Le infezioni malware sono state segnalate soprattutto tra i 35 e i 44 anni, il che suggerisce che i Millennials sono più inclini a scaricare software non ufficiali.

Il sondaggio riporta inoltre che il 35,7% degli intervistati gestisce da 6 a 10 account online, tra siti di e-commerce, servizi bancari, social media o piattaforme di intrattenimento. Quasi la metà degli intervistati (48,3%) utilizza una VPN, mentre in Italia il 51,5% ha affermato di non utilizzarne affatto una. Tra chi usa la VPN, il 27% ha affermato che è per  trovare offerte basate sulla posizione o per lo streaming di contenuti non disponibili nella propria regione. In Italia solo il 13% dei consumatori ha dichiarato di utilizzare una VPN per crittografare i dati e rendere più sicure le comunicazioni.

I punti deboli nella sicurezza degli utenti

Nonostante gli utenti siano abbastanza consapevoli dei rischi di sicurezza, hanno ancora molti punti deboli. Il problema principale è la gestione delle password: più di un terzo (37%) annota le proprie password, sia su carta che su appunti digitali, e l’Italia si posiziona al primo posto con il 50,4%.

Il 34% usa la stessa password per due o più account, mentre il 17,3% utilizza la funzione di compilazione automatica del browser web e il 14,4% la funzione di compilazione automatica della password efficace di Apple. Solo il 23% degli intervistati (il 19% in Italia) usa un gestore di password.

La maggior parte degli utenti non ritiene di essere un potenziale bersaglio dei cybercriminali o di non essere sicuro. L’Italia ha registrato la percentuale più alta (43,4%) di intervistati che ritengono di non essere un obiettivo per i criminali informatici. Dietro questa affermazione c’è l’idea sbagliata comune che gli hacker prendano di mira un singolo individuo, quando in realtà cercano sistemi vulnerabili e sfruttano a loro vantaggio comportamenti di scarsa sicurezza per eseguire attacchi su scala.

La maggior parte degli intervistati è consapevole dei rischi di esposizione dei bambini alle minacce on line: circa il 70% ha dichiarato di essere preoccupato per la privacy e la sicurezza dei più piccoli. L’Italia registra la percentuale più bassa dove il 48,9% degli intervistati si è detto preoccupato e solo il 13,9% molto preoccupato.

Infine, per quanto riguarda il pericolo di doxing, il 54,2% degli intervistati si è detto preoccupato. In Italia, ha espresso preoccupazione il 42% degli intervistati, la percentuale più bassa tra tutti gli altri Paesi.

“I risultati di questo sondaggio dimostrano, più che mai, l’importanza della sensibilizzazione alla sicurezza informatica, dato il costante incremento della frequenza e della sofisticatezza degli attacchi lanciati dai criminali informatici” ha dichiarato Ciprian Istrate, senior vice president of operations, Bitdefender Consumer Solutions Group. 

“Il repentino aumento dell’adozione dell’intelligenza artificiale da parte dei criminali informatici ha cambiato le carte in tavola e rappresenta una minaccia senza precedenti per la sicurezza digitale dei consumatori. Con l’aumento delle truffe via SMS supportate dall’intelligenza artificiale, dei tentativi di frode e di email di phishing realizzate a regola d’arte, è indispensabile che i consumatori rimangano vigili per comprendere le migliori pratiche di sicurezza informatica e applicarle costantemente” ha concluso Istrate.

---

---

---

https://www.securityinfo.it/2024/04/04/gli-utenti-sono-preoccupati-per-la-propria-sicurezza-online-ma-hanno-molti-punti-deboli/?utm_source=rss&utm_medium=rss&utm_campaign=gli-utenti-sono-preoccupati-per-la-propria-sicurezza-online-ma-hanno-molti-punti-deboli

Mar 28, 2024 Marina Londei Approfondimenti, Gestione dati, In evidenza, Minacce, News, RSS 0

---

Stando al Rapporto Annuale sulle Minacce Informatiche di THALES, gli attacchi informatici continuano ad aumentare, soprattutto i ransomware che sono incrementati del 27% nell’ultimo anno; nonostante ciò, meno della metà delle imprese ha adottato dei sistemi specifici di protezione e l’8% di esse paga ancora il riscatto.

Il malware è la minaccia più rapida crescita: il 41% di aziende che ha subito un attacco malware nell’ultimo anno, seguito da phishing e ransomware. Gli obiettivi principali di questi attacchi rimangono i dati sul cloud e la gestione dell’infrastruttura cloud.

Per il secondo anno consecutivo l’errore umano rimane la causa principale di violazione dati, con il 31% delle imprese che lo individua come tale.

Il rapporto rileva inoltre che più del 40% delle aziende non ha superato un audit di conformità negli ultimi dodici mesi. Tra coloro che non l’hanno superato, il 31% ha subito una violazione, rispetto al 3% delle aziende che ha superato gli audit.

La complessità operativa complica la gestione dati

La crescente complessità delle minacce informatiche, unita ai cambiamenti normativi, rendono più complicato il lavoro dei professionisti IT, i quali faticano a comprendere a fondo in che modo i propri dati sono a rischio. Solo un terzo (33%) delle aziende, infatti, è in grado di classificare completamente tutti i propri dati, e il 16% afferma di classificarne pochissimi o nessuno.

La diffusione del multicloud e le normative in evoluzione sulla privacy dei dati indicano che la sovranità dei dati è una priorità assoluta per le aziende, e il 28% di esse vede la gestione obbligatoria delle chiavi esterne come il modo principale per raggiungere la sovranità. Il 39% degli intervistati afferma che la residenza dei dati non sarebbe più un problema, a condizione però che venissero implementate la crittografia esterna, la gestione delle chiavi e la separazione dei compiti.

“Le aziende devono sapere esattamente cosa proteggere. Con le normative globali sulla privacy dei dati in continua evoluzione, hanno bisogno di avere una buona visibilità di tutta l’organizzazione per rimanere conformi” afferma Sebastien Cano, Senior Vice President di Thales Cloud Protection and Licensing.

“Un fattore importante che emerge dallo Studio di quest’anno, è che la conformità è fondamentale. In effetti, le aziende che superano i loro audit di conformità hanno meno probabilità di subire una violazione dei dati. Abbiamo rilevato che compliance e sicurezza viaggiano insieme, questo binomio rappresenta un enorme passo in avanti per rafforzare le difese contro i cyber attacchi” conclude Cano.

Nuove tecnologie: opportunità o minaccia?

Guardando agli sviluppi futuri, dal report di THALES emerge che il 57% delle imprese identifica l’intelligenza artificiale come una grande fonte di preoccupazione, seguita dall’IoT (55%) e dalla crittografia post-quantistica (45%).

Le aziende stanno comunque esaminando tutte le opportunità offerte dalle tecnologie emergenti: oltre un quinto (22%) prevede di integrare l’IA generativa nei propri prodotti e servizi di sicurezza nei prossimi 12 mesi e un terzo (33%) ha in programma di sperimentare l’integrazione di questa tecnologia.

---

---

---

https://www.securityinfo.it/2024/03/28/gli-attacchi-ransomware-non-si-arrestano-e-le-aziende-sono-sempre-piu-vulnerabili/?utm_source=rss&utm_medium=rss&utm_campaign=gli-attacchi-ransomware-non-si-arrestano-e-le-aziende-sono-sempre-piu-vulnerabili

Mar 25, 2024 Stefano Silvestri Attacchi, Malware, Minacce, News, Phishing, Vulnerabilità 0

---

La scorsa settimana ha rappresentato una sfida considerevole per il CERT-AGID, che nel periodo tra il 16 e il 22 marzo si è trovato ad affrontare e valutare un totale di 31 campagne malevole.

Di queste, 22 erano dirette specificamente verso obiettivi situati in Italia, mentre le rimanenti 9, pur essendo di portata più generale, hanno avuto ripercussioni anche sul territorio italiano.

In risposta, sono stati distribuiti ai soggetti accreditati 251 indicatori di compromissione (IOC), individuati durante le attività di monitoraggio.

Andamento settimanale

Innanzitutto, è da sottolineare è la persistenza delle campagne Irata, mirate a infettare dispositivi con sistema operativo Android, e l’insistenza delle campagne di smishing legate all’INPS, volte alla sottrazione di documenti d’identità.

Nell’ultima settimana, sono stati isolati 10 argomenti chiave attraverso i quali sono state condotte operazioni nocive sul suolo italiano. Il Banking si è confermato nuovamente il bersaglio prediletto, essendo stato oggetto di 9 tentativi di phishing e smishing contro le istituzioni bancarie nazionali. Questo ambito ha inoltre visto due tentativi di diffusione del malware Irata su dispositivi Android.

Delivery è stato sfruttato per le campagne di phishing AgentTesla e Formbook mentre, con 4 operazioni malevole, seguono i temi Rinnovo e Pagamenti, utilizzati rispettivamente per le campagne di phishing legate ad AgentTesla, Remcos e PlanetStealer.

Con 2 iniziative ognuno troviamo i temi di Ordine, Documenti e Prestazioni, mentre i temi di Conferma, Informazioni e Contratti, utilizzati per propagare diverse forme di malware e phishing, hanno visto una singola campagna ciascuno.

Malware della settimana

Per quanto concerne la sicurezza informatica in Italia, la settimana ha visto l’emergere di 7 distinte famiglie di malware, protagoniste di varie campagne nocive. In particolare, AgentTesla è stato protagonista di 7 campagne, due delle quali italiane e le altre cinque di carattere generale, incentrate sui temi “Ordine”, “Delivery” e “Pagamenti”, tramite email che includevano allegati in formato IMG e RAR.

Irata è stato osservato in 3 campagne italiane focalizzate a tema Banking, veicolate tramite SMS con link per il download di APK dannosi. Formbook è stato rilevato in 2 campagne italiane riguardanti “Delivery” e “Conferma”, mediante email con allegati ZIP e 7Z.

Remcos ha visto una campagna generale su “Pagamenti”, veicolata tramite email con allegati Z che contenevano un eseguibile con ModiLoader. PlanetStealer è stato individuato in una campagna italiana su “Pagamenti”, attraverso email con link per il download di un eseguibile.

DarkGate è stato notato in una campagna generale su “Informazioni”, diffusa in Italia tramite email con allegati XLS e connessioni SMB. Wikiloader è stato oggetto di una campagna generica su “Documenti”, veicolata mediante email con allegati PDF che contenevano link a ZIP con JS dannosi.

Phishing della settimana

Nella settimana in esame, 9 brand sono stati coinvolti in campagne di phishing e smishing. Particolare attenzione hanno destato le operazioni che hanno riguardato Aruba (4), e quelle che hanno interessato Unicredit, Poste e INPS (2).

Marchi come BRT, Microsoft, Consip, Intesa Sanpaolo e BPM sono stati invece coinvolti in una singola campagna ciascuno.

Modalità e canali di diffusione

L’ultima settimana ha visto l’uso di 13 diverse tipologie di file per veicolare gli attacchi. I file IMG sono stati i più utilizzati (4 volte), seguiti da file APK (3), ZIP (2) e RAR (2). I file Z, 7Z, HTML, VBS, EXE, XLS, JS, PDF e SRC sono invece stati usati per una singola campagna.

Per quanto riguarda i canali di diffusione, l’email ha dominato venendo utilizzata in 22 occasioni, mentre gli SMS sono stati impiegati 9 volte.

---

---

---

https://www.securityinfo.it/2024/03/25/cert-agid-16-22-marzo-2024-31-attacchi-e-251-indicatori-di-compromissione-il-banking-sempre-protagonista/?utm_source=rss&utm_medium=rss&utm_campaign=cert-agid-16-22-marzo-2024-31-attacchi-e-251-indicatori-di-compromissione-il-banking-sempre-protagonista

Mar 19, 2024 Marina Londei Approfondimenti, Hacking, Malware, RSS 0

---

Il numero di computer di Operation Technology (OT) è in calo, ma le imprese non possono abbassare la guardia: il panorama delle minacce è rimasto molto vario e sfaccettato, rendendo gli attacchi più pericolosi.

A dirlo è l’ICS CERT di Kaspersky, il report sulle minacce che colpiscono i sistemi di automazione industriale. L’analisi evidenzia un calo di dispositivi colpiti nel secondo semestre 2023: rispetto al 34% della prima metà del 2023, nella seconda metà dell’anno si è arrivati al 31,9%.

Secondo i risultati del report, le minacce distribuite via Internet continuano a essere la principale fonte di rischio per i computer OT (18,1%); a seguire troviamo i client di posta elettronica (4%) e i supporti rimovibili (1,9%).

Preoccupa l‘aumento di 1,4 volte dei sistemi ICS su cui sono stati bloccati miner eseguibili per Windows nel secondo semestre 2023 rispetto al primo; ciò evidenzia l’evoluzione delle tattiche impiegate dagli attaccanti, i quali cercano di sfruttare le vulnerabilità e l’infrastruttura ICS per ottenere profitti economici.

Guardando ai settori specifici, la building automation emerge come l’area più bersagliata: nel secondo semestre del 2023 ha registrato la percentuale più alta di oggetti bloccati. La situazione non è delle migliori anche per il settore delle industrie petrolifere e del gas: dopo un periodo di flessione, la seconda metà del 2023 ha registrato un nuovo aumento di attacchi.

“Nonostante l’esposizione generale dell’infrastruttura OT globale alle minacce informatiche sia diminuita nella seconda metà del 2023, le organizzazioni industriali dovrebbero continuare a rafforzare le proprie difese e rimanere al passo con le minacce in continua evoluzione. Il nostro report fornisce una panoramica delle minacce in grado di raggiungere i sistemi OT a livello regionale, nazionale e di settore, che può aiutare le aziende a personalizzare le proprie strategie di cybersecurity” ha affermato Evgeny Goncharov, Head ICS CERT di Kaspersky.

Gli esperti della firma di sicurezza consigliano alle imprese di condurre valutazioni periodiche della sicurezza dei sistemi OT e di impostare una procedura continua di valutazione e triage delle minacce. È importante inoltre aggiornare tempestivamente i componenti chiave della rete OT aziendale, applicando correzioni e patch di sicurezza. Infine, è consigliabile implementare soluzioni EDR e rafforzare continuamente le competenze dei team. 

---

---

---

https://www.securityinfo.it/2024/03/19/cala-il-numero-di-computer-ot-attaccati-ma-le-minacce-sono-sempre-piu-pericolose/?utm_source=rss&utm_medium=rss&utm_campaign=cala-il-numero-di-computer-ot-attaccati-ma-le-minacce-sono-sempre-piu-pericolose

Mar 11, 2024 Stefano Silvestri Attacchi, Malware, Minacce, News, Phishing, RSS, Vulnerabilità 0

---

La settimana appena trascorsa ha messo a dura prova il CERT-AGID, che dal 2 all’8 marzo ha rilevato ed esaminato ben 25 attività dannose all’interno dei confini italiani, superando le 16 registrate la settimana precedente.

Di queste, 22 erano specificatamente dirette contro obiettivi italiani (contro le 12 della settimana anteriore), mentre le restanti 3, pur essendo di natura più generale, hanno interessato ugualmente l’Italia.

Come misura di contrasto a questi attacchi, il CERT-AGID ha fornito 234 indicatori di compromissione (IOC), segnando un significativo aumento dai 143 del periodo precedente. Di seguito, ecco una sintesi delle principali minacce.

Andamento settimanale

Durante l’ultima settimana, sono emersi 10 temi principali tramite i quali si sono diffuse operazioni malevole in Italia. Il comparto bancario è il più colpito, con 8 azioni che lo hanno reso il principale obiettivo di tentativi di phishing e smishing contro le banche del paese. Questo settore ha inoltre subito due aggressioni mirate a diffondere il malware Irata su dispositivi Android.

Segue il tema dei Rinnovi, con quattro azioni malevole, utilizzato prevalentemente nelle operazioni di phishing legate ad Aruba.

Gli Avvisi di Sicurezza, legati alla campagna di phishing Adattivo ulteriormente perfezionata, insieme ai temi Ordine e Prestazioni (legate alle campagne di smishing dell’INPS), Resend e Pagamenti, sono stati impiegati in due occasioni.

Infine, le tematiche Delivery, Contratti e Aggiornamenti hanno caratterizzato una singola campagna ciascuna.

Malware della settimana

Nell’ambito della sicurezza informatica italiana, questa settimana sono state particolarmente evidenti 6 distinte famiglie di malware che hanno portato avanti diverse campagne malevole.

In particolare, si sono distinte due campagne legate al malware Formbook, una specificamente italiana e l’altra di portata più ampia, incentrate sui temi “Pagamenti” e “Delivery”, veicolate attraverso email con allegati in formato RAR e R01.

Analogamente, AgentTesla è stato al centro di due operazioni, una mirata agli utenti italiani e l’altra di carattere generale, focalizzate rispettivamente su “Pagamenti” e “Ordine, e veicolate tramite email con allegati RAR e IMG.

Per quanto riguarda il malware Irata, sono state contrastate due iniziative a tema Banking, diffuse mediante SMS e contenenti link per il download di un APK dannoso.

Remcos ha fatto la sua comparsa in una campagna italiana legata a “Ordine”, diffusa attraverso email con allegati 7Z. Pikabot è stato identificato in un’azione italiana associata al tema “Resend”, mediante email con allegati ISO che nascondevano un file eseguibile EXE.

Infine, Wikiloader ha caratterizzato una campagna di ampio raggio sul tema “Pagamenti”, tramite email che includevano allegati PDF con link a file ZIP. Da questi, si estraeva un file JS che, a sua volta, rimandava a un file ZIP ospitato su Discord, dal quale si otteneva una DLL dannosa.

Phishing della settimana

Questa settimana, 11 brand sono stati coinvolti in campagne di phishing e smishing. Tra questi hanno suscitato particolare attenzione le operazioni riguardanti l’INPS e una campagna adattiva che ha visto un’ulteriore evoluzione.

I formati e i canali di diffusione

Nell’arco dell’ultima settimana, nove differenti tipologie di file sono state selezionate per veicolare attacchi informatici. I file RAR, PDF e APK sono stati impiegati due volte ciascuno, mentre formati quali 7Z, ISO, R01, IMG, ZIP e JS hanno trovato applicazione una singola volta ciascuno.

Riguardo ai canali di diffusione, due sono stati i metodi prevalenti: l’email ha avuto un ruolo predominante, venendo utilizzata in 19 occasioni, mentre gli SMS sono stati adoperati 6 volte.

---

---

---

https://www.securityinfo.it/2024/03/11/cert-agid-02-08-marzo-2024-impennata-minacce-234-indicatori-compromissione/?utm_source=rss&utm_medium=rss&utm_campaign=cert-agid-02-08-marzo-2024-impennata-minacce-234-indicatori-compromissione

Mar 07, 2024 Marina Londei Attacchi, Malware, News, Phishing, RSS 0

---

Un gruppo di hacker russi sta distribuendo trojan agli utenti Android e Windows sfruttando siti web che si fingono meet Skype, Google Meet e Zoom; a dirlo è una nuova dei ricercatori del ThreatLabz di Zscaler, i quali hanno individuato almeno tre remote access trojan (RAT) legati alle campagne: SpyNote, un RAT per Android, e NjRAT e DCRat per Windows.

Gli attaccanti hanno creato decine di siti web falsi con URL che ricordano quelli legittimi delle tre principali piattaforme di meeting video. Nel caso di utenti Windows, collegandosi a questi siti web e scaricando le presunte applicazioni, le vittime scaricano in realtà uno script BAT malevolo che, una volta aperto, effettua il download del RAT che comunica col server C2 degli attaccanti. Analogamente, gli utenti Android vengono ingannati a scaricare un finto installer che si rivela poi un trojan.

I ricercatori hanno individuato inizialmente un sito fake di Skype sotto il dominio join-skype.info, creato a inizio dicembre. Il sito invitava gli utenti a scaricare l’eseguibile per installare l’applicazione. In Windows il file veniva salvato come Skype8.exe, mentre il pulsante Google Play scaricava un file chiamato Skype.apk. Cliccando sul pulsante dell’Apple Store si veniva invece rimandati all’applicazione di messaggistica legittima.

A fine dicembre il team di Zscaler ha individuato un sito web dal funzionamento analogo che si fingeva un meet Google Meet, mentre i siti web di Zoom sono apparsi solo a fine gennaio. Oltre al DCRat per Windows, questi siti web contenevano anche un’open directory che conteneva altri due file eseguibili per Windows chiamati driver.exe e meet.exe, entrambi NjRAT che probabilmente gli attaccanti usano in altre campagne.

I trojan analizzati sono in grado di sottrarre informazioni confidenziali, registrare i tasti premuti e anche rubare file.

Il consiglio, come sempre in questi casi, è di fare molta attenzione alla legittimità dei siti web da cui si sta scaricando un’l’applicazione, verificando che il dominio sia quello corretto; inoltre, è fondamentale dotarsi di soluzioni di sicurezza che proteggano dalle ultime varianti di malware.

---

---

---

https://www.securityinfo.it/2024/03/07/siti-fake-di-skype-google-meet-e-zoom-usati-per-distribuire-trojan/?utm_source=rss&utm_medium=rss&utm_campaign=siti-fake-di-skype-google-meet-e-zoom-usati-per-distribuire-trojan

Mar 07, 2024 Marina Londei Attacchi, In evidenza, Minacce, News, RSS 0

---

I ricercatori di Sucuri hanno individuato una nuova campagna malware che prende di mira i siti web WordPress e inietta uno script che esegue attacchi brute force dai browser degli utenti.

La campagna nasce da una precedente serie di attacchi che compromettevano i siti WordPress per distribuire drainer di criptovalute; gli attaccanti, in seguito, hanno sviluppato una variante del malware in grado di eseguire brute force su altri siti.

Analizzando i siti web infettati dal drainer, il team di Sucuri ha individuato anche lo script turboturbo.js in numerosi domini WordPress. Lo script contiene un URL usato per ottenere lo username e una lista password; ricevute queste informazioni, lo script forza il browser a eseguire attacchi brute force su centinaia di siti WordPress per validare le combinazioni di credenziali.

Lo script viene caricato non appena un utente visita il sito WordPress infetto. L’attacco brute force a opera del browser non richiede alcuna interazione da parte degli attaccanti: essi, finito il test delle credenziali, ricevono l’elenco delle combinazioni sito web-username-password valide da utilizzare per altri attacchi.

I ricercatori riportano che finora hanno trovato più di 500 siti WordPress infetti; considerando che ogni giorno migliaia di utenti visitano questi siti, il numero di richieste legate agli attacchi brute force è molto elevato. Queste richieste inoltre sono difficili da individuare e bloccare considerando che provengono da browser di utenti legittimi.

Secondo l’analisi di Sucuri, al momento gli attacchi brute force hanno avuto successo solo nello 0,5% dei casi, ma le richieste sono decine di migliaia.

Non è chiaro perché gli attaccanti abbiano abbandonato i crypto-drainer per dedicarsi agli attacchi brute force; secondo Denis Sinegubko, ricercatore senior di Sucuri, è probabile che i drainer non fossero abbastanza redditizi per gli attaccanti, oltre al fatto che venivano bloccati molto velocemente. “Sembra ragionevole cambiare il payload con qualcosa di più furtivo che allo stesso tempo possa contribuire ad aumentare il loro portafoglio di siti compromessi per future ondate di infezioni che saranno in grado di monetizzare in un modo o nell’altro” afferma Sinegubko.

Per proteggersi da questo tipo di attacchi è essenziale usare password robuste e, per gli admin WordPress, restringere l’accesso all’interfaccia di amministrazione solo a indirizzi IP fidati.

---

---

---

https://www.securityinfo.it/2024/03/07/migliaia-di-siti-wordpress-infetti-sfruttano-gli-utenti-per-eseguire-attacchi-brute-force/?utm_source=rss&utm_medium=rss&utm_campaign=migliaia-di-siti-wordpress-infetti-sfruttano-gli-utenti-per-eseguire-attacchi-brute-force