Sicurezza Informatica

Hacker si spacciano per Agenzie Governative USA in attacchi BEC

Tempo di lettura: 2 minuti. TA4903 impersonano agenzie governative USA in attacchi BEC, utilizzando codici QR e documenti PDF per reindirizzare le vittime a siti di phishing.

Sostieni l'informazione di Matrice Digitale con un click. Seguici su Google News

Pubblicato

2 mesi fa

in data

07/03/2024

Livio Varriale

Tempo di lettura: 2 minuti.

Un gruppo di hacker specializzato in attacchi di compromissione della posta elettronica aziendale (BEC), conosciuto come TA4903, sta impersonando diverse entità governative statunitensi per indurre le vittime a aprire file dannosi contenenti link a falsi processi di offerta.

Secondo Proofpoint, i cybercriminali si spacciano per il Dipartimento dei Trasporti degli Stati Uniti, il Dipartimento dell’Agricoltura (USDA) e l’Amministrazione delle Piccole Imprese (SBA). Gli analisti hanno rilevato un’intensificazione delle attività di TA4903 a partire dalla metà del 2023, con l’adozione di nuove tattiche come l’utilizzo di codici QR nei documenti PDF allegati.

I PDF, che riprendono il tema dell’organizzazione falsificata, presentano un design coerente e metadati che indicano un’origine nigeriana. Gli utenti che scansionano i codici QR vengono reindirizzati a siti di phishing che imitano i portali ufficiali delle agenzie governative USA impersonate.

TA4903, in passato, ha fatto affidamento su ‘EvilProxy’ per eludere la protezione dell’autenticazione a più fattori (MFA), ma nel 2024 non sono state osservate attività che impiegano tale proxy inverso. Le osservazioni di Proofpoint indicano che l’attività di TA4903 è puramente motivata da fini finanziari, includendo tattiche come l’accesso non autorizzato a reti o account email aziendali e l’esecuzione di attacchi BEC, come l’invio di richieste di pagamento o fatture fraudolente.

In alcuni casi, a partire dalla metà del 2023, gli hacker hanno utilizzato il tema di un attacco informatico per ingannare il personale del dipartimento finanziario affinché aggiornasse i dettagli di pagamento, inviando messaggi da account email compromessi di organizzazioni partner della vittima o da indirizzi che li ricordano strettamente.

TA4903 rappresenta una minaccia significativa per le organizzazioni a livello globale, lanciando campagne email su larga scala mirate a una vasta gamma di entità, principalmente negli Stati Uniti. Proofpoint evidenzia che TA4903 registra nomi di dominio che assomigliano a enti governativi e organizzazioni private di vari settori.

Di recente, i ricercatori hanno notato un cambiamento nelle tattiche di TA4903, passando dall’impersonare entità governative USA all’impersonare piccole imprese, sebbene non sia chiaro se questo cambiamento sia temporaneo o rappresenti un cambiamento a lungo termine.

Per contrastare efficacemente queste minacce, l’adozione di una strategia di sicurezza comprensiva e multistrato rappresenta il metodo più efficace.

Argomenti correlati:attacchi bec codici QR compromissione email guerra cibernetica Hacker PHISHING posta elettronica proofpoint sicurezza siti TA4903 USA

Prossima

Info Stealer “Snake” si diffonde tramite messaggi Facebook

Da non perdere

Exit Scam: gruppo ransomware BlackCat è sparito

Prosegui la lettura

Sicurezza Informatica

Apple e Google lanciano piattaforma comune per rilevare dispositivi di tracciamento Bluetooth indesiderati

Tempo di lettura: 2 minuti. Apple e Google lanciano una funzionalità cross-platform per rilevare dispositivi di tracciamento Bluetooth indesiderati

Sostieni l'informazione di Matrice Digitale con un click. Seguici su Google News

Pubblicato

2 ore fa

in data

14/05/2024

Livio Varriale

Tempo di lettura: 2 minuti.

Apple e Google hanno collaborato per lanciare una nuova funzionalità che notifica agli utenti, sia su iOS che su Android, se un dispositivo di tracciamento Bluetooth viene utilizzato per monitorarli segretamente. Questa innovazione mira a mitigare l’abuso di dispositivi progettati per tenere traccia degli oggetti personali, garantendo allo stesso tempo la privacy e la sicurezza degli utenti.

Dettagli della funzionalità

La funzione, denominata “Detecting Unwanted Location Trackers” (DULT), è ora disponibile sui dispositivi Android dalla versione 6.0 in poi e sui dispositivi iOS con iOS 17.5, che è stato rilasciato ufficialmente ieri. Questa soluzione cross-platform offre agli utenti la possibilità di ricevere un avviso “Tracker traveling with you” su Android o “Item Found Moving With You” su iOS se viene rilevato un dispositivo di tracciamento Bluetooth non identificato che si muove insieme a loro nel tempo.

Reazioni e impatto

Questa collaborazione tra Apple e Google rappresenta un primo esempio nell’industria di un’iniziativa che coinvolge input dalla comunità e dall’industria per affrontare il problema del tracciamento indesiderato. Gli utenti possono ora visualizzare l’identificativo del tracker, riprodurre un suono per localizzarlo e accedere a istruzioni per disabilitarlo.

Contesto e sviluppi futuri

Questa mossa arriva in risposta a segnalazioni che dispositivi come gli AirTags di Apple sono stati utilizzati per scopi maliziosi, spesso abusati come strumenti di stalking. Un gruppo di ricercatori ha persino sviluppato uno schema crittografico che offre un migliore compromesso tra privacy dell’utente e rilevamento dello stalker attraverso un meccanismo chiamato multi-dealer secret sharing (MDSS).

L’annuncio di questa funzionalità congiunta tra Apple e Google contro i dispositivi bluetooth indesiderata segna un significativo passo avanti nella lotta contro l’uso improprio dei dispositivi di tracciamento e rafforza la sicurezza e la privacy degli utenti in un ecosistema digitale sempre più connesso. Questa iniziativa dimostra l’impegno congiunto di giganti tecnologici per affrontare problemi di privacy e sicurezza in maniera collaborativa, stabilendo un nuovo standard per la protezione degli utenti nel panorama tecnologico moderno.

Prosegui la lettura

Sicurezza Informatica

DNS Tunneling: per tracciare vittime di Phishing

Tempo di lettura: 2 minuti. Gli hacker utilizzano il tunneling DNS per scandagliare le reti e tracciare le vittime, sfruttando questa tecnica per bypassare le misure di sicurezza.

Sostieni l'informazione di Matrice Digitale con un click. Seguici su Google News

Pubblicato

14 ore fa

in data

13/05/2024

Livio Varriale

Tempo di lettura: 2 minuti.

Recentemente, è stato scoperto che gli attori di minacce stanno utilizzando il tunneling DNS per tracciare l’apertura di email di phishing e clic sui link malevoli, nonché per scandagliare le reti alla ricerca di potenziali vulnerabilità. Questa tecnica sofisticata utilizza il DNS, un componente essenziale della comunicazione di rete, come canale di comunicazione nascosto.

Dettagli tecnici del DNS Tunneling

Il tunneling DNS implica la codifica dei dati o dei comandi che vengono inviati e recuperati tramite query DNS. Gli attori della minaccia codificano i dati in vari modi, come Base16, Base64, o algoritmi di codifica testuale personalizzati, che possono essere restituiti durante l’interrogazione di record DNS, come TXT, MX, CNAME e record di indirizzi. Questa tecnica è comunemente utilizzata per eludere i firewall di rete e i filtri, adottando il metodo per operazioni di command and control (C2) e di Virtual Private Network (VPN).

Campagne malevole eseguite con il DNS Tunneling

Unit 42, il team di ricerca sulla sicurezza di Palo Alto Networks, ha scoperto un uso aggiuntivo del tunneling DNS in campagne malevole che coinvolgono il tracciamento delle vittime e la scansione della rete. Un esempio è la campagna “TrkCdn”, che si concentra sul tracciamento delle interazioni delle vittime con i contenuti delle email di phishing. Gli attaccanti incorporano contenuti in un’email che, quando aperta, esegue una query DNS a sottodomini controllati dall’attaccante, i cui FQDN contengono contenuti codificati.

Consigli per la Difesa

A causa delle sue capacità nascoste, il tunneling DNS può bypassare strumenti di sicurezza, evitare il rilevamento e mantenere la versatilità operativa. Di conseguenza, Unit 42 suggerisce che le organizzazioni implementino strumenti di monitoraggio e analisi DNS per monitorare e analizzare i log alla ricerca di modelli di traffico insoliti e anomalie, come richieste atipiche o ad alto volume. È anche consigliabile limitare i resolver DNS nella rete per gestire solo le query necessarie, riducendo il potenziale abuso del tunneling DNS.

L’uso del tunneling DNS come tecnica per la conduzione di attacchi informatici rappresenta una sfida significativa per la sicurezza informatica. La capacità di mascherare le comunicazioni malevoli come traffico DNS legittimo richiede un livello elevato di vigilanza e misure di sicurezza avanzate per rilevare e mitigare tali minacce. Queste rivelazioni sottolineano l’importanza di strategie di difesa sofisticate e proattive per proteggere le reti aziendali e personali dagli attacchi sempre più ingegnosi e difficili da rilevare.

Prosegui la lettura

Sicurezza Informatica

Attacco ransomware LockBit Black: Botnet invia milioni di Email

Tempo di lettura: 2 minuti. La campagna di phishing usando LockBit Black, veicolata da un botnet, ha inviato milioni di email malevoli, criptando dati di innumerevoli vittime.

Pubblicato

14 ore fa

in data

13/05/2024

Livio Varriale

Tempo di lettura: 2 minuti.

Una campagna massiva di ransomware LockBit Black ha imperversato attraverso il web, con milioni di email di phishing inviate da aprile 2024, sfruttando il botnet Phorpiex. Questo attacco si concentra su allegati ZIP malevoli che, una volta aperti, criptano i sistemi delle vittime.

Dettagli dell’attacco

Il New Jersey’s Cybersecurity and Communications Integration Cell (NJCCIC) ha emesso un avviso riguardo questa vasta campagna di phishing che utilizza il ransomware LockBit Black, un malware che cripta i sistemi delle vittime. Gli attacchi sfruttano allegati ZIP che contengono un eseguibile, il quale, una volta lanciato, installa il payload di LockBit Black. Gli attaccanti, non affiliati con l’operazione originale di LockBit, hanno utilizzato nomi come “Jenny Brown” o “Jenny Green” e hanno operato da oltre 1.500 indirizzi IP in paesi come Kazakhstan, Uzbekistan, Iran, Russia e Cina.

Le funzionalità di LockBit Black

Il payload ransomware impiegato in questi attacchi è probabilmente costruito utilizzando un builder di LockBit 3.0, che è stato divulgato online da uno sviluppatore insoddisfatto nel settembre 2022. Questo ransomware è particolarmente pericoloso perché oltre a criptare i dati, tenta di rubare informazioni sensibili, termina servizi essenziali e impedisce l’accesso ai file crittografati.

Conseguenze e difesa

Gli attacchi di phishing e ransomware come questi hanno implicazioni gravi per la sicurezza delle informazioni aziendali e personali. Il NJCCIC consiglia l’implementazione di strategie di mitigazione del rischio ransomware e l’uso di soluzioni di sicurezza per i terminali e filtri di posta elettronica per bloccare i messaggi potenzialmente dannosi.

L’uso del botnet Phorpiex per facilitare questi attacchi di LockBit Black segnala un’escalation nell’uso di infrastrutture botnet esistenti per condurre campagne di ransomware di vasta portata. La consapevolezza e la preparazione sono essenziali per difendersi da queste minacce sempre più sofisticate. Questa ondata di attacchi sottolinea l’importanza di robuste misure di sicurezza e della vigilanza costante nel monitorare e difendere le reti aziendali e personali dai sofisticati schemi di attacco cyber.

Prosegui la lettura