Set 02, 2024 Stefano Silvestri Attacchi, Malware, Minacce, News, Phishing, Tecnologia, Vulnerabilità 0

---

Il CERT-AGID ha condotto un’analisi approfondita delle minacce informatiche in Italia nell’ultima settimana, identificando 47 campagne malevole, di cui 27 specificamente mirate a obiettivi italiani. L’agenzia ha fornito 438 indicatori di compromissione (IoC) agli enti accreditati.

I temi più rilevanti della settimana

Questa settimana sono stati identificati 20 temi sfruttati per veicolare campagne malevole in Italia. Tra i più rilevanti troviamo innanzitutto il tema “Delivery“, utilizzato per campagne di phishing italiane, mirate ad Aruba, e per campagne generiche che hanno colpito Wix e altri servizi di web hosting.

Il tema “Undelivered” è stato sfruttato per campagne di phishing ai danni di Poste Italiane e per veicolare phishing webmail generici. Il tema “Documenti” è stato impiegato in campagne di phishing webmail e per la diffusione dei malware AsyncRat e Vip Keylogger.

“Pagamenti” è stato usato in campagne di phishing contro SiteGround e per distribuire il malware Snake Keylogger. Infine, il tema “Erogazioni” è stato utilizzato in campagne di phishing italiane contro l’INPS e l’Agenzia delle Entrate. Altri temi sono stati sfruttati per diffondere varie campagne di malware e phishing.

Tra gli eventi di particolare interesse si segnala una campagna di phishing che ha colpito l’Agenzia delle Entrate, mirata a sottrarre le credenziali bancarie delle vittime. L’email, simulando un rimborso, invita il destinatario a compilare un modulo per completare l’erogazione.

Inoltre, sono emerse nuove campagne di smishing dell’INPS, finalizzate alla raccolta di dati personali come carta d’identità, codice fiscale, patente, IBAN e busta paga. Maggiori dettagli e Indicatori di Compromissione (IoC) sono disponibili sul canale Telegram del CERT-AGID.

Malware della settimana

Durante la settimana sono state individuate sette famiglie di malware che hanno colpito l’Italia, con alcune campagne particolarmente rilevanti.

AgentTesla ha dato origine a due campagne, una italiana e una generica, entrambe a tema “Pagamenti”, diffuse tramite email contenenti allegati EXE e RAR. Cryptbot è stato scoperto in una campagna generica a tema “Adobe”, veicolata tramite email con allegato EXE.

SnakeKeylogger è stato rilevato in una campagna italiana, anch’essa a tema “Pagamenti”, diffusa tramite email con allegati EXE. VipKeylogger ha interessato una campagna italiana a tema “Documenti”, distribuita tramite email con allegati SCR e ZIP.

Guloader è stato individuato in una campagna italiana a tema “Preventivo”, diffusa tramite email contenente un allegato VBS. Clearfake ha visto una campagna italiana che sfrutta il tema “Cryptovalute”, con eseguibili diffusi attraverso domini italiani compromessi.

Infine, AsyncRat è stato rilevato in una campagna generica a tema “Documenti”, diffusa tramite email con allegato JS.

Phishing della settimana

Nell’ultima settimana, il panorama delle minacce informatiche ha visto un’intensa attività di phishing che ha coinvolto 13 marchi diversi. Tra le numerose campagne osservate, tre in particolare hanno dominato lo scenario per la loro frequenza e intensità.

I servizi Webmail sono emersi come uno degli obiettivi principali, probabilmente per la loro capacità di fungere da “finestra” su una moltitudine di informazioni personali e professionali.

Parallelamente, Aruba è stato ripetutamente preso di mira, sottolineando l’appetibilità delle credenziali legate ai servizi di hosting per i malintenzionati. Non da meno, l’INPS ha registrato un numero significativo di attacchi, riflettendo il valore percepito dei dati personali e finanziari gestiti dall’ente previdenziale italiano.

Formati e canali di diffusione

L’analisi delle campagne malevole della settimana ha messo in luce un panorama meno variegato di altre settimane in termini di tipologie di file dannosi e metodi di diffusione. Sono state infatti individuate “solo” cinque diverse estensioni di file utilizzate dai cybercriminali.

I file eseguibili (EXE) sono risultati i più comuni, essendo stati impiegati in quattro diverse occasioni. Le altre estensioni, ciascuna rilevata una sola volta, includono ZIP, SCR, RAR, JAR e VBS, evidenziando così la capacità dei malintenzionati di variare le loro tattiche per aggirare i sistemi di sicurezza.

Per quanto riguarda i metodi di diffusione, le email si sono confermate il canale preferito dagli attaccanti, con 44 campagne distinte che hanno sfruttato questo mezzo. In misura minore, ma comunque rilevante, gli SMS sono stati utilizzati in due occasioni, probabilmente nell’ambito di campagne di smishing mirate. Infine, si è registrato un unico caso in cui è stata impiegata la Posta Elettronica Certificata (PEC).

---

---

---

https://www.securityinfo.it/2024/09/02/cert-agid-24-30-agosto-agenzia-delle-entrate-e-inps-sotto-attacco/?utm_source=rss&utm_medium=rss&utm_campaign=cert-agid-24-30-agosto-agenzia-delle-entrate-e-inps-sotto-attacco

Phishers are using a novel technique to trick iOS and Android users into installing malicious apps that bypass safety guardrails built by both Apple and Google to prevent unauthorized apps.

Both mobile operating systems employ mechanisms designed to help users steer clear of apps that steal their personal information, passwords, or other sensitive data. iOS bars the installation of all apps other than those available in its App Store, an approach widely known as the Walled Garden. Android, meanwhile, is set by default to allow only apps available in Google Play. Sideloading—or the installation of apps from other markets—must be manually allowed, something Google warns against.

When native apps aren’t

Phishing campaigns making the rounds over the past nine months are using previously unseen ways to workaround these protections. The objective is to trick targets into installing a malicious app that masquerades as an official one from the targets’ bank. Once installed, the malicious app steals account credentials and sends them to the attacker in real time over Telegram.

“This technique is noteworthy because it installs a phishing application from a third-party website without the user having to allow third-party app installation,” Jakub Osmani, an analyst with security firm ESET, wrote Tuesday. “For iOS users, such an action might break any ‘walled garden’ assumptions about security. On Android, this could result in the silent installation of a special kind of APK, which on further inspection even appears to be installed from the Google Play store.”

The novel method involves enticing targets to install a special type of app known as a Progressive Web App. These apps rely solely on Web standards to render functionalities that have the feel and behavior of a native app, without the restrictions that come with them. The reliance on Web standards means PWAs, as they’re abbreviated, will in theory work on any platform running a standards-compliant browser, making them work equally well on iOS and Android. Once installed, users can add PWAs to their home screen, giving them a striking similarity to native apps.

While PWAs can apply to both iOS and Android, Osmani’s post uses PWA to apply to iOS apps and WebAPK to Android apps.

The attack begins with a message sent either by text message, automated call, or through a malicious ad on Facebook or Instagram. When targets click on the link in the scam message, they open a page that looks similar to the App Store or Google Play.

ESET’s Osmani continued:

From here victims are asked to install a “new version” of the banking application; an example of this can be seen in Figure 2. Depending on the campaign, clicking on the install/update button launches the installation of a malicious application from the website, directly on the victim’s phone, either in the form of a WebAPK (for Android users only), or as a PWA for iOS and Android users (if the campaign is not WebAPK based). This crucial installation step bypasses traditional browser warnings of “installing unknown apps”: this is the default behavior of Chrome’s WebAPK technology, which is abused by the attackers.

The process is a little different for iOS users, as an animated pop-up instructs victims how to add the phishing PWA to their home screen (see Figure 3). The pop-up copies the look of native iOS prompts. In the end, even iOS users are not warned about adding a potentially harmful app to their phone.

After installation, victims are prompted to submit their Internet banking credentials to access their account via the new mobile banking app. All submitted information is sent to the attackers’ C&C servers.

The technique is made all the more effective because application information associated with the WebAPKs will show they were installed from Google Play and have been assigned no system privileges.

So far, ESET is aware of the technique being used against customers of banks mostly in Czechia and less so in Hungary and Georgia. The attacks used two distinct command-and-control infrastructures, an indication that two different threat groups are using the technique.

“We expect more copycat applications to be created and distributed, since after installation it is difficult to separate the legitimate apps from the phishing ones,” Osmani said.

https://arstechnica.com/?p=2044637

Ago 19, 2024 Stefano Silvestri Attacchi, Malware, Minacce, News, Phishing, RSS, Tecnologia 0

---

Nell’ultima settimana, il Centro Nazionale di Risposta alle Minacce Informatiche per la Pubblica Amministrazione (CERT-AGID) ha condotto un’intensa attività di monitoraggio e analisi delle minacce cyber nel panorama italiano. L’indagine ha portato all’identificazione di 35 distinte campagne malevole.

Tra queste campagne, 16 sono state classificate come mirate specificamente a entità italiane. Le rimanenti 19, sebbene di natura più globale, hanno comunque mostrato potenziali ripercussioni sul territorio italiano, sottolineando la natura transnazionale delle minacce informatiche.

In risposta a queste minacce, il CERT-AGID ha estratto e catalogato 357 indicatori di compromissione (IOC). Questi indicatori, che possono includere indirizzi IP, domini, hash di file malevoli e altri dati tecnici, sono stati successivamente condivisi con gli enti accreditati.

I temi più rilevanti della settimana

Nel corso dell’ultima settimana, il panorama delle minacce informatiche in Italia ha mostrato 13 distinti temi sfruttati per veicolare campagne malevole.

Tra i principali vettori d’attacco, il tema dei Pagamenti si è rivelato particolarmente insidioso, essendo stato utilizzato per diffondere una varietà di malware pericolosi come Quasar RAT, un Remote Access Trojan che permette il controllo remoto dei sistemi infetti. Questo tema è stato usato anche per diffondere SmokeLoader, un downloader noto per la sua capacità di scaricare ulteriori payload malevoli.

Infine, i Pagamenti sono stati anche il veicolo di Remcos, altro RAT con funzionalità avanzate di spionaggio e controllo. Oltre ai malware, sono state osservate campagne di phishing mirate agli utenti di servizi popolari come Netflix e Mailchimp, sfruttando la fiducia degli utenti in questi brand riconosciuti.

Le campagne nell’ambito Webmail hanno preso di mira diversi servizi, tra cui cPanel con attacchi generici di phishing verso gli utenti di questa piattaforma, e Roundcube, con una campagna specifica italiana rivolta agli utenti di questo client di posta open-source. Sono stati rilevati anche attacchi di phishing non brandizzato, che non sfruttano marchi specifici ma puntano a ingannare gli utenti con tattiche più subdole.

Il tema della mancata consegna (Undelivered) è stato sfruttato per campagne di phishing sia generiche che specificamente italiane, con gli attaccanti che hanno impersonato servizi come Poste Italiane e e di cPanel per ingannare gli utenti.

La tematica degli Ordini è stata utilizzata per veicolare una serie di malware pericolosi come AgentTesla, un keylogger avanzato e stealer di informazioni, Formbook, noto per le sue capacità di furto di credenziali e registrazione di tasti, e Guloader, un downloader utilizzato per distribuire ulteriori payload malevoli.

Un’attenzione particolare la merita le recente campagna su larga scala che utilizza il trojan Quasar RAT, un evento piuttosto raro nel panorama italiano. I cybercriminali stanno impiegando una strategia avanzata che consiste nell’invio di email ingannevoli con l’oggetto “Pagamenti Fattura,” mirate a convincere le vittime a scaricare un file eseguibile nocivo. Una volta eseguito, il malware compromette il sistema, consentendo ai malintenzionati di prendere il controllo remoto del dispositivo.

Malware della settimana

Nel corso dell’ultima settimana, il panorama delle minacce informatiche in Italia ha visto l’emergere di sei distinte famiglie di malware.

Tra le campagne più significative, AgentTesla si è distinto per una campagna italiana incentrata sul tema “Ordine” e in due campagne generiche focalizzate sul settore bancario. Gli attaccanti hanno sfruttato email contenenti allegati in formati diversi come XLSX, XLAM e VBS.

Remcos, un altro malware di rilievo, ha fatto la sua comparsa in due distinte campagne. La prima, mirata specificamente al contesto italiano, ha sfruttato il tema dei “Pagamenti” diffondendosi attraverso email con allegati in formato GZ. La seconda, di natura più generica, ha utilizzato il pretesto delle consegne (“Delivery”) per distribuire il malware tramite allegati ZIP.

SmokeLoader ha puntato anch’esso sul tema dei “Pagamenti” in una campagna italiana, utilizzando email con allegati XLSX come vettore di diffusione. Degna di nota è stata la campagna italiana che ha visto protagonista Quasar, un malware relativamente insolito nel panorama nazionale. Anche in questo caso, il tema dei “Pagamenti” è stato sfruttato come esca, con il malware distribuito attraverso email contenenti allegati ZIP.

FormBook ha fatto la sua comparsa in una campagna generica incentrata sul tema “Ordine”, diffondendosi tramite email con allegati ZIP. Infine, Guloader è stato identificato in una campagna italiana che ha sfruttato nuovamente il tema “Ordine”, questa volta utilizzando email con allegati in formato 7Z.

Phishing della settimana

Sono 12 i brand coinvolti nelle campagne di phishing questa settimana. Per quantità spiccano le campagne a tema Poste Italiane, cPanel e Unieuro, ma ancor di più le campagne Webmail che mirano a rubare dati sensibili agli utenti.

Nel corso dell’ultima settimana, il panorama delle minacce informatiche ha visto un’intensa attività di phishing che ha coinvolto ben 12 marchi noti. Tra le campagne più prolifiche, quelle che hanno preso di mira Poste Italiane hanno mostrato una particolare intensità. Questo fenomeno non sorprende, considerando il ruolo centrale che l’azienda svolge nella vita quotidiana di milioni di italiani, offrendo servizi bancari e postali essenziali.

Analogamente, cPanel, una piattaforma utilizzata per la gestione di siti web e servizi di hosting, è stata oggetto di numerosi attacchi di phishing. La compromissione delle credenziali di accesso ai sistemi di gestione web apre potenzialmente la strada a minacce su larga scala.

Unieuro è emersa anch’essa come bersaglio frequente, probabilmente sfruttando l’interesse dei consumatori per offerte e sconti su prodotti tecnologici. Tuttavia, la minaccia più pervasiva si è manifestata nelle campagne di phishing incentrate sui servizi di webmail. Queste operazioni, che mirano direttamente alle caselle di posta elettronica degli utenti, rappresentano un rischio particolarmente elevato per i motivi facilmente comprensibili.

Formati e canali di diffusione

Durante la settimana analizzata, sono state identificate 7 diverse estensioni di file utilizzate nelle campagne malevole. I file ZIP sono stati impiegati in tre occasioni, mentre le estensioni XLSX sono state rilevate in due casi. Per quanto riguarda le estensioni VBS, XLAM, XLS, GZ e 7Z, ciascuna è stata utilizzata una sola volta.

Per quanto concerne i metodi di diffusione, l’email tradizionale si è confermata il principale veicolo di propagazione, con 33 episodi distinti. I messaggi di testo (SMS) e le PEC sono stati utilizzati una sola volta ciascuno per la diffusione di contenuti malevoli.

---

---

---

https://www.securityinfo.it/2024/08/19/cert-agid-10-luglio-16-agosto-cpanel-webmail-sotto-attacco/?utm_source=rss&utm_medium=rss&utm_campaign=cert-agid-10-luglio-16-agosto-cpanel-webmail-sotto-attacco

Ago 07, 2024 Marina Londei Attacchi, In evidenza, Malware, News, RSS 0

---

I ricercatori di Volexity hanno individuato una campagna malware a opera di StormBamboo, un gruppo di hacker cinesi, che ha compromesso un internet service provider (ISP) per distribuire payload malevoli su macchine Windows e macOS.

Conosciuto anche come Evasive Panda e StormCloud, il gruppo ha sfruttato diverse famiglie di malware per infettare una stessa rete. I cybercriminali hanno usato un attacco di DNS poisoning per compromettere l’ISP: il gruppo ha alterato le risposte alle query DNS per domini specifici, legati agli aggiornamenti software automatici.

I record DNS sono stati compromessi a livello di ISP per essere risolti in un server di Hong Kong controllato dagli attaccanti. Volexity ha immediatamente contattato l’ISP che ha riavviato la propria infrastruttura e messo offline alcune componenti, interrompendo il flusso d’attacco e la diffusione dei malware.

Modificando le risposte DNS, il gruppo è riuscito a redirezionare le richieste di update al proprio server e far installare alle applicazioni il malware. “Sembra che StormBamboo abbia colpito i software che usavano meccanismi di update non sicuri, come HTTP, e non validavano correttamente la firma digitali degli installer” spiegano i ricercatori. Quando queste applicazioni scaricavano gli aggiornamenti, in realtà installavano il payload malevolo.

Tra i malware più usati dal gruppo ci sono MACMA, per macOS, e POCOSTICK, per Windows, conosciuto anche come MGBot.

“La varietà di malware impiegati nelle varie campagne di questo gruppo indica che esso ha fatto uno sforzo significativo, con payload attivamente supportati non solo per macOS e Windows, ma anche per le appliance di rete” scrivono i ricercatori.

Prima di Volexity, anche i ricercatori di ESET avevano individuato l’attività degli attaccanti: ad aprile 2023 il team aveva scoperto che il gruppo stava distribuendo POCOSTICK su diverse macchine di reti aziendali, ma non era riuscito a capire quale fosse l’esatto meccanismo di distribuzione.

Il team di Volexity ha avvertito gli utenti della natura molto aggressiva di StormBamboo e ha invitato gli amministratori di rete a implementare meccanismi robusti per individuare e bloccare attività sospette.

---

---

---

https://www.securityinfo.it/2024/08/07/hacker-cinesi-hanno-compromesso-un-isp-per-distribuire-malware/?utm_source=rss&utm_medium=rss&utm_campaign=hacker-cinesi-hanno-compromesso-un-isp-per-distribuire-malware

Ago 06, 2024 Stefano Silvestri Attacchi, Campagne malware, Hacking, Interviste, Malware, Minacce, Software, Tecnologia, Vulnerabilità 0

---

Nell’era della connettività globale, la sicurezza dei dispositivi IoT e OT è diventata una priorità per le aziende di ogni settore. Con l’aumento esponenziale dei dispositivi connessi, dalle fabbriche intelligenti agli uffici moderni, le vulnerabilità si moltiplicano, mettendo a rischio dati sensibili e operazioni cruciali.

Di questo e altro abbiamo parlato con Nathan Howe, GVP Innovation di Zscaler, per scoprire un panorama in rapida evoluzione, dove le soluzioni tradizionali mostrano il fianco di fronte alle nuove sfide.

La maggior parte dei dispositivi IoT e OT infatti non è stata progettata con la sicurezza come priorità, lasciando coloro che li utilizzano esposti a rischi significativi. E la visione di Zscaler è di creare un ambiente di lavoro sicuro e produttivo, estendendo i principi di zero trust ai dispositivi IoT e OT. Tutto ciò, riducendo la complessità operativa e i costi associati alle tecnologie di sicurezza legacy.

Prima di scoprire come ciò sia possibile, però, abbiamo voluto partire dai risvolti psicologici di chi lavora per un’azienda il cui operato, come dimostra quanto accaduto con CrowdStrike, può avere ripercussioni su scala globale.

Il mondo della cybersecurity è affascinante e al contempo inquietante. Nel vostro ruolo di ‘poliziotti digitali’, come vivete la quotidianità sapendo che un vostro errore può avere ripercussioni disastrose?

Nathan Howe: Diciamo che la nostra vita sarebbe perfetta per un noir ambientato nel mondo della cybersecurity. Sarebbe davvero intrigante da leggere.

Come hai iniziato?

Nathan Howe: Ho iniziato come penetration tester, quindi ero pagato dalle aziende per cercare vulnerabilità nei loro sistemi e migliorare la loro sicurezza. Nel corso degli anni ho lavorato in diversi settori e posso confermare che lo stress è una costante delle nostre vite. Tuttavia, c’è un’adrenalina unica che si avverte quando si affrontano queste sfide.

Oggi, comunque, il mio ruolo è cambiato: mi occupo principalmente di sviluppare nuove tecnologie di sicurezza, il che porta emozioni di un altro tipo.

Cosa succede durante una crisi? Come reagiscono le persone?

Nathan Howe: Quando un nostro cliente ha un problema – e abbiamo avuto molti clienti che hanno subito violazioni, non a causa nostra, ma per altri motivi – noi interveniamo. Ci riuniamo in call, collaboriamo con loro per sviluppare soluzioni e risolvere il problema.

Una delle sfide cruciali che affrontiamo è che i nostri clienti, nonostante le migliori intenzioni, spesso perdono di vista il quadro generale della sicurezza informatica. Per la maggior parte delle aziende, l’IT non rappresenta il core business. Utilizzano certamente la tecnologia ma non sono esperti del settore. L’informatica, di per sé, per loro non genera profitti diretti.

Di conseguenza, quando emerge una criticità, l’IT si trova a fronteggiare l’emergenza mentre cerca di mantenere operative le funzioni aziendali di routine. In queste condizioni non sempre riesce a implementare le soluzioni più efficaci o a effettuare deployment ottimali.

Di fronte a problemi seri, sono costretti a stravolgere completamente le loro priorità. E questo è ciò che definiamo il “momento Titanic”: tutti s’illudono di navigare su una nave inaffondabile, finché non si scontrano con l’iceberg rappresentato dagli hacker.

Il lato positivo dei momenti critici invece è che emerge il meglio di molti professionisti. Spesso c’è chi si fa avanti, desideroso di contribuire attivamente alla soluzione del problema. È in queste situazioni che si vede veramente la passione e la dedizione di chi lavora nella cybersecurity.

Kevin Mitnick, ne L’Arte dell’Inganno, scrisse che il più grande alleato dell’ingegneria sociale è la naturale propensione umana ad aiutare, che le rende facilmente manipolabili. Quella che hai appena descritto pare la situazione ottimale per gli attaccanti…

Nathan Howe: Sono d’accordo, gli hacker sfruttano proprio l’innata predisposizione delle persone ad aiutare. Quanto a Kevin, purtroppo è venuto a mancare e lo conoscevo da anni (mi mostra una loro foto risalente al 2003, ndR). All’epoca c’era una tecnologia che molti non comprendevano appieno: le persone stavano iniziando a collegare i computer alla rete telefonica, senza capirne le implicazioni.

Kevin sapeva come sfruttare questa situazione. Era abilissimo nel manipolare sia le persone che i sistemi informatici. Conosceva i punti deboli dei vecchi sistemi PBX, i centralini telefonici usati ad esempio negli hotel. Sapeva che digitando determinati numeri poteva trovare vie d’accesso inimmaginabili.

Era talmente bravo che si diceva potesse far scoppiare una guerra con una semplice telefonata. Ma nonostante questa reputazione, era una persona davvero gentile. Credo che l’industria a volte lo abbia giudicato male e la sua scomparsa mi ha rattristato molto.

Nel corso dello Zenith Live 24 è emerso il concetto che il nuovo perimetro di sicurezza è l’individuo stesso. Tuttavia, il costante aumento dell’IoT sta espandendo il perimetro agli oggetti. Qual è allora il vero perimetro oggi? Ne esiste ancora uno?

Nathan Howe: Credo che pensare in termini di perimetro sia ormai un approccio superato. Se guardiamo alla cybersecurity, storicamente è stata concepita come una battaglia militare: tu hai il tuo lato, io ho il mio. Questo era il modello delle vecchie battaglie, della Prima e della Seconda Guerra Mondiale.

I perimetri però sono generalmente statici, possono spostarsi ma in lunghi periodi di tempo, per cui preferisco parlare di “bolle”. La mia bolla sono io; e i miei dispositivi sono bolle diverse, a sé stanti, collegate alla mia bolla personale.

La dimensione della propria bolla dipende dai ruoli e dalle responsabilità. Per esempio, il mio laptop e il mio telefono hanno requisiti di accesso e controlli completamente diversi.

Hai presente come a volte le bolle di sapone si attaccano tra loro formando gruppi di tre o quattro? Ecco, è così che dobbiamo pensare al mondo della sicurezza. Una bolla può interconnettersi alle altre quando necessario e poi staccarsi quando non serve più.

E ora anche i dispositivi IoT e OT sono ‘diventati bolle’…

Nathan Howe: Assolutamente sì. Non sono più elementi passivi ma partecipano a pieno titolo a un ecosistema di sicurezza interconnesso. Ora sono nodi attivi in una rete di connessioni.

Ciò ci porta a ripensare completamente l’approccio alla sicurezza. Non si tratta più di proteggere un singolo perimetro ma di gestire e mettere in sicurezza una moltitudine di connessioni dinamiche tra dispositivi, persone e dati. È una sfida complessa ma anche un’opportunità per creare sistemi di sicurezza più flessibili e resilienti.

Le Zscaler Zero Trust SIM non potevano arrivare in un momento migliore. Com’è nata l’idea?

Nathan Howe: Circa tre anni fa abbiamo deciso di connettere al nostro exchange i dispositivi IoT e OT. Volevamo inserire il nostro software direttamente sulle SIM ma quelle tradizionali non erano abbastanza potenti; quindi, abbiamo deciso di salire di un livello, passando alla rete mobile.

Abbiamo così sviluppato una SIM che sembra normale ma che in realtà ha una caratteristica: quando la vendiamo a un cliente, possiamo identificarla e collegarla al suo account. Ciò significa che il traffico dati del dispositivo passa attraverso il nostro gateway, che agisce come un filtro di sicurezza.

In questo modo siete certi che ogni segnale in uscita dal dispositivo passi attraverso di voi e non vada dove non dovrebbe andare…

Nathan Howe: Esattamente.

Come funziona la configurazione?

Nathan Howe: Dipende dal dispositivo. Per quelli moderni, non serve fare nulla. Per i dispositivi più vecchi, invece, è diverso. Possiamo inviare informazioni per cambiare la configurazione ma alcuni potrebbero non supportare questa possibilità.

Possiamo inserire fino a otto IMSI su una SIM, permettendole di funzionare su otto reti diverse. E facciamo tutto da remoto. Non serve programmare la SIM direttamente; basta inserirla in un dispositivo, configurarla e controllarla. Possiamo inviare aggiornamenti e modificarla attraverso l’infrastruttura mobile, offrendo grande flessibilità e potenzialità.

Tutto ciò, a quale prezzo?

Nathan Howe: Non abbiamo un prezzo fisso e il motivo è che abbiamo clienti con esigenze molto diverse. Alcuni acquistano le Zero Trust SIM a fronte di dieci megabyte al mese di traffico, e quindi pagano tariffe dati molto basse, tipo un dollaro al mese.

D’altra parte, abbiamo clienti che generano terabyte di traffico da una singola SIM, come una telecamera di sicurezza che trasmette costantemente immagini da una certa location, e pagano centinaia di dollari al mese per l’utilizzo della rete. Il prezzo si colloca tra questi estremi, variando in base all’utilizzo specifico.

Facciamo alcuni esempi di coloro che avrebbero bisogno della Zscaler Zero Trust SIM?

Nathan Howe: Certamente. Iniziamo con un esempio comune, che riguarda molti di noi, ossia quello delle società energetiche. Nelle nostre case c’è un contatore che calcola il consumo d’energia, che ha al suo interno una SIM che comunica con la società energetica, permettendole di monitorare i consumi da remoto. Si tratta di un dispositivo sensibile, che può essere vulnerabile a modifiche o a usi impropri.

Con la nostra tecnologia, però, possiamo offrire un livello di sicurezza superiore. La Zscaler Zero Trust SIM garantisce che tutti i dati passino attraverso canali sicuri, prevenendo manomissioni o accessi non autorizzati.

Un altro esempio potrebbe essere il settore dei trasporti. Immagina un sistema di monitoraggio per le flotte di veicoli commerciali, dove ogni veicolo sia equipaggiato con una nostra SIM che trasmette dati sulla posizione, il consumo di carburante e il suo stato. La sicurezza qui è essenziale per prevenire il furto di dati sensibili o la manomissione delle informazioni.

Un terzo esempio potrebbe essere nel campo medico, come nel caso di dispositivi di monitoraggio remoto dei pazienti, che trasmettono dati vitali agli ospedali e necessitano di un livello di sicurezza estremamente elevato. Le Zscaler Zero Trust SIM possono garantire che questi dati sensibili siano protetti da accessi non autorizzati, mantenendo la privacy del paziente e l’integrità delle informazioni mediche.

Interessante. Altri esempi?

Nathan Howe: Il mio preferito sono i ceppi che mettono sulle ruote quando parcheggi in divieto di sosta. Da noi questi blocchi hanno delle SIM al loro interno per monitorare la situazione: dicono alla centrale che la ruota è bloccata, da quanto tempo lo è, insieme ad altre informazioni telemetriche.

Alcuni hanno scoperto che rompendo i ceppi e rimuovendo le SIM, si può avere una connessione a internet illimitata. Così, hanno iniziato a usarle nei loro dispositivi personali per guardare ad esempio video su YouTube. Ciò ha fatto esplodere i costi di connessione internet per le aziende che gestiscono questi dispositivi. Con la nostra soluzione ciò non succederebbe, perché abbiamo pieno controllo sulle applicazioni utilizzate, il traffico e gli accessi.

Un altro esempio interessante simile riguarda le infrastrutture distribuite. Penso alle reti ferroviarie, che sono dotate di sensori lungo le linee per sapere dove si trovano i treni. Questi non possono essere connessi tramite i normali cavi, perché sarebbe troppo costoso. Così, anni fa, li hanno agganciati a reti 2G, che esistono ancora oggi.

Chiunque però può avvicinarsi ai sensori, estrarre le SIM e usarle. E siccome spesso queste comunicano attraverso reti private, si tratta di vere e proprie porte che si aprono sulle aziende ferroviarie. Il che è un bel rischio…

Altrei esempi interessanti sono i distributori automatici, che comunicano all’azienda tramite SIM la necessità di rifornimenti, o le cavigliere per i detenuti ai domiciliari. Ogni giorno, comunque, i clienti mi raccontano nuovi casi d’uso…

Immagino applicazioni molto utili nell’automotive. Siete già in discussione con alcune case?

Nathan Howe: Purtroppo non posso menzionare le aziende con cui siamo in trattativa, posso comunque dire che stiamo collaborando con diversi clienti in questo momento e che ogni auto moderna crea almeno cinque gigabyte di dati telemetrici al mese.

Parliamo di temperatura del motore, sensori della pressione dell’olio, pressione delle gomme… tutto viene raccolto e inviato ai costruttori, che così sanno tutto sulle loro macchine, ovunque si trovino nel mondo.

Molti privati sarebbero felici di mettere in sicurezza i loro dispositivi personali con una Zscaler Zero Trust SIM…

Nathan Howe: È qualcosa che abbiamo esplorato diverse volte con vari partner delle telecomunicazioni. Ma l’ostacolo non è la tecnologia, totalmente alla nostra portata, quanto la gestione delle policy per milioni di utenti finali.

Ad esempio, come posso configurare la mia policy in modo che sappia quando qualcosa va storto? Le aziende hanno un team di sicurezza che prende i log di sistema e capisce cosa sta succedendo. Mia mamma, invece, non saprebbe come fare.

Sono assolutamente favorevole alla protezione degli utenti finali, penso sia una grande opportunità ma è molto difficile da realizzare.

Anche perché, oltre alle policy, c’è anche un altro problema: cosa succederebbe quando, sempre mia madre, dovesse chiamare il nostro call center per chiedere supporto? Come risolveremmo il problema? Come faremmo a condividere le informazioni?

Sono però d’accordo con te che molte persone pagherebbero volentieri una somma ogni mese per disporre di questi servizi. Chissà…

---

---

---

https://www.securityinfo.it/2024/08/06/nathan-howe-ecco-come-zscaler-protegge-i-dispositivi-iot-ot/?utm_source=rss&utm_medium=rss&utm_campaign=nathan-howe-ecco-come-zscaler-protegge-i-dispositivi-iot-ot

Hackers delivered malware to Windows and Mac users by compromising their Internet service provider and then tampering with software updates delivered over unsecure connections, researchers said.

The attack, researchers from security firm Volexity said, worked by hacking routers or similar types of device infrastructure of an unnamed ISP. The attackers then used their control of the devices to poison domain name system responses for legitimate hostnames providing updates for at least six different apps written for Windows or macOS. The apps affected were the 5KPlayer, Quick Heal, Rainmeter, Partition Wizard, and those from Corel and Sogou.

These aren’t the update servers you’re looking for

Because the update mechanisms didn’t use TLS or cryptographic signatures to authenticate the connections or downloaded software, the threat actors were able to use their control of the ISP infrastructure to successfully perform machine-in-the-middle (MitM) attacks that directed targeted users to hostile servers rather than the ones operated by the affected software makers. These redirections worked even when users employed non-encrypted public DNS services such as Google’s 8.8.8.8 or Cloudflare’s 1.1.1.1 rather than the authoritative DNS server provided by the ISP.

“That is the fun/scary part—this was not the hack of the ISPs DNS servers,” Volexity CEO Steven Adair wrote in an online interview. “This was a compromise of network infrastructure for Internet traffic. The DNS queries, for example, would go to Google’s DNS servers destined for 8.8.8.8. The traffic was being intercepted to respond to the DNS queries with the IP address of the attacker’s servers.”

In other words, the DNS responses returned by any DNS server would be changed once it reached the infrastructure of the hacked ISP. The only way an end user could have thwarted the attack was to use DNS over HTTPS or DNS over TLS to ensure lookup results haven’t been tampered with or to avoid all use of apps that deliver unsigned updates over unencrypted connections.

Volexity provided the following diagram illustrating the flow of the attack:

As an example, the 5KPlayer app uses an unsecure HTTP connection rather than an encrypted HTTPS one to check if an update is available and, if so, to download a configuration file named Youtube.config. StormBamboo, the name used in the industry to track the hacking group responsible, used DNS poisoning to deliver a malicious version of the Youtube.config file from a malicious server. This file, in turn, downloaded a next-stage payload that was disguised as a PNG image. In fact, it was an executable file that installed malware tracked under the names MACMA for macOS devices or POCOSTICK for Windows devices.

MACMA first came to light in a 2021 post published by Google’s Threat Analysis Group, a team that tracks malware and cyberattacks backed by nation-states. The backdoor was written for macOS and iOS devices and provided a full suite of capabilities including device fingerprinting, screen capture, file downloading and uploading, execution of terminal commands, audio recording, and keylogging.

POCOSTICK, meanwhile, has been in use since at least 2014. Last year, security firm ESET said the malware, which it tracked under the name MGBot, was used exclusively by a Chinese-speaking threat group tracked as Evasive Panda.

ESET researchers determined that the malware was installed through legitimate updates of benign software, but they weren’t sure how that happened. One possibility, the researchers said at the time, was through a supply-chain attack that replaced the legitimate updates with malicious ones at the very source. The other possible scenario was through a MitM attack on the servers delivering the updates. Volexity’s findings now confirm that the latter explanation is the correct one.

In at least one case in the most recent attacks, StormBamboo forced a macOS device to install a browser plugin Volexity tracks under the name RELOADEXT. The extension masquerades as one that loads webpages to be compatible with Internet Explorer. In fact, Volexity said, it copies browser cookies and sends them to a Google Drive account controlled by the attackers. The data was base64 encoded and encrypted using the Advanced Encryption Standard. Despite the care taken by the hackers, they nonetheless exposed the client_id, client_secret, and refresh_token in the malicious extension.

One other technique Volexity observed was StormBamboo’s use of DNS poisoning to hijack www.msftconnecttest.com, a domain Microsoft uses to determine if Windows devices are actively connected to the Internet. By replacing the legitimate DNS resolution with an IP address pointing to a malicious site operated by the threat actors, they could intercept HTTP requests destined for any host.

Adair declined to identify the hacked ISP other than to say it’s “not a big huge one or one you’d likely know.”

“In our case the incident is contained, but we see other servers that are actively serving malicious updates but we do not know where they are being served from,” he said. “We suspect there are other active attacks around the world we do not have purview into. This could be from an ISP compromise or a localized compromise to an organization such as on their firewall.”

As noted earlier, there are many options for preventing these sorts of attacks beyond (1) eschewing all software that updates unsecurely or (2) using DNS over HTTPS or DNS over TLS. The first method is likely the best, although it likely means having to stop using a preferred app in at least some cases. The alternative DNS configurations are viable, but at the moment are offered by only a handful of DNS providers, with 8.8.8.8 and 1.1.1.1 being the best known.

https://arstechnica.com/?p=2041175

A mysterious family of Android malware with a demonstrated history of effectively concealing its myriad spying activities has once again been found in Google Play after more than two years of hiding in plain sight.

The apps, disguised as file-sharing, astronomy, and cryptocurrency apps, hosted Mandrake, a family of highly intrusive malware that security firm Bitdefender called out in 2020. Bitdefender said the apps appeared in two waves, one in 2016 through 2017 and again in 2018 through 2020. Mandrake’s ability to go unnoticed then was the result of some unusually rigorous steps to fly under the radar. They included:

• Not working in 90 countries, including those comprising the former Soviet Union
• Delivering its final payload only to victims who were extremely narrowly targeted
• Containing a kill switch the developers named seppuku (Japanese form of ritual suicide) that fully wiped all traces of the malware
• Fully functional decoy apps in categories including finance, Auto & Vehicles, Video Players & Editors, Art & Design, and Productivity
• Quick fixes for bugs reported in comments
• TLS certificate pinning to conceal communications with command and control servers.

Lurking in the shadows

Bitdefender estimated the number of victims in the tens of thousands for the 2018 to 2020 wave and “probably hundreds of thousands throughout the full 4-year period.”

Following Bitdefender’s 2020 report, Mandrake-infected apps seemed to vanish from Play. Now, security firm Kaspersky has reported that the apps reappeared in 2022 and went unnoticed until now. Besides a new round of decoy apps, the Mandrake operators also introduced several measures to better conceal their malicious behavior, avoid analysis from “sandboxes” used by researchers to identify and study malware, and combat malware protections introduced in recent years.

“The Mandrake spyware is evolving dynamically, improving its methods of concealment, sandbox evasion, and bypassing new defense mechanisms,” Kaspersky researchers Tatyana Shishkova and Igor Golovin wrote. “After the applications of the first campaign stayed undetected for four years, the current campaign lurked in the shadows for two years, while still available for download on Google Play. This highlights the threat actors’ formidable skills, and also that stricter controls for applications before being published in the markets only translate into more sophisticated, harder-to-detect threats sneaking into official app marketplaces.

A key feature of the latest generation of Mandrake is multiple layers of obfuscation designed to prevent analysis by researchers and bypass the vetting process Google Play uses to identify malicious apps. All five of the apps Kaspersky discovered first appeared in Play in 2022 and remained available for at least a year. The most recent app was updated on March 15 and removed from the app market later that month. As of earlier this month, none of the apps were detected as malicious by any major malware detection provider.

One means of obfuscation was to move malicious functionality to native libraries, which were obfuscated. Previously, Mandrake stored the malicious logic of the first stage in what’s known as the application DEX file, a type of file that’s trivial to analyze. By switching the location to the native library libopencv_dnn.so, the Mandrake code is harder to analyze and detect because the native libraries are more difficult to inspect. By then obfuscating the native library using the OLLVM obfuscator, Mandrake apps were even more stealthy.

The chief purposes of Mandrake are to steal the user’s credentials and download and execute next-stage malicious applications. But these actions are carried out only in later-stage infections that are served only to a small number of carefully selected targets. The primary method is by recording the screen while a victim is entering a passcode. The screen recording is initiated by a control server sending commands such as start_v, start_i, or start_a. The researchers explained:

When Mandrake receives a start_v command, the service starts and loads the specified URL in an application-owned webview with a custom JavaScript interface, which the application uses to manipulate the web page it loads.

While the page is loading, the application establishes a websocket connection and starts taking screenshots of the page at regular intervals, while encoding them to base64 strings and sending these to the C2 server. The attackers can use additional commands to adjust the frame rate and quality. The threat actors call this “vnc_stream”. At the same time, the C2 server can send back control commands that make application execute actions, such as swipe to a given coordinate, change the webview size and resolution, switch between the desktop and mobile page display modes, enable or disable JavaScript execution, change the User Agent, import or export cookies, go back and forward, refresh the loaded page, zoom the loaded page and so on.

When Mandrake receives a start_i command, it loads a URL in a webview, but instead of initiating a “VNC” stream, the C2 server starts recording the screen and saving the record to a file. The recording process is similar to the “VNC” scenario, but screenshots are saved to a video file. Also in this mode, the application waits until the user enters their credentials on the web page and then collects cookies from the webview.

The start_a command allows running automated actions in the context of the current page, such as swipe, click, etc. If this is the case, Mandrake downloads automation scenarios from the URL specified in the command options. In this mode, the screen is also recorded.

Screen recordings can be uploaded to the C2 with the upload_i or upload_d commands.

Neither Kaspersky nor Bitdefender provided attribution for the group or what its motives are for spreading a spyware and credential-stealing app as sophisticated as Mandrake. The apps Kaspersky discovered appear in the table below. Google has since removed them from Play. Additional indicators of compromise can be found in the Kaspersky post.

Package name	App name	MD5	Developer	Released	Last updated on Google Play	Downloads
com.airft.ftrnsfr	AirFS	33fdfbb1acdc226eb177eb42f3d22db4	it9042	Apr 28, 2022	Mar 15, 2024	30,305
com.astro.dscvr	Astro Explorer	31ae39a7abeea3901a681f847199ed88	shevabad	May 30, 2022	Jun 06, 2023	718
com.shrp.sght	Amber	b4acfaeada60f41f6925628c824bb35e	kodaslda	Feb 27, 2022	Aug 19, 2023	19
com.cryptopulsing.browser	CryptoPulsing	e165cda25ef49c02ed94ab524fafa938	shevabad	Nov 02, 2022	Jun 06, 2023	790
com.brnmth.mtrx	Brain Matrix	–	kodaslda	Apr 27, 2022	Jun 06, 2023	259

https://arstechnica.com/?p=2040171

Lug 30, 2024 Marina Londei In evidenza, Malware, Minacce, News 0

---

Stargazer Goblin, gruppo hacker di provenienza sconosciuta, ha creato una “rete fantasma” di account GitHub per diffondere malware composta da oltre 3.000 account falsi. A scoprirlo sono stati i ricercatori di Check Point Research, i quali hanno rilevato che la rete di account distribuiva diversi tipi di malware, compresi Lumma Stealer e Rhadamanthys.

Di solito nel mondo del cybercrimine GitHub viene usato per distribuire codice malevolo tramite repository creati appositamente che rimangono online per poco tempo. Questo tipo di attacchi non vuole portare gli utenti a scaricare ed eseguire payload direttamente dal repository, ma mira piuttosto a far eseguire uno script che scarica ed esegue payload da fonti apparentemente legittime.

Nel caso della rete di Stargazer Goblin, ribattezzata “Stargazers Ghost Network”, il repository malevolo contiene un link che appare come “verificato” dai numerosi account GitHub falsi,  il che lo fa apparire come legittimo.

Come funziona la rete fantasma

Gli account della rete hanno tutti dei “compiti” diversi: tra i principali c’è la gestione dei template per il phishing, la distribuzione dell’immagine per il phishing e la distribuzione dei malware.

Il fatto di utilizzare numerosi account, ognuno dei quali si occupa di attività come lo starring e l’hosting del repository o dei payload malevoli, consente al gruppo di minimizzare le proprie perdite quando GitHub interrompe le attività illecite degli account: la rete rimane online e solo una piccola porzione di essa si ferma.

I malware vengono distribuiti tramite archivi protetti da password, un modo per eludere molti dei controlli di sicurezza della piattaforma. Tra i malware, oltre a quelli già citati, i ricercatori hanno individuato RisePro, Atlantida Stealer e RedLine. In alcuni casi i repository contengono dei link che rimandano a siti esterni dai quali viene scaricato uno script malevolo, responsabile in ultima analisi del download ed esecuzione del malware.

La campagna sembra aver preso di mira utenti che volevano aumentare i propri follower su altre piattaforme.

I malware su GitHub sono solo l’inizio

Secondo i ricercatori, la rete di Stargazer Goblin è attiva da agosto 2022, anche se gli attaccanti hanno cominciato a operare su larga scala da luglio 2023. Il team di Check Point Research stima un guadagno complessivo di circa 100.000 dollari.

3.000 è solo una stima al ribasso degli account creati dal gruppo ,e visto che la campagna continua ad avere successo, è molto probabile che la rete stia continuando a espandersi, compromettendo anche account esistenti di normali utenti GitHub.

I ricercatori sottolineano che gli account creati dal gruppo non operano solo su GitHub per diffondere malware, ma anche su Twitter, YouTube, Discord, Instagram, Facebook e molte altre piattaforme, sempre per legittimare i link usati per scaricare i payload malevoli.

Il timore è che nel prossimo futuro gli account fantasma possano utilizzare l’intelligenza artificiale per generare contenuti diversificati e mirati, non solo testuali ma anche contenenti immagini e video. “È iniziata una nuova era della distribuzione di malware, in cui ci aspettiamo che questo tipo di operazioni si verifichino con maggiore frequenza, rendendo sempre più difficile distinguere i contenuti legittimi dal materiale dannoso” avvertono i ricercatori.

---

---

---

https://www.securityinfo.it/2024/07/30/stargazer-goblin-ha-creato-3-000-account-github-per-diffondere-malware/?utm_source=rss&utm_medium=rss&utm_campaign=stargazer-goblin-ha-creato-3-000-account-github-per-diffondere-malware

Lug 26, 2024 Marina Londei Hacking, In evidenza, Malware, News 0

---

Tanti videogiocatori si affidano ai cheat per avere più possibilità di vincere nei videogiochi, trucchi che gli consentono di ottenere benefici che il titolo normalmente non offre. Utilizzare i cheat non è soltanto scorretto nei confronti degli altri videogiocatori, ma può essere anche pericoloso: è il caso del popolare EvolvedAim, un cheat per Escape From Tarkov che conteneva un infostealer. 

Il videogioco è un noto simulatore militare realistico che conta 14,76 milioni di giocatori e centinaia di cheat in vendita. Tra questi, EvolvedAim ha guadagnato popolarità perché offre numerose funzionalità, come il trading automatico nella casa d’aste del gioco e l’addestramento automatico per sviluppare abilità specifiche.

David El, malware researcher di CyberArk Labs, spiega che il malware nei cheat non è raro, ma in questo caso l’impatto potenziale è elevato: Escape From Tarkov è molto popolare tra i giovani adulti (dai 25 anni in su), così come il trucco che prevede un modello in abbonamento, studiato per colpire utenti adulti. Le informazioni sottratte possono essere usate per far leva e ottenere accesso ai dati personali degli utenti.

Più di un anno fa Mythical, il principale sviluppatore di EvolvedAim, ha contattato EDP, proprietario di uno dei più grandi forum di cheat e bot per il videogioco, per proporgli di mettere in vendita il suo strumento, condividendo una parte dei profitti. Nel corso dell’ultimo anno entrambe le parti hanno generato un buon flusso di entrate e il cheat è diventato famoso anche al di fuori del forum, tanto che Mythical ha iniziato a metterlo in vendita sul proprio sito.

È a questo punto che sono iniziati i problemi: Mythical, raggiunta la notorietà col suo cheat, voleva ridurre la quota di profitti di EDP pur continuando a rivendere EvolvedAim sul suo forum; nel frattempo, il proprietario del forum ha iniziato a notare diversi tentativi di accesso ai suoi account e la comparsa di screenshot del suo desktop.

Come agisce EvolvedAim

El spiega che il cheat è scritto in Python 3.10 e viene convertito in eseguibile usando la libreria PyInstaller. Quando si esegue EvolvedAim, viene mostrata una casella di input che richiede di inserire una chiave di licenza. Il danno ormai è fatto: l’infostealer ha già raccolto le informazioni, in quanto il codice malevolo viene eseguito in un thread separato da quello principale del cheat.

Nel dettaglio, il software esegue quattro thread: due sono benigni, usati per l’effettiva funzionalità del cheat, mentre gli altri sono dannosi e vengono eseguiti con nomi non sospetti come discord_to_bot e run_antivm.

I quattro thread vengono eseguiti simultaneamente: run_antivm appare come un  rilevamento anti-virtual machine ma, in realtà, esegue la logica dannosa. Questo thread controlla inizialmente il nome del PC e, se corrisponde a uno dei due nomi inseriti nella black list, non procede con il furto di informazioni. I nomi inseriti nella black list sono quelli dei due sviluppatori del cheat.

A seguire viene eseguita la logica per la raccolta e l’esfiltrazione delle informazioni, le quali comprendono le password e i valori dei cookie dai principali browser, compresi Chrome, Firefox e Opera, ma anche Tor, Torch e Vivaldi. Vengono inoltre raccolti e caricati tutti i file memorizzati dall’estensione del popolare portafoglio di criptovalute MetaMask, oltre ai file sensibili di Discord e Steam, l’elenco di file dalle cartelle Documenti e Download, e viene scattato uno screenshot al desktop.

I dati raccolti vengono archiviati temporaneamente in una cartella e compressi in un archivio .zip col nome del PC colpito; l’archivio viene in seguito caricato su Mega.nz. A questo punto, l’infostealer usa un webhook di Discord per notificare l’attaccante sul server.

Il thread discord_to_bot si occupa invece di gestire i comandi inviati dall’attaccante. Il cybercriminale può decidere di interrompere l’esecuzione dell’infostealer, cancellare un file o una cartella dal PC colpito, raccogliere un file o una cartella dalla vittima o eliminare il comando dal database utilizzato per verificare se il client è ancora attivo.

Le conseguenze della scoperta

Dopo aver scoperto la vera identità del cheat, EDP e altri proprietari dei forum hanno avvisato i propri utenti e hanno bandito Mythical dai propri server. CyberArk Labs ipotizza più di un migliaio di utenti colpiti, con una quantità di informazioni sottratte significativa.

“Il malware nei cheat e nei software craccati non è raro, ma questo è il primo caso in cui ci siamo imbattuti in uno sviluppatore di cheat a pagamento che si è arricchito attaccando i suoi stessi clienti” afferma El. Il ricercatore spiega inoltre che il danno non è limitato alla vittima, perché gli utenti possono accedere ai propri account lavorativi dai loro PC personali ed esporre la propria azienda a potenziali pericoli.

EvolvedAim ora non è più attivo e il server Discord è stato chiuso, così come il negozio online.

---

---

---

https://www.securityinfo.it/2024/07/26/evolvedaim-infostealer-nascosto-nel-cheat-per-escape-from-tarkov/?utm_source=rss&utm_medium=rss&utm_campaign=evolvedaim-infostealer-nascosto-nel-cheat-per-escape-from-tarkov

Lug 22, 2024 Marina Londei Attacchi, Hacking, Malware, Minacce, News, RSS 0

---

I ricercatori di Trend Micro hanno scoperto una variante Linux del ransomware Play che cifra i file solo quando si trova in un ambiente ESXi VMware. Il gruppo è attivo dal 2022, ma è la prima volta che esegue campagne attaccando i sistemi Linux.

Finora il ransomware ha colpito per lo più organizzazioni negli Stati Uniti, in particolare quelle del settore manifatturiero e dei servizi professionali. La variante Linux indica che il gruppo sta cercando di espandersi per colpire nuove vittime e aumentare i propri guadagni.

I ricercatori spiegano che il gruppo ottiene l’accesso iniziale ai sistemi tramite tecniche di phishing, sottraendo credenziali valide di utenti aziendali. In seguito, dopo aver stabilito la comunicazione, esegue una serie di tool per individuare altre macchine da infettare (Netscan), per il movimento laterale (PsExec), per la gestione dei comandi inviati dal server C2 (Coroxy backdoor) e per l’esfiltrazione dei dati (WinRAR e WinSCP).

La variante ESXi esegue una serie di comandi relativi a questo ambiente per capire se si trova effettivamente in un ambiente VMware; in caso positivo, prosegue con il flusso di infezione, altrimenti termina il processo e cancella tutti i file creati.

Tra i file cifrati ci sono anche quelli relativi alla VM, come le informazioni sui dischi, le configurazioni e i metadati. La maggior parte dei file cifrati contiene informazioni critiche sulle applicazioni e sull’utente della macchina. Dopo aver concluso il processo di cifratura, la variante Linux del ransomware appende l’estensione “.play” ai file risultanti e crea una nota per il riscatto nella directory di root contenente i link ai siti Tor del gruppo.

Secondo l’analisi dei ricercatori, l’URL da cui gli attaccanti scaricano il payload del ransomware è collegato a Prolific Puma, un altro gruppo di cybercriminali. Prolific Puma è noto per generare nomi di dominio tramite un algoritmo apposito e utilizzarli per offrire un servizio di link-shortening per gli altri attaccanti, i quali lo usano poi per eludere i controlli durante le campagne di phishing e malware.

Per proteggere efficacemente gli ambienti ESXi (e non solo) dai ransomware, i ricercatori ricordano di applicare regolarmente le patch e installare gli ultimi aggiornamenti disponibili, segmentare la rete e implementare meccanismi robusti per il controllo degli accessi. Per minimizzare la superficie di attacco è inoltre fondamentale disabilitare tutti i servizi e i protocolli non utilizzati. Infine, è opportuno pianificare ed eseguire backup regolari e risolvere le potenziali configurazioni errate degli ambienti di lavoro.

---

---

---

https://www.securityinfo.it/2024/07/22/scoperta-una-variante-linux-del-ransomware-play-che-colpisce-gli-ambienti-esxi/?utm_source=rss&utm_medium=rss&utm_campaign=scoperta-una-variante-linux-del-ransomware-play-che-colpisce-gli-ambienti-esxi