I leak del codice dei ransomware favoriscono la diffusione di nuove varianti


I ransomware continuano a essere una delle minacce più diffuse al mondo. I gruppi di cybercriminali continuano a studiare nuove tecniche per accedere ai sistemi e passare inosservati, collaborano tra loro e si sciolgono e ricompongono continuamente per creare nuove comunità e rendere più difficile il lavoro delle autorità.

Secondo i ricercatori di Talos, a favorire la nascita di nuove e più agguerrite famiglie di ransomware ci sono anche i molteplici leak di codice sorgente, spesso intenzionali. 

I primi leak sono stati individuati nel 2021, quando il codice di famiglie come Babuk, Conti, LockBit 3.0 e Chaos è stato condiviso nei forum del cybercrimine.

ransomware - Credits: kaptn - Depositphotos

Credits: kaptn – Depositphotos

Generalmente lo sviluppo di un ransomware richiede una conoscenza approfondita della programmazione, ma la pubblicazione degli algoritmi dei malware ha permesso anche agli attaccanti meno esperti di sviluppare una propria variante in poco tempo; di fatto, anche i leak hanno contribuito alla democratizzazione del cybercrimine.

Oltre al codice, spesso i gruppi criminali condividono anche i builder dei ransomware, ovvero interfacce interattive che permettono di generare una nuova variante del malware in pochi passi.

Le nuovi varianti dei ransomware

Dall’inizio del 2023 i ricercatori hanno individuato molteplici nuove varianti dei ransomware più conosciuti; tra queste c’è MortalKombat, generata dal builder di Xorist e attiva da fine dicembre 2022, che prendeva di mira individui e piccole compagnie fingendosi un operatore di CoinPayments.

Più recentemente, i ricercatori di Talos hanno individuato alcuni attacchi riconducibili a RA Group che si basavano sul codice sorgente di Babuk, un ransomware russo emerso nel 2021. RA Group non è l’unico gruppo ransomware ad aver sfruttato il codice del malware russo: insieme a lui ci sono gli attori dietro ESXiArgs, Rorsach e RTM Locker.

A partire da giugno scorso, è emerso inoltre un nuovo attaccante, probabilmente di origini vietnamite, che usa una variante di Yashma per colpire vittime in diverse nazioni. Secondo i ricercatori, le note di riscatto lasciate dall’attaccante sono molto simili a quelle di WannaCry nel 2017.

ransomware

Pixabay

Stando alla ricerca di Talos, i gruppi delle nuove varianti sembrano essere più “conservativi” e chiedono cifre minori per i riscatti rispetto a gruppi ransomware molto conosciuti, dai quali hanno ottenuto il codice del malware. È probabile che il loro scopo sia mettere alla prova la variante creata, cercando di non dare troppo nell’occhio.

La condivisione del codice sorgente dei ransomware è un problema molto sentito nella comunità dei ricercatori di sicurezza: non solo emergono sempre più varianti e in minor tempo, ma il fatto che condividano lo stesso codice sorgente rende più difficile l’analisi degli attacchi, col rischio di attribuire erroneamente una campagna a un determinato gruppo.

In questo caso, spiega Talos, la collaborazione tra i gruppi di sicurezza e la condivisione di informazioni è fondamentale per creare un quadro chiaro della situazione e bloccare le nuove varianti sul nascere.

Condividi l’articolo



Articoli correlati

Altro in questa categoria


https://www.securityinfo.it/2023/08/18/i-leak-del-codice-dei-ransomware-favorisce-la-diffusione-di-nuove-varianti/?utm_source=rss&utm_medium=rss&utm_campaign=i-leak-del-codice-dei-ransomware-favorisce-la-diffusione-di-nuove-varianti




Il panorama della sicurezza informatica secondo Cisco


Cisco ha recentemente organizzato un incontro con la stampa per presentare i risultati di alcune ricerche svolte dall’azienda a livello globale e nazionale, con l’obbiettivo di individuare le tendenze più importanti e catturare una fotografia d’insieme del panorama della sicurezza informatica.

Le principali tendenze a livello globale rimangono quelle emerse negli ultimi tempi, con grande crescita dei temi legati alla supply chain.

Innanzi tutto, la pandemia ha reso difficile la gestione degli asset per le aziende; ora però l’emergenza è passata ed è necessario compiere tutti i passaggi necessari per garantire una visione complessiva su tutti i dispositivi che possono accedere all’infrastruttura, a vario titolo e con diversi livelli.

In secondo luogo, l’azienda ha voluto sottolineare che i ransomware sono una delle molte azioni che gli attaccanti possono compiere una volta preso il controllo dei sistemi. Ci si può quindi preparare per un ransomware, ma una volta che gli attaccanti sono entrati nel sistema bisogna anche essere in grado rispondere prontamente a eventuali cambi di strategia.

Le incertezze economiche hanno rallentato e ritardato le spese per la sicurezza da parte delle aziende; molte organizzazioni rimandano gli investimenti all’anno prossimo, oppure mettono in sicurezza soltanto parte delle infrastrutture; ma la sicurezza non cresce linearmente con l’investimento ed eventuali buchi mettono a repentaglio l’intera operatività dell’impresa.

Infine, Cisco sottolinea come sia necessaria e fortemente richiesta una maggiore visibilità sulla supply chain; i Ciso vogliono più informazioni sui software che vengono utilizzati e integrati con le piattaforme aziendali.

La soglia di povertà nella cyber security

Un capitolo molto interessante nell’incontro è stato quello dedicato a un aspetto spesso trascurato ma di grande impatto, sia dal punto di vista sociale sia da quello operativo: Cisco, infatti, ha definito come soglia di povertà della sicurezza informatica il livello sotto cui un’azienda non è in grado di proteggersi in modo efficace.

Questo fenomeno non riguarda soltanto le aziende piccole, ma può invece interessare anche organizzazioni grandi, e può manifestarsi in vari modi: toccando le disponibilità economiche, le competenze, le capacità o l’influenza.

Il fattore denaro è il più semplice da definire: ci sono aziende che non si possono permette i costi degli strumenti di protezione e delle persone deputate a implementarli e utilizzarli.

Le competenze indicano la capacità di comprendere cosa è necessario per la sicurezza di base e quali sono i passi da compiere per garantirla. Non è un compito semplice, perché anche gli esperti spesso non hanno una visione chiara dei requisiti di base.

Le capacità indicano invece la possibilità di implementare davvero i progetti, senza essere bloccati da problemi ambientali o logistici, relativi alla cultura aziendale o al settore in cui lavora.

L’influenza, infine, è la capacità di spingere i fornitori a effettuare modifiche e miglioramenti; questo è molto più semplice per le aziende più grandi, ma invece potrebbe essere impossibile per una Pmi.

Questi problemi riguardano tutti, sempre più spesso: una ricerca ha mostrato come l’attacco ransomware a BlackBaud ha coinvolto in varia misura oltre 800 organizzazioni, compresi enti no-profit e attori del settore sanitario. Se le organizzazioni no-profit (o gli ospedali) si bloccano ci sono impatti significativi sulla società civile, che colpiscono in particolare le fasce più deboli della popolazione.

Le organizzazioni sotto la soglia di povertà possono essere coinvolte in attacchi o problemi con cui non hanno una connessione diretta e finire per pagare i costi di questi eventi.

Il barometro sicurezza per l’Italia

L’azienda ha poi presentato una ricerca denominata Barometro sicurezza, che ha raccolto un notevole numero di interviste a Ciso italiani per individuare le tendenze più importanti nel settore.

In un panorama sostanzialmente stabile (il primo posto tra le minacce più frequenti è occupato dal phishing), uno dei trend più significativi è la crescita degli attacchi Ddos, che ha visto un incremento sostanziale dopo lo scoppio del conflitto in Ucraina.

In generale, il panorama è molto più ricco di tensioni rispetto all’anno scorso: il Ministero dell’interno ha infatti rilevato un incremento degli attacchi pari al 78,5% a luglio 2022, e anche i dati Clusit confermano la tendenza con un ancora superiore +82% negli attacchi rilevati.

Secondo gli intervistati, gli aspetti che necessitano di più attenzione sono la scarsità di risorse (70%) e di competenze (68%). Positiva è la crescita nell’implementazione di strategie di threat intelligence: tra team interni ed esterni sono adottati dal 58% delle aziende.

Per quanto riguarda le intenzioni di investimento per il prossimo anno, il 53% delle aziende ha intenzione di spendere per strumenti di disaster recovery, in crescita del 20% rispetto all’anno scorso. Notevoli sono anche gli incrementi nel settore della cloud security (+21%) e nella sicurezza IoT, che rimane un mercato piccolo in termini assoluti (19%) ma in grande crescita rispetto all’anno scorso (+35%).

Per rispondere alle richieste delle aziende Cisco propone un approccio di sicurezza integrato, che segue il paradigma della security resilience.  Grazie agli strumenti proposti dall’azienda, e in particolare il Cisco Security Cloud, si può far evolvere la sicurezza dalla prevenzione alla detection/response/recovery, passare dall’approccio basato su silo a un’infrastruttura connessa, da un sistema basato sugli alert a una logica di contesto.

Grande importanza per le soluzioni di sicurezza dell’azienda sono le funzioni di threat intelligence di Cisco Talos (il team non governativo più grande al mondo), composto da 450 ingegneri che hanno accesso alle informazioni di tutto il traffico trattato dai dispositivi dell’azienda.

Non sono numeri di poco conto: infatti, l’80% del traffico Internet viaggia su sistemi Cisco; gli strumenti dell’azienda servono 840.000 reti al mondo, 67 milioni di mailbox e 87 milioni di endpoint. Questi dati offrono a Cisco, e in particolare al suo team di threat intelligence, una posizione privilegiata per analizzare le dinamiche legati alle minacce di sicurezza.

L’azienda deve quindi gestire un’enorme base di dati, che richiedono l’ausilio di strumenti automatici basati sull’intelligenza artificiale. Basti pensare che Cisco rileva 1,4 milioni di sample di malware ogni giorno.

Condividi l’articolo



Articoli correlati

Altro in questa categoria


https://www.securityinfo.it/2022/11/29/il-panorama-della-sicurezza-informatica-secondo-cisco/?utm_source=rss&utm_medium=rss&utm_campaign=il-panorama-della-sicurezza-informatica-secondo-cisco




Falla nel kernel di Linux apre la strada ad attacchi


La vulnerabilità interessa i dispositivi con architettura ARM e consentirebbe di accedere a informazioni conservate nel kernel del sistema.

Una vulnerabilità decisamente pericolosa, al punto che i ricercatori di Talos, che ne hanno rilevato l’esistenza, hanno aspettato quasi 5 mesi dalla sua correzione per renderne pubblici i dettagli.

La falla di sicurezza, spiegano gli esperti in un dettagliato report, riguarda il kernel dei sistemi Linux per dispositivi basati su architettura ARM a 32 bit e potrebbe consentire a un pirata informatico di accedere ai dati contenuti nella memoria del kernel stesso.

Stando a quanto viene riportato nel documento, il bug (CVE-2020-28588) è stato individuato in un’installazione di Azure Sphere ma interessa potenzialmente un numero ben più ampio di implementazioni di Linux.

kernel Linux

La vulnerabilità, in pratica, consentirebbe un attacco in grado di aggirare il sistema Kernel Address Space Layout Randomization (KASLR), pensato per prevenire attacchi attraverso un posizionamento casuale di vari oggetti per impedire l’individuazione di pattern prevedibili nelle informazioni memorizzate.

In questo modo, un pirata informatico in grado di sfruttare il bug potrebbe ottenere l’accesso a varie informazioni riguardanti tutti i processi attivi. A peggiorare la situazione c’è il fatto che l’attacco stesso, per le sue caratteristiche, sarebbe impossibile da rilevare a livello di rete.

Nel report, i ricercatori di Talos incoraggiano tutti gli utenti a installare gli aggiornamenti con la massima urgenza. Le versioni del kernel affette sono la 5.10-rc4, 5.4.66 e la 5.9.8. La patch, invece, è stata rilasciata lo scorso 3 dicembre e tutte le versioni successive a quella data sono quindi “immuni” a eventuali attacchi.

Condividi l’articolo



Articoli correlati

Altro in questa categoria


https://www.securityinfo.it/2021/04/29/falla-nel-kernel-di-linux-apre-la-strada-ad-attacchi/?utm_source=rss&utm_medium=rss&utm_campaign=falla-nel-kernel-di-linux-apre-la-strada-ad-attacchi




Microsoft corregge vulnerabilità critiche in Azure Sphere


Le falle di sicurezza nella soluzione Microsoft per la gestione dei dispositivi IoT avrebbero consentito a un eventuale pirata di installare un malware.

La filiera della cyber security è sempre più complessa e, quando si parla di vulnerabilità, il loro impatto aumenta progressivamente a seconda del “layer” in cui si collocano. Secondo questa logica, le falle di sicurezza corrette da Microsoft nel suo Azure Sphere ottengono il massimo dei punti.

Il prodotto sviluppato da Microsoft, infatti, è un’appliance progettata per garantire la sicurezza dei dispositivi IoT e, sotto questa prospettiva, si colloca al vertice di una piramide in cui ogni incidente di sicurezza può ricadere, a cascata, su tutti gli altri dispositivi.

Come spiega un report pubblicato sul blog ufficiale di Talos, che ha individuato (e segnalato a Microsoft) le vulnerabilità in questione, un’eventuale exploit basato sui bug di Azure Sphere avrebbe consentito ai pirati informatici di avviare l’esecuzione di codice remoto sul device e, di conseguenza, consentire la compromissione dei dispositivi controllati.

Azure Sphere

Le quattro vulnerabilità (CVE-2021-27047; CVE-2021-27047; CVE-2021-27080; CVE-2021-28460) interessano la versione 21.01 del software di controllo e sono state corrette con la nuova versione rilasciata da Microsoft.

La stessa azienda negli scorsi mesi aveva “incoraggiato” i ricercatori di sicurezza a mettere sotto la loro lente d’ingrandimento Azure Sphere, offrendo ricompense per un totale di oltre 370.000 dollari per l’individuazione dei bug nel sistema. Un concetto che gli stessi portavoce dell’azienda di Satya Nadella hanno espresso in un post pubblicato l’anno scorso.

La logica, estremamente condivisibile, è che l’attività dei ricercatori di sicurezza può portare un’accelerazione nella messa in sicurezza del settore IoT, che sotto questo punto di vista sconta un tremendo ritardo. Dalle parti di Talos non se lo sono fatto ripetere due volte e la nuova tornata di aggiornamenti conferma che il meccanismo funziona.

La speranza, ovviamente, è che anche le aziende si sappiano allineare alla filosofia proposta da Microsoft, procedendo agli aggiornamenti in maniera tempestiva.

Condividi l’articolo



Articoli correlati

Altro in questa categoria


https://www.securityinfo.it/2021/04/15/microsoft-corregge-vulnerabilita-critiche-in-azure-sphere/?utm_source=rss&utm_medium=rss&utm_campaign=microsoft-corregge-vulnerabilita-critiche-in-azure-sphere




La botnet Prometei usa ancora EternalBlue… davvero?


Campagna di attacchi cryptojacking ai danni dei sistemi Windows. I pirati usano la solita, vecchia, vulnerabilità di Server Message Block.

Abbiamo qualche speranza di vincere la battaglia contro il cyber crimine? A guardare la cronaca recente, sembrerebbe proprio di no.

Tra le news della giornata, infatti, spicca una campagna di attacchi che punta a installare strumenti di cryptojacking sui sistemi Windows. L’exploit usato? Tenetevi forte: è EternalBlue.

La vulnerabilità, che prende di mira il Server Message Block, è emersa nel 2017 e Microsoft ha distribuito aggiornamenti mirati (anche per i sistemi operativi non più supportati) per bloccarla. Niente da fare: la sciatteria nella gestione degli aggiornamenti è evidentemente ben superiore a qualsiasi sforzo che la community della cyber security possa mettere in campo.

Il risultato è che, a tre anni distanza, ci ritroviamo con un malware in grado di sfruttare l’exploit per installare un miner che sfrutta la potenza di calcolo delle macchine infette per generare Monero.

La botnet in questione, battezzata con il nome di Prometei, utilizza in realtà un malware estremamente complesso, che secondo i ricercatori del gruppo Talos di Cisco sfrutta anche tecniche di brute forcing sui sistemi remote desktop per ottenere accesso ai sistemi.

Si tratterebbe, come si legge nel report pubblicato dal team di analisti, di un malware modulare che i pirati stanno utilizzando dallo scorso marzo, ma che sarebbe riuscito a “volare sotto i radar” fino a oggi.

Prometei

I ricercatori, inoltre, sottolineano come il malware sia distribuito su due “filoni”: uno rivolto al mining di cripto-valuta, l’altro specializzato nell’infiltrazione dei sistemi attraverso tecniche di diffusione che sfruttano, tra le altre cose, una versione modificata di Mimikatz. Secondo gli esperti di Talos, però, non c’è dubbio che il tutto sia gestito dallo stesso soggetto.

Oltre a sfruttare la potenza di calcolo delle macchine compromesse per generare MOnero, Prometei sarebbe però in grado di agire come una backdoor, consentendo al suo autore di sottrarre informazioni dalle macchine compromesse e inviarle a un server Command and Control sfruttando sistemi di comunicazione offuscati attraverso l’uso del circuito Tor.

Insomma: il quadro è quello di un malware estremamente evoluto che si avvantaggia, a tre anni di distanza, di una vulnerabilità conosciuta e per la quale esistono patch e aggiornamenti.

Condividi l’articolo



Articoli correlati
Altro in questa categoria

https://www.securityinfo.it/2020/07/24/la-botnet-prometei-usa-ancora-eternalblue-davvero/?utm_source=rss&utm_medium=rss&utm_campaign=la-botnet-prometei-usa-ancora-eternalblue-davvero




Tempo di aggiornamenti per Firefox e Zoom


Per i due software sono disponibili in queste ore gli update di sicurezza che correggono falle critiche. Zoom propone la crittografia, ma non per tutti.

Aggiornamenti importanti per Firefox e Zoom. Per entrambi le nuove versioni contengono correzioni di bug che mettono a rischio la sicurezza degli utenti.

Per quanto riguarda la versione 77 di Firefox, gli aggiornamenti risolvono, in particolare, alcuni bug che avrebbero permesso l’esecuzione di codice in remoto sulle macchine equipaggiate con il browser di Mozilla.

Le falle di sicurezza in questione sono tre e riguardano la gestione dei JavaScript (CVE-2020-12406) e vari bug che possono portare alla corruzione di memoria identificati come CVE-2020-12410 e CVE-2020-12411.

Le vulnerabilità sono state classificate ad alto rischio e avrebbero consentito l’esecuzione di codice in seguito al semplice caricamento di una pagina Web contenente un eventuale exploit.

Come d’abitudine, l’aggiornamento di Firefox è automatico, pertanto la nuova versione del browser verrà scaricata e installata al momento del primo riavvio.

Firefox Zoom

Diverse le cose per Zoom, per il quale è invece necessario il download e l’esecuzione dell’installer. I dettagli delle vulnerabilità individuate nel software di videoconferenza sono stati pubblicati dai ricercatori di Talos e si tratta di bug di una certa importanza.

Nel dettaglio, gli analisti hanno individuato un bug che avrebbe consentito di avviare l’esecuzione di codice in remoto attraverso l’invio in chat di una GIF animata (CVE-2020-6109) o di un messaggio di testo specifico (CVE-2020-611).

Entrambe le vulnerabilità avrebbero consentito di portare l’attacco a tutti i partecipanti alla conferenza video, consentendo quindi a un eventuale pirata informatico di fare una vera strage di PC in pochissimo tempo.

Qualche polemica, invece, riguarda la scelta degli sviluppatori di Zoom di limitare la protezione crittografica end to end agli utenti che hanno un account a pagamento.

La dichiarazione del CEO di Zoom Eric Yuan secondo cui la scelta punta a consentire alle forze di polizia di poter agire nei confronti di chi usa la piattaforma per scopi illegali fa infatti acqua da tutte le parti. Vista la valanga di critiche piovuta sull’azienda, è possibile che le cose cambino in un prossimo futuro.

Condividi l’articolo



Articoli correlati
Altro in questa categoria

https://www.securityinfo.it/2020/06/05/tempo-di-aggiornamenti-per-firefox-e-zoom/?utm_source=rss&utm_medium=rss&utm_campaign=tempo-di-aggiornamenti-per-firefox-e-zoom




Attenzione ai dropper di nuova generazione: sfuggono ai controlli antivirus


I pirati informatici stanno utilizzando sempre più spesso tecniche personalizzate per distribuire malware conosciuti aggirando i software di protezione.

L’allarme arriva dal gruppo Talos, la divisione per la sicurezza informatica di Cisco, e non riguarda un nuovo malware, ma l’utilizzo di tecniche di attacco che usano un sistema di offuscamento particolarmente efficace.

Il tema è quello dei dropper, cioè dei codici malevoli che hanno la funzione di installare altri malware sul computer cercando di sfuggire alle più comuni tecniche di analisi utilizzate dagli antivirus.

Il caso analizzato dai ricercatori di Talos in un post pubblicato lo scorso 14 novembre descrive alla perfezione il modus operandi dei cyber-criminali.

Tutto comincia con un messaggio email a cui è allegato un file compresso con estensione ARJ, un vecchio formato caduto ormai in disuso. La scelta di ARJ è probabilmente legata, spiega l’autore del post, a un tentativo di far passare inosservato l’allegato ai controlli eseguiti dai gateway che hanno impostazioni di sicurezza piuttosto “lasche”.

L’eseguibile contenuto nell’archivio è protetto da crittografia e avvia una serie di processi (tra qui quello di decodifica) che non avvengono mai sul disco fisso. Uno stratagemma, questo, che permette al dropper di nascondere la sua attività in maniera più efficace.

dropper

L’iniezione del malware (nel caso specifico una versione modificata di AgentTesla) viene poi effettuata all’interno di processi legittimi di Windows, in modo che il codice malevolo sia pressoché “invisibile”.

Nella maggior parte dei casi si tratta di trojan in grado di rubare informazioni dal client di posta elettronica o dal browser, come credenziali di accesso e dati relativi alle carte di credito. L’esfiltrazione dei dati può poi essere avviata attraverso diversi canali, come FTP o SMTP.

Secondo i ricercatori di Talos, il semplice utilizzo di questa strategia di infezione in più fasi consente di utilizzare malware conosciuti che riescono a passare inosservati grazie alla funzione svolta dal dropper, che agisce come “contenitore” e garantisce un livello di offuscamento tale da permettere al trojan di “volare sotto i radar” fino a quando non è troppo tardi.

Condividi l’articolo



Articoli correlati
Altro in questa categoria

https://www.securityinfo.it/2019/11/18/attenzione-ai-dropper-di-nuova-generazione-sfuggono-ai-controlli-antivirus/




Dopo 10 anni i pirati usano ancora Heaven’s Gate


La tecnica permette di aggirare i controlli degli antivirus sfruttando un trucchetto che sui sistemi operativi precedenti a Windows 10 funziona ancora.

Normalmente la rincorsa tra pirati informatici ed esperti di sicurezza è terribilmente frenetica. Tutto si gioca sul fattore tempo: ogni volta che i cyber-criminali individuano una tecnica di attacco, cercano di sfruttarla al massimo in tempi ridotti, prima che le società antivirus riescano a mettere in campo le contromisure che la “sterilizzano”. Ci sono, però, delle eccezioni e una di queste si chiama Heaven’s Gate.

A (ri)accendere i riflettori sul “cancello del paradiso” sono i ricercatori del team Talos di Cisco, che in un post sottolineano come esistano ancora numerosi malware che sfruttano questa tecnica, comparsa per la prima volta nei primi anni 2000.

Heaven’s Gate, nel dettaglio, è considerata una tecnica di evasione, che consente cioè a un malware di eseguire codice sul sistema operativo sfuggendo al controllo degli antivirus.

Il trucchetto sfrutta la presenza dei due ambienti a 32 e 64 bit sui sistemi Microsoft. Le versioni di Windows a 64 bit, infatti, utilizzano una procedura particolare per eseguire le applicazioni a 32 bit.

Il compito è affidato a un sottosistema chiamato Microsoft WOW64, che ha la funzione di “adattare” l’ambiente di lavoro in modo che i programmi a 32 bit possano funzionare correttamente.

La tecnica Heaven’s Gate, in buona sostanza, sfrutta questo “doppio binario” per eseguire parte del codice in una maniera che gli antivirus non si aspettano. Il malware avvia la sua esecuzione come programma a 32 bit in modo da essere “assegnato” a WOW64.

A metà della procedura, però, esegue delle operazioni dirette all’ambiente nativo a 64 bit. Un comportamento, questo, che molti antivirus faticano a individuare. Risultato: le operazioni nell’ambiente nativo sfuggono al controllo.

Heaven's Gate

Il problema è stato risolto da Microsoft introducendo una funzionalità chiamata Control Flow Guard, presente però solo in Windows 10. I sistemi operativi più vecchi, quindi, rimangono vulnerabili alla tecnica di evasione. E visto che le installazioni di Windows 7 o addirittura (sigh!) di Windows XP sono ancora tutt’altro che irrilevanti a livello statistico, è ovvio che i pirati informatici ci puntino ancora.

Secondo i ricercatori di Talos, tra i malware che hanno rispolverato questa tecnica c’è per esempio HawkEye Reborn, un keylogger distribuito recentemente su Internet, ma anche numerosi miner.

Insomma: se qualcuno dovesse avere ancora bisogno di un buon motivo per passare a un sistema operativo aggiornato, Heaven’s Gate può essere quello giusto.

Condividi l’articolo



Articoli correlati
Altro in questa categoria

https://www.securityinfo.it/2019/07/03/dopo-10-anni-i-pirati-usano-ancora-heavens-gate/




Nuova modalità di attacco con file Word. E gli antivirus non la rilevano…

La tecnica sfrutta le caratteristiche del formato RTF per aggirare le richieste di controllo all’utente. Le tecniche di offuscamento ingannano (quasi) tutti gli antivirus. I ricercatori di Talos, che hanno individuato e analizzato la nuova tecnica di attacco, non si sbilanciano nell’attribuzione a questo o quel gruppo hacker, ma a leggere il loro report l’idea […]

L’articolo Nuova modalità di attacco con file Word. E gli antivirus non la rilevano… proviene da Securityinfo.it.

https://www.securityinfo.it/2018/10/18/nuova-modalita-di-attacco-con-file-word-e-gli-antivirus-non-la-rilevano/




Hyper-targeted attack against 13 iPhones dropped malicious apps via MDM

Enlarge / Messages like this one would have come up every time hackers pushed a modified app to their victims. But YOLO, apparently. (credit: Cisco Talos)

In what appears to be a case of highly focused social engineering against a small group of iPhone users, malicious actors managed to get 13 iPhones registered on their rogue mobile device management (MDM) servers and then pushed out applications that allowed the hackers to track the locations of the phones and read victims’ SMS messages.

The attacks, reported by Cisco’s Talos, used the “BOptions” sideloading technique to modify versions of legitimate applications, including WhatsApp and Telegram. The initiative inserted additional libraries into the application packages, and the modified applications were then deployed to the 13 victim iPhones via the rogue mobile device management systems.

“The malicious code inserted into these apps is capable of collecting and exfiltrating information from the device, such as the phone number, serial number, location, contacts, user’s photos, SMS, and Telegram and WhatsApp chat messages,” wrote Talos researchers Warren Mercer, Paul Rascagneres, and Andrew Williams in a post on the attack. “Such information can be used to manipulate a victim or even use it for blackmail or bribery.”

Read 2 remaining paragraphs | Comments

https://arstechnica.com/?p=1343025