Sicurezza Informatica
Mozi botnet si spegne misteriosamente dopo un kill switch
Tempo di lettura: 2 minuti. La botnet Mozi si spegne misteriosamente dopo l’attivazione di un kill switch. Scopri come è avvenuta la disattivazione
Il botnet malware Mozi ha visto la sua attività svanire ad agosto, dopo che una misteriosa entità sconosciuta ha inviato un payload il 27 settembre 2023, attivando un kill switch per disattivare tutti i bot. Mozi è un noto botnet malware DDoS (distributed denial of service) che è emerso nel 2019, mirando principalmente a dispositivi IoT come router, registratori video digitali e altri dispositivi connessi a Internet.
Come funziona Mozi
Il malware sfruttava vulnerabilità note o password predefinite deboli per compromettere i dispositivi e renderli parte della sua rete peer-to-peer decentralizzata, dove comunicavano utilizzando il protocollo DHT (distributed hash table) di BitTorrent.
La misteriosa disattivazione di Mozi
Oggi, ESET ha riferito che i suoi dati di telemetria hanno mostrato un netto calo dell’attività di Mozi l’8 agosto 2023, iniziando con una sospensione di tutte le operazioni in India. Questo è stato seguito da una simile cessazione improvvisa delle attività in Cina, dove ha origine il botnet, il 16 agosto 2023. Infine, il 27 settembre 2023, è stato inviato un messaggio UDP a tutti i bot di Mozi otto volte, istruendoli a scaricare un aggiornamento tramite HTTP, causando la seguente serie di eventi:
- Terminazione del processo malware Mozi,
- Disabilitazione di alcuni servizi di sistema (sshd e dropbear),
- Sostituzione del file Mozi,
- Esecuzione di comandi di configurazione del dispositivo,
- Blocco dell’accesso a varie porte,
- Stabilire una presa per il nuovo file.
Il fatto che chi ha premuto il kill switch abbia scelto di mantenere la persistenza per il nuovo payload, che può anche fare ping a un server remoto per aiutare nel tracciamento, suggerisce una disattivazione controllata. L’analisi del codice di ESET ha mostrato forti somiglianze tra il codice Mozi originale e i binari utilizzati nella disattivazione, che presentavano le chiavi private corrette per firmare il payload.
Ciò suggerisce il coinvolgimento dei creatori originali del botnet e/o delle forze dell’ordine cinesi nella disattivazione, ma per ora questa domanda rimane senza risposta.
Consigli per gli utenti
Nonostante la buona notizia che uno dei botnet più prolifici sia offline, ci sono, purtroppo, molti altri botnet malware DDoS che scansionano quotidianamente il web alla ricerca di IoT vulnerabili. Pertanto, gli utenti dovrebbero aggiornare i loro dispositivi con l’ultima versione del firmware, utilizzare password robuste e isolarli dalle reti critiche.
Sicurezza Informatica
BreachForums è offline e sotto il controllo dell’FBI
Tempo di lettura: < 1 minuto. Il noto portale di annunci legati al crimine informatico dove si vendono i dati trafugati al miglior offerente, BreachForums, è ora dell’FBI
L’FBI ha messo sotto scacco il sito BreachForums sia nel clear sia nel dark web e risulta offline. L’operazione, ancora sconosciuta alla stampa è emersa in seguito a diverse segnalazioni in rete che ne hanno dato evidenza attraverso gli screenshot dei propri browser.
Il sito è irraggiungibile sia via web normale sia dal dominio .onion. BreachForums è un forum con un template grafico “old style” dove gli utenti si scambiano notizie riguardanti il crimine informatico e pubblicano annunci dei dati trafugati in seguito ad attacchi ad Enti e Aziende per venderli al miglior offerente ed è ufficiale che sia offline per via di un’azione dell’FBI.
L’amministratore di BreachForums è stato condannato per i reati di diffusione di materiale vietato e per possesso di Contenuti sessuali esplitici di minori.
articolo in aggiornamento.
Sicurezza Informatica
Apple App Store bloccate transazioni fraudolente per oltre 7 miliardi
Tempo di lettura: 2 minuti. Apple ha bloccato oltre 7 miliardi di dollari in transazioni fraudolente sull’App Store negli ultimi quattro anni, rafforzando la sicurezza per utenti e sviluppatori.
Apple ha annunciato di aver prevenuto oltre 7 miliardi di dollari in transazioni potenzialmente fraudolente sull’App Store nel corso degli ultimi quattro anni, dimostrando il suo impegno continuo nel proteggere sia gli utenti che gli sviluppatori da attività dannose.
Dettagli dell’azione anti-frode di Apple
Tra il 2020 e il 2023, Apple ha impedito transazioni fraudolente per un valore di più di 1,8 miliardi di dollari solo nel 2023. Inoltre, ha bloccato l’uso di oltre 14 milioni di carte di credito rubate e ha impedito a più di 3,3 milioni di account di effettuare ulteriori transazioni.
Apple ha adottato misure severe contro la frode, respingendo più di 1,7 milioni di proposte di app nel 2023 per mancato rispetto degli standard rigorosi di privacy, sicurezza e contenuto dell’App Store. Questo ha comportato la terminazione di quasi 374 milioni di account di sviluppatori e clienti e la rimozione di circa 152 milioni di valutazioni e recensioni per preoccupazioni legate alla frode.
Implicazioni per gli sviluppatori e l’ecosistema dell’App Store
Le azioni di Apple riflettono il suo impegno a mantenere un ambiente sicuro e affidabile per i suoi utenti e sviluppatori. Con la crescente concorrenza e le pressioni regolamentari, in particolare nell’Unione Europea dove le leggi richiedono una maggiore apertura del sistema operativo iOS a store di app di terze parti, Apple continua a sottolineare l’importanza della sicurezza come caratteristica distintiva del suo ecosistema.
Il blocco di transazioni fraudolente e la gestione proattiva della sicurezza dell’App Store rappresentano un aspetto fondamentale della strategia di Apple per mantenere la fiducia degli utenti e degli sviluppatori, nonostante le sfide poste dall’apertura forzata del suo ecosistema a maggiori opzioni di distribuzione delle app. Mentre Apple si adatta alle nuove normative e risponde alla concorrenza, l’azienda si impegna a proteggere la sicurezza e l’integrità dell’App Store, evidenziando il suo ruolo come leader nell’offrire un ambiente sicuro e protetto per l’acquisto e il download di app.
Sicurezza Informatica
Microsoft Patch Tuesday di Maggio 2024 risolve 3 Zero-Day e 61 vulnerabilità
Tempo di lettura: 4 minuti. Scopri i dettagli degli aggiornamenti di sicurezza del Microsoft Patch Tuesday di maggio 2024, inclusi i fix per tre vulnerabilità zero-day e 61 altre falle.
Il Patch Tuesday di maggio 2024 di Microsoft ha portato importanti aggiornamenti di sicurezza, risolvendo 61 vulnerabilità, inclusi tre exploit zero-day attivamente sfruttati o pubblicamente divulgati.
Dettagli sugli Aggiornamenti
Tra le vulnerabilità corrette, solo una è stata classificata come critica, riguardante un problema di esecuzione remota del codice nel Microsoft SharePoint Server. Le altre correzioni includono:
- 17 vulnerabilità di elevazione di privilegio
- 2 vulnerabilità di bypass delle funzionalità di sicurezza
- 27 vulnerabilità di esecuzione remota del codice
- 7 vulnerabilità di divulgazione di informazioni
- 3 vulnerabilità di negazione del servizio
- 4 vulnerabilità di spoofing
Zero-Day corretti:
CVE-2024-30040 – Un exploit di bypass delle funzionalità di sicurezza nella piattaforma MSHTML di Windows che è stato attivamente sfruttato. Gli attaccanti hanno usato questa vulnerabilità per eludere le mitigazioni OLE, aumentando così il rischio di attacchi tramite file dannosi.
CVE-2024-30051 – Una vulnerabilità di elevazione di privilegio nella libreria core di Windows DWM, attivamente sfruttata per ottenere privilegi di sistema.
CVE-2024-30046 – Una vulnerabilità di denial of service in Microsoft Visual Studio che è stata pubblicamente divulgata.
Commento sulla Sicurezza
Microsoft sottolinea l’importanza di installare tempestivamente questi aggiornamenti per proteggere i sistemi dalle potenziali minacce. La varietà e la gravità delle vulnerabilità corrette in questo ciclo di patch evidenziano le sfide continue nella protezione degli ambienti informatici moderni. Patch Tuesday di maggio 2024 mostra l’impegno continuo di Microsoft nel rafforzare la sicurezza dei suoi prodotti di fronte a minacce in evoluzione. Gli utenti e gli amministratori di sistema sono incoraggiati a applicare questi aggiornamenti il prima possibile per salvaguardare i loro sistemi contro exploit noti e potenziali attacchi futuri.
Tag | CVE ID | CVE Title | Severity |
---|---|---|---|
.NET and Visual Studio | CVE-2024-30045 | .NET and Visual Studio Remote Code Execution Vulnerability | Importante |
Azure Migrate | CVE-2024-30053 | Azure Migrate Cross-Site Scripting Vulnerability | Importante |
Microsoft Bing | CVE-2024-30041 | Microsoft Bing Search Spoofing Vulnerability | Importante |
Microsoft Brokering File System | CVE-2024-30007 | Microsoft Brokering File System Elevation of Privilege Vulnerability | Importante |
Microsoft Dynamics 365 Customer Insights | CVE-2024-30048 | Dynamics 365 Customer Insights Spoofing Vulnerability | Importante |
Microsoft Dynamics 365 Customer Insights | CVE-2024-30047 | Dynamics 365 Customer Insights Spoofing Vulnerability | Importante |
Microsoft Edge (Chromium-based) | CVE-2024-4558 | Chromium: CVE-2024-4558 Use after free in ANGLE | Sconosciuto |
Microsoft Edge (Chromium-based) | CVE-2024-4331 | Chromium: CVE-2024-4331 Use after free in Picture In Picture | Sconosciuto |
Microsoft Edge (Chromium-based) | CVE-2024-4671 | Chromium: CVE-2024-4671 Use after free in Visuals | Sconosciuto |
Microsoft Edge (Chromium-based) | CVE-2024-30055 | Microsoft Edge (Chromium-based) Spoofing Vulnerability | Low |
Microsoft Edge (Chromium-based) | CVE-2024-4368 | Chromium: CVE-2024-4368 Use after free in Dawn | Sconosciuto |
Microsoft Edge (Chromium-based) | CVE-2024-4559 | Chromium: CVE-2024-4559 Heap buffer overflow in WebAudio | Sconosciuto |
Microsoft Intune | CVE-2024-30059 | Microsoft Intune for Android Mobile Application Management Tampering Vulnerability | Important |
Microsoft Office Excel | CVE-2024-30042 | Microsoft Excel Remote Code Execution Vulnerability | Important |
Microsoft Office SharePoint | CVE-2024-30044 | Microsoft SharePoint Server Remote Code Execution Vulnerability | Critico |
Microsoft Office SharePoint | CVE-2024-30043 | Microsoft SharePoint Server Information Disclosure Vulnerability | Importante |
Microsoft WDAC OLE DB provider for SQL | CVE-2024-30006 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | Importante |
Microsoft Windows SCSI Class System File | CVE-2024-29994 | Microsoft Windows SCSI Class System File Elevation of Privilege Vulnerability | Importante |
Microsoft Windows Search Component | CVE-2024-30033 | Windows Search Service Elevation of Privilege Vulnerability | Importante |
Power BI | CVE-2024-30054 | Microsoft Power BI Client JavaScript SDK Information Disclosure Vulnerability | Importante |
Visual Studio | CVE-2024-30046 | Visual Studio Denial of Service Vulnerability | Importante |
Visual Studio | CVE-2024-32004 | GitHub: CVE-2024-32004 Remote Code Execution while cloning special-crafted local repositories | Importante |
Visual Studio | CVE-2024-32002 | CVE-2024-32002 Recursive clones on case-insensitive filesystems that support symlinks are susceptible to Remote Code Execution | Importante |
Windows Cloud Files Mini Filter Driver | CVE-2024-30034 | Windows Cloud Files Mini Filter Driver Information Disclosure Vulnerability | Importante |
Windows CNG Key Isolation Service | CVE-2024-30031 | Windows CNG Key Isolation Service Elevation of Privilege Vulnerability | Importante |
Windows Common Log File System Driver | CVE-2024-29996 | Windows Common Log File System Driver Elevation of Privilege Vulnerability | Importante |
Windows Common Log File System Driver | CVE-2024-30037 | Windows Common Log File System Driver Elevation of Privilege Vulnerability | Importante |
Windows Common Log File System Driver | CVE-2024-30025 | Windows Common Log File System Driver Elevation of Privilege Vulnerability | Importante |
Windows Cryptographic Services | CVE-2024-30020 | Windows Cryptographic Services Remote Code Execution Vulnerability | Importante |
Windows Cryptographic Services | CVE-2024-30016 | Windows Cryptographic Services Information Disclosure Vulnerability | Importante |
Windows Deployment Services | CVE-2024-30036 | Windows Deployment Services Information Disclosure Vulnerability | Importante |
Windows DHCP Server | CVE-2024-30019 | DHCP Server Service Denial of Service Vulnerability | Importante |
Windows DWM Core Library | CVE-2024-30008 | Windows DWM Core Library Information Disclosure Vulnerability | Importante |
Windows DWM Core Library | CVE-2024-30051 | Windows DWM Core Library Elevation of Privilege Vulnerability | Importante |
Windows DWM Core Library | CVE-2024-30035 | Windows DWM Core Library Elevation of Privilege Vulnerability | Importante |
Windows DWM Core Library | CVE-2024-30032 | Windows DWM Core Library Elevation of Privilege Vulnerability | Importante |
Windows Hyper-V | CVE-2024-30011 | Windows Hyper-V Denial of Service Vulnerability | Importante |
Windows Hyper-V | CVE-2024-30017 | Windows Hyper-V Remote Code Execution Vulnerability | Importante |
Windows Hyper-V | CVE-2024-30010 | Windows Hyper-V Remote Code Execution Vulnerability | Importante |
Windows Kernel | CVE-2024-30018 | Windows Kernel Elevation of Privilege Vulnerability | Importante |
Windows Mark of the Web (MOTW) | CVE-2024-30050 | Windows Mark of the Web Security Feature Bypass Vulnerability | Moderato |
Windows Mobile Broadband | CVE-2024-30002 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Importante |
Windows Mobile Broadband | CVE-2024-29997 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Importante |
Windows Mobile Broadband | CVE-2024-30003 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Importante |
Windows Mobile Broadband | CVE-2024-30012 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Importante |
Windows Mobile Broadband | CVE-2024-29999 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Importante |
Windows Mobile Broadband | CVE-2024-29998 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Importante |
Windows Mobile Broadband | CVE-2024-30000 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Importante |
Windows Mobile Broadband | CVE-2024-30005 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Importante |
Windows Mobile Broadband | CVE-2024-30004 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Importante |
Windows Mobile Broadband | CVE-2024-30021 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Importante |
Windows Mobile Broadband | CVE-2024-30001 | Windows Mobile Broadband Driver Remote Code Execution Vulnerability | Importante |
Windows MSHTML Platform | CVE-2024-30040 | Windows MSHTML Platform Security Feature Bypass Vulnerability | Importante |
Windows NTFS | CVE-2024-30027 | NTFS Elevation of Privilege Vulnerability | Importante |
Windows Remote Access Connection Manager | CVE-2024-30039 | Windows Remote Access Connection Manager Information Disclosure Vulnerability | Importante |
Windows Routing and Remote Access Service (RRAS) | CVE-2024-30009 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Importante |
Windows Routing and Remote Access Service (RRAS) | CVE-2024-30024 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Importante |
Windows Routing and Remote Access Service (RRAS) | CVE-2024-30015 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Importante |
Windows Routing and Remote Access Service (RRAS) | CVE-2024-30029 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Importante |
Windows Routing and Remote Access Service (RRAS) | CVE-2024-30023 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Importante |
Windows Routing and Remote Access Service (RRAS) | CVE-2024-30014 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Importante |
Windows Routing and Remote Access Service (RRAS) | CVE-2024-30022 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Importante |
Windows Task Scheduler | CVE-2024-26238 | Microsoft PLUGScheduler Scheduled Task Elevation of Privilege Vulnerability | Importante |
Windows Win32K – GRFX | CVE-2024-30030 | Win32k Elevation of Privilege Vulnerability | Importante |
Windows Win32K – ICOMP | CVE-2024-30038 | Win32k Elevation of Privilege Vulnerability | Importante |
Windows Win32K – ICOMP | CVE-2024-30049 | Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability | Importante |
Windows Win32K – ICOMP | CVE-2024-30028 | Win32k Elevation of Privilege Vulnerability | Importante |
Questi aggiornamenti rappresentano una parte critica della strategia di difesa informatica per gli ambienti che dipendono da software Microsoft, garantendo che le protezioni contro le vulnerabilità siano tempestivamente messe in atto.
- Editoriali2 settimane fa
Chip e smartphone cinesi ci avvisano del declino Occidentale
- Inchieste2 settimane fa
Ransomware in Italia: come cambia la percezione del fenomeno nell’IT
- Economia2 settimane fa
Internet via satellite: progetto europeo IRIS² in grande difficoltà
- Editoriali1 settimana fa
Anche su Giovanna Pedretti avevamo ragione
- L'Altra Bolla1 settimana fa
Jack Dorsey getta la spugna e lascia Bluesky
- Inchieste1 settimana fa
Perchè il motore di ricerca OpenAI fa paura ai giornalisti?
- L'Altra Bolla1 settimana fa
Meta arriva l’intelligenza artificiale per la Pubblicità
- Smartphone1 settimana fa
Richiesta di Class Action contro Samsung per il Galaxy S24 Ultra