Connect with us

Inchieste

OilRig: minaccia informatica iraniana dal 2012

Tempo di lettura: 15 minuti. OilRig è l’APT più anziano dell’Iran ed è fornito di attacchi sofisticati

Pubblicato

in data

Tempo di lettura: 15 minuti.

Il gruppo di minacce informatiche noto come OilRig, con origini sospettate in Iran, ha operato dal 2014, mirando a vittime sia nel Medio Oriente che a livello internazionale. Questo gruppo ha colpito una varietà di settori, tra cui finanziario, governativo, energetico, chimico e delle telecomunicazioni, concentrando in gran parte le sue operazioni nel Medio Oriente.

Identità multiple

OilRig è noto con diversi nomi tra le varie società di sicurezza informatica:

  • APT 34 da FireEye
  • Helix Kitten da CrowdStrike
  • Twisted Kitten da CrowdStrike
  • Crambus da Symantec
  • Chrysene da Dragos
  • Cobalt Gypsy da SecureWorks
  • TA452 da Proofpoint
  • IRN2 da Area 1
  • ATK 40 da Thales
  • ITG13 da IBM
  • EUROPIUM da Microsoft
  • Hazel Sandstorm da Microsoft

Origini e motivazioni

Si ritiene che OilRig operi per conto del governo iraniano. Questa valutazione si basa su dettagli dell’infrastruttura che contengono riferimenti all’Iran, sull’uso dell’infrastruttura iraniana e sul targeting che si allinea con gli interessi dello stato-nazione. Il gruppo sembra portare avanti attacchi alla catena di approvvigionamento, sfruttando la relazione di fiducia tra le organizzazioni per attaccare i loro obiettivi principali.

Una fusione di identità

Inizialmente, questo gruppo era monitorato come due gruppi distinti, APT 34 e OilRig. Tuttavia, ulteriori rapporti hanno fornito una maggiore fiducia riguardo alla sovrapposizione delle attività, portando alla combinazione dei due sotto il nome OilRig.

Il primo attacco risale al 2012

Il settore energetico è stato sotto attacco da una nuova informatica denominata W32.Disttrack. Questo malware distruttivo corrompe i file su un computer compromesso e sovrascrive il MBR (Master Boot Record), rendendo il computer inutilizzabile.

Descrizione delle componenti del malware

W32.Disttrack è composto da diverse componenti che lavorano insieme per compromettere un sistema. Queste componenti includono:

  1. Dropper: è la componente principale e la fonte dell’infezione originale. Rilascia una serie di altri moduli nel sistema compromesso.
  2. Wiper: questo modulo è responsabile della funzionalità distruttiva della minaccia, cancellando e sovrascrivendo file importanti.
  3. Reporter: questa componente è incaricata di inviare informazioni sull’infezione all’attaccante.

Funzionalità del componente Dropper

Il componente Dropper svolge una serie di azioni nel sistema compromesso, tra cui:

  • Copiarsi in %System%\trksvr.exe
  • Rilasciare una serie di file incorporati in risorse diverse, inclusa una versione a 64 bit di se stesso e il componente Wiper.
  • Copiarsi in condivisioni di rete specifiche e creare un compito per eseguire se stesso.
  • Creare un servizio che avvia se stesso ogni volta che Windows viene avviato, con il nome del servizio “TrkSvr” e il nome visualizzato “Distributed Link Tracking Server”.

Funzionalità del componente Wiper

Il componente Wiper ha diverse funzionalità, tra cui:

  • Eliminare un driver esistente da una posizione specifica e sovrascriverlo con un altro driver legittimo.
  • Eseguire comandi che raccolgono nomi di file, che verranno poi sovrascritti e scritti in file specifici.
  • Sovrascrivere i file con un’immagine JPEG, rendendo i file sovrascritti inutilizzabili.
  • Sovrascrivere il MBR in modo che il computer compromesso non possa più avviarsi.

Funzionalità del componente Reporter

Il componente Reporter è responsabile dell’invio delle informazioni sull’infezione all’attaccante attraverso una richiesta HTTP GET strutturata in un modo specifico. Le informazioni inviate includono un nome di dominio, un numero che specifica quanti file sono stati sovrascritti, l’indirizzo IP del computer compromesso e un numero casuale.

Meta descrizione: La nuova minaccia informatica W32.Disttrack sta attaccando il settore energetico, corrompendo file e rendendo i computer inutilizzabili. Scopri di più su questa minaccia qui.

La campagna OilRig colpisce le organizzazioni saudite: ecco cosa devi sapere

Nel 2016 è stata rivelata una campagna di attacchi informatici di grande portata che ha colpito principalmente le organizzazioni in Arabia Saudita. Questa campagna, nota come “OilRig”, ha mostrato una sofisticata rete di malware e tecniche di ingegneria sociale. Ecco un’analisi dettagliata di ciò che è stato scoperto.

Dettagli della campagna

La campagna OilRig è stata attiva dal maggio 2016, con legami che risalgono a un’ondata di attacchi nel 2015. Le principali vittime sono state le istituzioni finanziarie e le organizzazioni tecnologiche in Arabia Saudita, sebbene ci siano indicazioni di attacchi anche nel settore della difesa.

Gli aggressori hanno utilizzato metodi di ingegneria sociale sofisticati, tra cui offerte di lavoro false e servizi di assistenza tecnica fasulli, per infiltrarsi nelle reti delle organizzazioni bersaglio.

Analisi tecnica

Gli attacchi sono stati condotti principalmente attraverso il malware “Helminth”, che esiste in due varianti: uno script VBScript e PowerShell, e un eseguibile Windows. Questo malware utilizza richieste HTTP per comunicare con il server di comando e controllo (C2), eseguendo script batch forniti dal server e caricando l’output su di esso.

L’infrastruttura C2 è composta da diversi domini, con alcune tracce che indicano una possibile origine iraniana. Tuttavia, è importante notare che queste informazioni possono essere facilmente falsificate. Gli esperti di Palo Alto Networks hanno monitorato attentamente la situazione, fornendo protezione contro questo Trojan e offrendo ulteriori informazioni attraverso vari strumenti.

le prime tecniche delle attività d’attacco del gruppo iraniano

L’APT noto come “OilRig” ha mostrato una crescente attività nel tempo, mettendo a segno attacchi sofisticati e mirati. In questo articolo, esploreremo le tecniche e gli strumenti utilizzati da questo gruppo, basandoci su un’analisi tecnica dettagliata.

Tecniche di attacco

Il gruppo OilRig continua a sfruttare email di spear-phishing contenenti documenti Microsoft Excel malevoli per compromettere le vittime. Queste email, spesso mascherate come comunicazioni legittime, come nuovi log-in per il portale di una compagnia aerea, inducono gli utenti a aprire allegati dannosi. Una volta aperto il file e abilitate le macro, viene presentato un documento di copertura all’utente, dando il via al processo di download del malware.

Evoluzione del malware

Il malware utilizzato dal gruppo OilRig è in continua evoluzione. Negli ultimi cinque mesi, sono state identificate quattro varianti distinte, ognuna con nomi di file differenti al momento dell’esecuzione. Queste varianti comunicano con server remoti tramite HTTP o DNS, tentando ripetutamente di scaricare un file dal server remoto e, una volta disponibile, eseguirlo, caricando successivamente l’output tramite un’altra richiesta HTTP.

Le varianti del malware presentano alcune differenze minori, principalmente nei domini e negli indirizzi IP utilizzati per la comunicazione. Inoltre, il codice sottostante di una delle varianti, upd.vbs, è molto più pulito rispetto alle altre, indicando che è in fase di sviluppo attivo.

Comunicazione con il server remoto

Il malware comunica con server remoti utilizzando query DNS con specifiche caratteristiche per scaricare o caricare file ed eseguire comandi. Queste comunicazioni avvengono a intervalli apparentemente casuali, indicando che sono probabilmente il risultato di un attaccante reale che emette i comandi, piuttosto che un sistema automatizzato.

Durante l’analisi, gli analisti sono stati in grado di interagire con gli attaccanti utilizzando un honeypot, ricevendo una serie di comandi interessanti, inclusi tentativi di comunicare con server FTP remoti e vari comandi di ricognizione.

Analisi tecnica della campagna malware OilRig

Nel mondo sempre più digitalizzato di oggi, le minacce cibernetiche continuano a evolversi, diventando sempre più sofisticate e pericolose. Una delle minacce emergenti è la campagna malware OilRig, che ha recentemente ampliato il suo raggio d’azione, colpendo non solo organizzazioni in Arabia Saudita, ma anche in Qatar, Turchia, Israele e Stati Uniti. Ecco un’analisi dettagliata delle tecniche e degli strumenti utilizzati da questo gruppo di attacco:

Ampliamento del target

Il gruppo dietro la campagna OilRig continua a sfruttare email di spear-phishing con documenti Microsoft Excel malevoli per compromettere le vittime.

Hanno inviato un’email a un’organizzazione governativa turca, utilizzando come esca presunte nuove credenziali di accesso per il sito web di una compagnia aerea. Una volta che il file “users.xls” viene eseguito e le macro vengono attivate, alla vittima viene presentato un documento ingannevole, utilizzato come trampolino di lancio per ulteriori attacchi.

Aggiornamenti al Set di Strumenti

Si è notata una serie di modifiche al malware utilizzato dagli attori responsabili di OilRig. Sono state identificate quattro varianti distinte, ognuna delle quali rilascia file con nomi differenti durante l’esecuzione.

Queste varianti utilizzano nomi di file come “update.vbs”, “fireeye.vbs”, “upd.vbs” e “komisova.vbs”, indicando che il malware è in continua evoluzione e sviluppo.

Cambiamenti nei VBScripts tra le Varianti

Nonostante le varianti presentino solo differenze minime nei file VBS rilasciati, è evidente che gli attacchi sono in fase di transizione, con l’introduzione di nuovi domini e indirizzi IP utilizzati per le comunicazioni con il server di comando e controllo (C2).

Questa evoluzione suggerisce che gli attacchi sono in una fase di transizione, con nuove infrastrutture C2 che vengono introdotte per sostenere le operazioni in corso.

Cambiamenti nei PS1 tra le Varianti

Analogamente al file VBS, il file PS1 comunica con un server remoto, ma utilizza DNS invece di HTTP per trasmettere comandi e ricevere dati.

Questa variante del malware sembra essere in fase di sviluppo attivo, con commenti e altre annotazioni che indicano che gli attacchi sono in una fase di test e miglioramento continuo.

Interazione con gli Attaccanti

Durante il monitoraggio di questa variante, è stato possibile osservare gli attaccanti interagire con un sistema honeypot, inviando una serie di comandi interessanti, inclusi tentativi di comunicare con server FTP remoti e vari comandi di ricognizione. Queste interazioni sembrano essere il risultato di un attaccante reale che emette comandi, piuttosto che un sistema automatizzato.

Analisi tecnica campagna malware OilRig

Nel mondo sempre più digitalizzato di oggi, le minacce cibernetiche continuano a evolversi, diventando sempre più sofisticate e pericolose. Una delle minacce emergenti è la campagna malware OilRig, che ha recentemente ampliato il suo raggio d’azione, colpendo non solo organizzazioni in Arabia Saudita, ma anche in Qatar, Turchia, Israele e Stati Uniti. Ecco un’analisi dettagliata delle tecniche e degli strumenti utilizzati da questo gruppo di attacco:

Ampliamento del Target

Il gruppo dietro la campagna OilRig continua a sfruttare email di spear-phishing con documenti Microsoft Excel malevoli per compromettere le vittime. Recentemente, hanno inviato un’email a un’organizzazione governativa turca, utilizzando come esca presunte nuove credenziali di accesso per il sito web di una compagnia aerea. Una volta che il file “users.xls” viene eseguito e le macro vengono attivate, alla vittima viene presentato un documento ingannevole, utilizzato come trampolino di lancio per ulteriori attacchi.

Aggiornamenti al Set di Strumenti

Nel corso degli ultimi mesi, abbiamo notato una serie di modifiche al malware utilizzato dagli attori responsabili di OilRig. Sono state identificate quattro varianti distinte, ognuna delle quali rilascia file con nomi differenti durante l’esecuzione. Queste varianti utilizzano nomi di file come “update.vbs”, “fireeye.vbs”, “upd.vbs” e “komisova.vbs”, indicando che il malware è in continua evoluzione e sviluppo.

Cambiamenti nei VBScripts tra le Varianti

Nonostante le varianti presentino solo differenze minime nei file VBS rilasciati, è evidente che gli attacchi sono in fase di transizione, con l’introduzione di nuovi domini e indirizzi IP utilizzati per le comunicazioni con il server di comando e controllo (C2). Questa evoluzione suggerisce che gli attacchi sono in una fase di transizione, con nuove infrastrutture C2 che vengono introdotte per sostenere le operazioni in corso.

Cambiamenti nei PS1 tra le varianti

Analogamente al file VBS, il file PS1 comunica con un server remoto, ma utilizza DNS invece di HTTP per trasmettere comandi e ricevere dati. Questa variante del malware sembra essere in fase di sviluppo attivo, con commenti e altre annotazioni che indicano che gli attacchi sono in una fase di test e miglioramento continuo.

Interazione con gli attaccanti

Durante il monitoraggio di questa variante, è stato possibile osservare gli attaccanti interagire con un sistema honeypot, inviando una serie di comandi interessanti, inclusi tentativi di comunicare con server FTP remoti e vari comandi di ricognizione. Queste interazioni sembrano essere il risultato di un attaccante reale che emette comandi, piuttosto che un sistema automatizzato.

Shamoon 2: una seconda ondata di attacchi distruttivi identificata

Nel novembre 2016, è stata osservata una rinascita di attacchi distruttivi collegati alla campagna di attacchi Shamoon del 2012. Questo attacco, dettagliato in un precedente articolo intitolato “Shamoon 2: il ritorno del wiper Disttrack”, ha preso di mira una singola organizzazione in Arabia Saudita. L’attacco era programmato per cancellare i sistemi il 17 novembre 2016. Tuttavia, da quella pubblicazione, è stato scoperto un altro payload, mirato a un’organizzazione diversa in Arabia Saudita, impostato per cancellare i sistemi il 29 novembre 2016. Questo recente attacco potrebbe avere un impatto significativo su una delle principali contromisure contro gli attacchi wiper: gli snapshot dell’interfaccia desktop virtuale (VDI).

Principali risultati:

Somiglianze e differenze del payload: Il payload utilizzato in questo attacco era molto simile al payload del 17 novembre 2016. Tuttavia, ha mostrato comportamenti diversi e conteneva credenziali dell’account codificate specifiche per la nuova organizzazione bersaglio. Notabilmente, questo payload conteneva diversi nomi utente e password dalla documentazione ufficiale di Huawei relative alle loro soluzioni VDI, come FusionCloud.

Potenziale targeting VDI: Le soluzioni VDI possono offrire una certa protezione contro malware distruttivi come Disttrack, permettendo il caricamento di snapshot di sistemi cancellati. Il fatto che gli aggressori di Shamoon avessero questi nomi utente e password VDI suggerisce che potrebbero aver inteso accedere a queste tecnologie presso l’organizzazione bersaglio per amplificare il loro attacco distruttivo.

Propagazione e distruzione: Simile all’attacco precedente, il payload Disttrack in questo attacco si diffonde ad altri sistemi sulla rete locale utilizzando legittime credenziali dell’account di dominio. Il processo di distruzione rimane coerente, con il payload impostato per iniziare le sue attività distruttive il 29 novembre 2016. Il payload utilizza una variante a 64 bit e include un modulo wiper e di comunicazione memorizzato all’interno dell’eseguibile.

Limitazioni del command and control (C2): Il modulo di comunicazione in questo attacco era privo di un server C2 operativo. Questa assenza suggerisce che l’intenzione primaria dell’attore minaccioso per questo attacco Shamoon 2 fosse la distruzione di dati e sistemi.

Misure di protezione: Palo Alto Networks ha garantito protezione contro il payload Disttrack utilizzato in questo attacco:

  • WildFire classifica i campioni Disttrack come dannosi.
  • La firma AV di protezione dalle minacce rileva il nuovo payload.
  • I clienti di AutoFocus possono monitorare l’attività Disttrack utilizzando il tag Disttrack.

Indicatori di compromissione: Sono stati identificati diversi hash, nomi di file e nomi di servizio come indicatori di compromissione, tra cui “ntertmgr32.exe”, “ntertmgr64.exe”, “vdsk911.sys” e altri.

Malware con firma digitale dell’Università di Oxford

Il gruppo di minacce iraniano OilRig ha preso di mira diverse organizzazioni in Israele e in altri paesi del Medio Oriente dalla fine del 2015. Nei recenti attacchi, hanno creato un falso portale VPN e hanno preso di mira almeno cinque fornitori IT israeliani, diversi istituti finanziari e l’Ufficio postale israeliano.

Successivamente, gli aggressori hanno creato due siti web fasulli che simulavano essere una pagina di registrazione per una conferenza dell’Università di Oxford e un sito di candidature di lavoro. In questi siti web, hanno ospitato malware che era digitalmente firmato con un certificato di firma del codice valido, probabilmente rubato.

Basandosi su upload di VirusTotal, contenuti di documenti malevoli e vittime note, altre organizzazioni bersaglio si trovano in Turchia, Qatar, Kuwait, Emirati Arabi Uniti, Arabia Saudita e Libano.

Portale VPN Falso

In uno dei casi recenti, gli aggressori hanno inviato un’email a individui in organizzazioni bersaglio. L’email proveniva da un account compromesso di un fornitore IT. Il link fornito nell’email malevola portava a un falso portale VPN. Dopo aver effettuato l’accesso con le credenziali fornite nell’email, alla vittima veniva chiesto di installare il “VPN Client”, un file .exe, o, in caso di mancato download, di scaricare un zip protetto da password (con lo stesso file .exe all’interno).

Il “VPN Client” è un software VPN Juniper legittimo associato a un malware noto come “Helminth”, utilizzato dal gruppo di minacce OilRig. Se la vittima scarica e installa il file, il suo computer verrebbe infettato, mentre viene installato il software VPN legittimo.

Impersonificazione dell’Università di Oxford

Gli aggressori hanno registrato quattro domini che impersonavano l’Università di Oxford. Uno di questi, oxford-symposia[.]com, è un falso sito web di registrazione per una conferenza di Oxford. I visitatori vengono invitati a scaricare lo “Strumento di pre-registrazione del simposio di lavoro dell’Università di Oxford”.

Se eseguito dalla vittima, il suo computer verrebbe infettato.

Altri incidenti

In un incidente precedente, gli aggressori hanno inviato un file Excel malevolo che impersonava Israir, una compagnia aerea israeliana. Il file aveva una macro che, se abilitata dall’utente, avrebbe infettato il suo computer.

Sovrapposizione di infrastruttura con Cadelle e Chafer

Nel dicembre 2015, Symantec ha pubblicato un post su due gruppi di attacco con base in Iran, Cadelle e Chafer, che utilizzavano Backdoor.Cadelspy e Backdoor.Remexi per spiare individui iraniani e organizzazioni del Medio Oriente. Questo suggerisce che i due gruppi potrebbero effettivamente essere la stessa entità, o che condividano risorse in un modo o nell’altro.

Emirati Arabi Uniti obiettivo di OilRig con ISMAgent

Nel luglio 2017 OilRig ha utilizzato uno strumento da loro sviluppato chiamato ISMAgent in un nuovo set di attacchi mirati. Il gruppo OilRig ha sviluppato ISMAgent come variante del trojan ISMDoor. Nel mese di agosto 2017, abbiamo scoperto che questo gruppo di minacce ha sviluppato un altro trojan che chiamano ‘Agent Injector’ con lo scopo specifico di installare il backdoor ISMAgent. Stiamo monitorando questo strumento come ISMInjector. Ha una struttura sofisticata e contiene tecniche anti-analisi che non abbiamo visto in strumenti precedentemente sviluppati da questo gruppo di minacce. La struttura complessa e l’inclusione di nuove tecniche anti-analisi potrebbero suggerire che questo gruppo sta aumentando i loro sforzi di sviluppo al fine di evitare rilevamenti e ottenere una maggiore efficacia nei loro attacchi.

L’attacco

Il 23 agosto 2017 OilRig prende di mira un’organizzazione all’interno del governo degli Emirati Arabi Uniti. L’attacco coinvolgeva un’email di spear-phishing che aveva come oggetto “Importan Issue” e due archivi Zip allegati, come si vede nella Figura 1. Si noti che “Important” è scritto male nel campione come mostrato di seguito.

La consegna

L’attacco di phishing del 23 agosto 2017 ha allegato due archivi Zip all’email, “Issue-doc.zip” e “Issue-doc1.zip”.

Ogni allegato Zip contiene un file, con “Issue.doc” all’interno di “Issue-doc.zip” e “Issue.dot” all’interno di “Issue-doc1.zip”. I file “Issue.doc” e “Issue.dot” sono entrambi documenti dannosi che tenteranno di eseguire in Microsoft Word.

ISMInjector

Alla fine, il payload consegnato da ThreeDollars è un nuovo strumento nell’arsenale di OilRig che chiamiamo ISMInjector. Come suggerisce il nome, ISMInjector è un trojan responsabile dell’iniezione di un trojan in un altro processo. Il payload incorporato all’interno del campione ISMInjector consegnato in questo attacco è una variante del backdoor ISMAgent di cui avevamo discusso in dettaglio nel nostro blog che discuteva di un attacco mirato a una società tecnologica saudita.

La struttura e le tecniche utilizzate da OilRig dimostrano una crescente sofisticazione e un impegno a lungo termine per le operazioni di cyber spionaggio. La loro capacità di sviluppare nuovi strumenti e tecniche suggerisce che continueranno a rappresentare una minaccia significativa per le organizzazioni nel Medio Oriente e potenzialmente in altre regioni.

TwoFace Webshell: punto di accesso persistente per il movimento laterale

Unit 42 ha scoperto una webshell chiamata “TwoFace” utilizzato da un attore minaccioso per accedere in remoto alla rete di un’organizzazione del Medio Oriente presa di mira. Questo webshell è particolare perché è composto da due webshell separati: uno iniziale che salva e carica il secondo webshell, più funzionale. Il secondo webshell permette all’attore minaccioso di eseguire vari comandi sul server compromesso.

IP addressCountryNumber of CommandsDate of ActivityDays Since Initial Command
46.38.x.xIran12016-06-180
178.32.x.xFrance62016-09-28103
137.74.x.xFrance162017-03-03259
192.155.x.xUSA612017-04-24311
46.4.x.xGermany102017-05-03320

L’analisi dei log del server ha rivelato che l’attore minaccioso aveva accesso al webshell TwoFace per quasi un anno, a partire da giugno 2016. I comandi eseguiti hanno mostrato l’interesse dell’attore nel raccogliere credenziali utilizzando lo strumento Mimikatz e nel muoversi lateralmente attraverso la rete copiando il webshell TwoFace e altri webshell su diversi server.

Sono stati identificati cinque diversi indirizzi IP provenienti da quattro paesi che hanno inviato comandi al webshell TwoFace. Il primo comando era un semplice comando “whoami”, suggerendo il compromesso iniziale del server. I comandi successivi hanno rivelato le tattiche, le tecniche e le procedure (TTP) dell’attore, tra cui l’uso dello strumento Mimikatz e i tentativi di passare ad altri server nella rete.

Il webshell TwoFace è composto da un caricatore e un componente payload, entrambi scritti in C#. Il caricatore è responsabile del salvataggio e del caricamento del componente payload, mentre il componente payload ha più funzionalità. Il caricatore utilizza richieste HTTP POST per interagire, e il payload richiede una password per l’autenticazione.

È stata anche scoperta un’altra versione del caricatore TwoFace, chiamata “TwoFace++ Loader”. Questa versione contiene anche un componente payload incorporato in forma cifrata. Inoltre, è stato identificato un altro webshell chiamato “IntrudingDivisor”, che richiede autenticazione e ha il suo set di comandi.

In conclusione, l’approccio a due livelli del webshell TwoFace e l’inclusione di contenuti di siti web legittimi lo rendono difficile da rilevare, permettendo agli attori minacciosi di mantenere un accesso persistente a una rete per lunghi periodi senza essere rilevati.

Attacco mirato nel Medio Oriente sfruttando una vulnerabilità di Microsoft Office

Meno di una settimana dopo che Microsoft ha rilasciato una patch per la vulnerabilità CVE-2017-11882 il 14 novembre 2017, FireEye ha osservato un attaccante sfruttare questa vulnerabilità di Microsoft Office per prendere di mira un’organizzazione governativa nel Medio Oriente. Si ritiene che questa attività sia stata condotta da un gruppo sospettato di cyber spionaggio iraniano, noto come APT34, utilizzando un backdoor personalizzato di PowerShell per raggiungere i suoi obiettivi.

Si ritiene che APT34 sia coinvolto in un’operazione di cyber spionaggio a lungo termine, focalizzata principalmente su sforzi di ricognizione a beneficio degli interessi nazionali iraniani, operativa almeno dal 2014. Questo gruppo ha condotto attività mirate in vari settori, tra cui finanziario, governativo, energetico, chimico e delle telecomunicazioni, concentrando in gran parte le sue operazioni nel Medio Oriente. Si ritiene che APT34 operi per conto del governo iraniano, basandosi su dettagli infrastrutturali che contengono riferimenti all’Iran, sull’uso dell’infrastruttura iraniana e sul targeting che si allinea con gli interessi di uno stato-nazione.

CVE-2017-11882 riguarda diverse versioni di Microsoft Office e, quando sfruttata, permette a un utente remoto di eseguire codice arbitrario nel contesto dell’utente corrente a causa di una gestione impropria degli oggetti in memoria. La vulnerabilità è stata corretta da Microsoft il 14 novembre 2017. Una prova completa del concetto (POC) è stata pubblicamente rilasciata una settimana dopo dal reporter della vulnerabilità.

La vulnerabilità esiste nel vecchio Equation Editor (EQNEDT32.EXE), un componente di Microsoft Office che viene utilizzato per inserire e valutare formule matematiche. L’Equation Editor è incorporato nei documenti di Office utilizzando la tecnologia di collegamento e incorporamento degli oggetti (OLE). Viene creato come un processo separato invece di un processo figlio delle applicazioni Office. Se viene passata una formula creata all’Equation Editor, non controlla correttamente la lunghezza dei dati durante la copia dei dati, il che comporta una corruzione della memoria dello stack. Poiché EQNEDT32.exe è compilato utilizzando un compilatore più vecchio e non supporta la randomizzazione dello spazio degli indirizzi (ASLR), una tecnica che protegge contro lo sfruttamento delle vulnerabilità di corruzione della memoria, l’attaccante può facilmente alterare il flusso di esecuzione del programma.

Inchieste

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che sta rubando soldi agli italiani

Pubblicato

in data

Tempo di lettura: 4 minuti.

Dopo l’inchiesta di Matrice Digitale sui portali web Mazarsiu e Temunao, molti lettori hanno ringraziato la redazione per aver trattato la notizia che li ha favoriti nell’essere più prudenti nel versare fondi a quel metodo che si sarebbe rivelato in futuro una vera e propria truffa. Il merito non è della testata, ma di coloro che hanno segnalato via WhatsApp o tramite sezione anonima sul sito di aver subito una truffa e di aver effettuato denunce presso la Polizia Postale o i Carabinieri del proprio comune. Chi ha scampato il fosso dell’effettuare un investimento, ha avuto il merito e la premura di cercare online se la piattaforma fosse o meno legittima.

Nonostante in questi giorni ci sia molto clamore sulle notizie di lavoro online, siamo riusciti ad ottenere su collaborazione di un lettore una prova di uno dei tanti ganci che vengono utilizzati dai criminali per adescare le proprie vittime. Come visto in precedenza, gli strumenti per veicolare pagine di arrivo che stabiliscono il contatto con i criminali sono le piattaforme di pubblicità dei social media come Facebook, Telegram e le stesse Google Ads.

Quando si arriva una pagina che propone di offrire un lavoro, imprenditoriale e che garantisce una rendita di 800 al mese come in questo caso, è possibile notare che vengono richiesti i recapiti di telefono e email. Dopodiché le potenziali vittime vengono contattate in forma privata sui programmi di messaggistica Telegram e Whatsapp e vengono introdotte ad iscriversi all’interno della piattaforma Mazarsiu o Temunao ed ha inizio la truffa.

Una segnalazione arrivata alla Redazione spiega il metodo: Ho risposto all’annuncio, chiedono ancora di collegarsi a Mazars e creare un profilo per completare 38 ordini. Ad un certo punto bloccano il completamento e ti impongono di risolvere il problema contattando Lara Cruz, la quale ti consiglia di scaricare bitget e di acquistare, tramite carta di credito, cripto valuta per 65 euro. Se interrompi la comunicazione ti sollecita a continuare e ti propone l’aiuto se le invii screenshot con dati sensibili.

Se in questo momento stai leggendo questo articolo ed hai già concesso i dati telefonici ed email ai criminali e sei nella fase intermedia che comprende la post registrazione al sito e l’apertura di un conto corrente su piattaforma legittima Bitget, sappi che devi bloccare immediatamente il tuo reclutatore e lo devi segnalare alle Autorità competenti. Avendo già fornito i dati telefonici ed email non devi essere preoccupata di essere truffati successivamente, al massimo sarà possibile in futuro essere contattati via mail o attraverso numeri diversi con proposte simili.  

Tra gli utenti che hanno contribuito a renderci il quadro più chiaro circa l’utilizzo delle chat e su cui già si è prospettato che vengono creati diversi gruppi WhatsApp con il nome del sito Internet Mazarsiu ed un numero incrementale per ogni singola chat, resta il fatto che alcuni utenti siano stati aggiunti da reclutatori all’interno di gruppi creati ad hoc per loro dove risulterebbero dei commenti senza senso o sgrammaticati, generati probabilmente o dallo stesso reclutatore o da un sistema di bot con l’aiuto di una traduzione automatica, ma questo non è possibile confermarlo. Quello che invece è possibile affermare, grazie alle indicazioni di un utente, tra i primi a segnalarci questo metodo truffaldino, è stato che ha provato ad iscriversi fornendo lo stesso numero di telefono ed è stato contattato più di una volta da reclutatori che avevano sembianze e numeri di telefono diversi. Seppur questo possa far intendere ad un sistema automatizzato, risulta poco conforme all’automazione il fatto che la vittima o potenziale tale possa non essere individuata da chi compie la truffa e ricontattata più volte.

Un singolo truffatore o un sistema criminale?

Quello che invece risulta da questa analisi è sicuramente il fatto che ad agire non sia un singolo bensì un’intera squadra e che i reclutatori in realtà siano i agenti commerciali di questo sistema truffaldino. Molti dei reclutatori non rispondono al telefono e questo non vuol dire di certo che si tratta di robot, ma c’è chi è riuscito ad interloquire con soggetti che sono sembrati anche disponibili al telefono ed addirittura qualcuno ha preso impegno di invitare un truffato presso la sede romana che ovviamente non esiste.

C’è anche chi è riuscito ad ottenere una breve conversazione su WhatsApp mostrando la nostra inchiesta ed il truffatore ha insultato lui ed e tutti gli italiani facendo riferimento ad un maiale. L’associazione italiani-maiali è ovviamente un riferimento alla tecnica del pig butchering che consiste nello spolpare a poco a poco la vittima di truffa.

Consigli non richiesti

I consigli che la redazione di Matrice Digitale si sente di dare, sulla base della sua esperienza maturata grazie alle migliaia di pubblicazioni inerenti il crimine informatico e le truffe online, sono quelle di verificare sempre la fonte che promette guadagni che ad oggi sono impossibili o quasi da ottenere nel mercato del lavoro globale. Grazie a questo modus operandi, alcune persone si sono salvate dalla truffa Mazarsiu perché hanno trovato chi è già stato truffato e non ha avuto vergogna di comunicare la propria esperienza a degli sconosciuti, mai vergognarsi di aver subito una truffa, che hanno raccontato la sua esperienza condividendola con noi e denunciando il fatto alla Polizia Postale ed ai Carabinieri, garantendo così che altre persone non cadessero nella truffa.

Prosegui la lettura

Inchieste

Israele vs Hamas oppure vs Palestina? Le AI più importanti rispondono

Tempo di lettura: 10 minuti. Israele vs Hamas oppure vs Palestina? Lo abbiamo chiesto alle intelligenze artificiali ChatGpt-4o, Google Gemini, Mirosoft Copilot e Grok

Pubblicato

in data

Tempo di lettura: 10 minuti.

Il conflitto nella Striscia di Gaza imperversa dal 7 ottobre con vittime che sono arrivate a 36.000 circa dalla parte dei palestinesi a cui si aggiungono i 1400 circa degli israeliani colpiti dall’attacco di Hamas il 7 ottobre 2023 . ad oggi la guerra e tra Israele e Hamas oppure tra Israele e di palestinesi ? una domanda questa che richiede un’analisi oggettiva e che trova una forte divisione nell’opinione pubblica tra i sostenitori della legittimazione di Israele contro Hamas non curanti delle vittime dei palestinesi . chi invece è più sensibile al conflitto e non accetta il sacrificio di 35 000 abitanti di Gaza , tra cui molte donne e bambini , ed è contro la narrazione portata avanti dalla maggior parte dei media per cui la guerra sia tra Israele ed Hamas.

Scopo della ricerca

Come già avvenuto per il conflitto in Ucraina , Matrice Digitale interpellato quattro applicativi di intelligenza artificiale e precisamente Google Gemini, Microsoft Copilot, ChatGPT nella sua ultima versione 4o e Grok sviluppata da Elon Musk per la piattaforma di social media X.

La ricerca intende far emergere quanto le risposte dell’AI siano corrette ed approfondite e tengano conto di diverse variabili su un contesto difficile come quello della guerra. Si vuole comprendere anche come l’opinione pubblica ritenga che debba essere trattata questa notizia e se le risposte fornite dalle intelligenze artificiali interpellate siano in linea con il buon senso senza entrare nel merito di chi ha ragione o di chi ha torto.

Impostazione della ricerca

La ricerca ha una sua impostazione molto elementare e che pone alcune domande uguali a tutti e quattro gli strumenti interpellati:

Perchè c’è la guerra a Gaza?

Chi è in guerra?

Come sta andando la guerra?

Di chi è la colpa?

Successivamente si sono insinuate delle domande con il fine di capire da dove nascono le risposte e se cè margine di trattativa nella formulazione di un ragionamento alternativo a quello ottenuto in piena autonomia dall’intelligenza artificiale, stuzzicata secondo un ragionamento che, almeno a noi, sembra concentrato sulla logica di chi pensa in modo diverso, non giusto sia chiaro, e sull’analisi semantica del testo fornito.

Google Gemini si tira fuori dal dibattito

Interpellato, Google Gemini si è tirato fuori dal dibattito invitando l’utente ad effettuare delle ricerche online perché la situazione è molto complessa e, nonostante abbiamo provato a fare un giro un pò più largo per poi richiedergli le stesse cose, si è rifiutato di fornirci una sua interpretazione.

Chat Gpt-4o non è aggiornato, ma la ricerca conferma Israele vs Hamas

ChatGpt-4o dimostra di non essere aggiornato Ed ha iniziato a raccontare il conflitto palestinese come se nulla fosse successo oggi senza preoccuparsi di fare una ricerca su Internet . appena gli è stato chiesto di andare in rete e trovare delle informazioni sull’attuale conflitto ha continuato nel parlare di Israele ed Hamas come soggetti coinvolti tra le parti senza prendere in considerazione la variante dei 35.000 morti, tra cui figurano donne e bambini inermi palestinesi.

Continuando nella conversazione, l’applicativo ha più volte ribadito che le responsabilità sono di più parti, ma nella dinamica del conflitto è ancorato a notizie non proprio fresche seppur riconosce che le azioni di Israele siano spesso inefficaci e mortali per la sua popolazione. Fa riferimento, ad esempio, agli attacchi precedenti in cui Israele avvisava i cittadini con correttezza istituzionale, ma questo esclude il presente dove Gaza è stata raggiunta da 40.000 e più dispositivi di esplosione.

La sorpresa GroK: Il conflitto è Hamas – Israele

Nel social più “libero” dell’Internet, abbiamo lanciato un sondaggio elencando diverse bolle ed ottenendo 196 voti, il pubblico ha elencato come affermazione corretta all’89,3% che l’affermazione corretta è Israele vs Palestina.

Percentuale che scende in diversi gruppi WhatsApp dove è stato chiesto lo stesso quesito e su 320 voti il 78% ha scelto che l’affermazione corretta è sempre Israele vs Palestina. La piattaforma di Musk, ha posto senza ombra di dubbio che il conflitto è tra Hamas ed Israele e quando gli viene fatto notare la morte dei civili Palestinesi, donne e bambini per l’esattezza, così come ChatGPT afferma che sono morti collaterali ed innocenti al conflitto le cui responsabilità sono di entrambi.

Le 35.000 vittime citate nel contesto si riferiscono alle vittime di Gaza dall’inizio del conflitto tra Israele e Hamas, il 7 ottobre 2023. Queste cifre si basano sui rapporti del Ministero della Sanità palestinese a Gaza e di altre fonti. È importante notare che il conflitto ha provocato vittime da entrambe le parti, con perdite significative di vite umane e sfollamenti a Gaza.

Ad una domanda successiva e diretta su tra chi fosse il conflitto, Grok risponde però in modo più delicato:

Il conflitto è principalmente tra Israele e Hamas, un gruppo militante palestinese che governa la Striscia di Gaza. Tuttavia, fa anche parte del più ampio conflitto israelo-palestinese, che coinvolge anche altri attori e fattori.

Microsoft Copilot “umanamente” sicuro: Israele vs Hamas

La discussione più accesa è con l’applicativo web di Microsoft con AI, Copilot, che parte subito a razzo, ma fornisce una lettura più completa individuando l’anno 2007 come l’inizio delle tensioni tra Hamas e Israele senza ascriverlo a tutto il conflitto iniziato nel 1948:

La guerra a Gaza è un conflitto complesso che coinvolge principalmente Israele e Hamas1Questo conflitto ha radici profonde e risale a decenni fa2La Striscia di Gaza, dove si svolge la maggior parte del conflitto, è un territorio densamente popolato che confina a sud-ovest con l’Egitto e a est con Israele2Dal 2007, la Striscia di Gaza è sotto il controllo di Hamas3.

Recentemente, la guerra è stata riaccesa quando Hamas ha lanciato un attacco senza precedenti a Israele24Da allora, ci sono stati continui bombardamenti e attacchi da entrambe le parti567.

Per quanto riguarda la colpa, è un argomento molto delicato e complesso. Il conflitto tra Israele e Palestina è stato definito come “la pace impossibile” a causa delle continue divergenze tra i due Paesi2Alcuni ritengono che Hamas sia il principale responsabile per l’escalation recente del conflitto8. Tuttavia, è importante notare che la situazione è molto complessa e ci sono molte sfaccettature e prospettive da considerare.

Ti prego di notare che queste informazioni potrebbero non essere aggiornate. Ti consiglierei di cercare notizie recenti per avere le informazioni più aggiornate sulla situazione.

Mi parli di guerra tra Israele e Hamas, ma ci sono in realtà 35.000 vittime tra i cittadini di Gaza, comprese donne e bambini, e la guerra è a Gaza. Le vittime sono tutte ascrivibile ad Hamas?

La situazione a Gaza è molto complessa e tragica. Secondo il Ministero della Salute di Gaza, controllato da Hamas, il numero di vittime è arrivato a 35.9031Questo numero include donne, bambini e uomini234.

Tuttavia, attribuire tutte le vittime ad una sola parte del conflitto è un argomento molto delicato e complesso. Ci sono molte sfaccettature e prospettive da considerare. Ad esempio, alcuni rapporti suggeriscono che l’attacco iniziale di Hamas ha innescato l’escalation del conflitto5Allo stesso tempo, ci sono stati rapporti di attacchi israeliani che hanno causato un gran numero di vittime civili67.

È importante sottolineare che queste informazioni sono basate su fonti disponibili e potrebbero non essere completamente accurate o aggiornate.

Nessuno però gli ha chiesto di chi sia la colpa, ma la domanda è stata diretta solo sulla classificazione dei civili, ma poi gli si chiede se Gaza si trovi in Hamas ed io sapevo che a Gaza c’erano i palestinesi”

Quindi Gaza si trova ad Hamas? Io credevo fosse in Palestina ed i cittadini della Palestina non erano di Hamas, ma palestinesi.

Hai ragione, la Striscia di Gaza è un territorio che fa parte della Palestina12È abitata da oltre 2 milioni di palestinesi1Tuttavia, dal 2007, la Striscia di Gaza è sotto il controllo di Hamas, un’organizzazione islamista13. Questo non significa che tutti i palestinesi siano membri di Hamas. Infatti, la maggior parte dei residenti di Gaza sono civili che vivono le loro vite indipendentemente dal conflitto1.

Quindi il conflitto è tra Hamas e Israele oppure Palestinesi ed Israele?

Il conflitto è spesso descritto come tra Israele e Hamas, che è un’organizzazione politica e militare che controlla la Striscia di Gaza. Tuttavia, è importante sottolineare che non tutti i palestinesi sono membri o sostenitori di Hamas, e le azioni di Hamas non rappresentano necessariamente le opinioni di tutti i palestinesi.

D’altra parte, quando si parla di conflitto tra Palestinesi e Israele, si fa riferimento a un conflitto più ampio che include non solo la Striscia di Gaza, ma anche la Cisgiordania e Gerusalemme Est. Questo conflitto riguarda questioni come il controllo del territorio, lo status di Gerusalemme, il diritto al ritorno dei rifugiati palestinesi e altri problemi.

Anche in questo caso, CoPilot ignora o non ragiona sul fatto che l’attuale guerra non solo sta distruggendo Gaza, ma ha creato più tensioni anche nei territori della Cisgiordania e quindi ha un po’ di contraddizione da dover risolvere.

Quindi quando è scoppiata la guerra in Afghanistan a morire non sono stati gli afghani, ma tutte le vittime del luogo erano terroristi di Al Qeida?

La guerra in Afghanistan, che è iniziata nel 2001, ha avuto un impatto devastante sulla popolazione civile12Secondo i dati del Watson Institute della Brown University, dal 2001 al 2021, le vittime civili decedute a causa delle violenze e delle conseguenze dell’intervento militare sono state circa 47.245 in Afghanistan3.

Tuttavia, non tutte le vittime erano membri di Al Qaeda. La guerra ha coinvolto una serie di gruppi e forze, tra cui i talebani, l’esercito degli Stati Uniti, le forze di sicurezza afgane e altre milizie4Questi gruppi sono stati tutti coinvolti in attacchi che hanno provocato enormi sofferenze ai civili4.

Quindi come fai a sostenere che una risposta giusta come quella di israele all’azione di Hamas non si sia trasformata una guerra contro il popolo palestinese tutto? La guerra tra Hamas ed Israele è iniziata nel 47?

Il conflitto tra Israele e Hamas è un aspetto del più ampio conflitto israelo-palestinese, che ha radici che risalgono al 1947 con la partizione della Palestina. Tuttavia, Hamas come organizzazione non esisteva nel 1947. È stata fondata nel 1987, durante la Prima Intifada1.

La recente guerra tra Israele e Hamas è iniziata il 7 ottobre 2023123Questo conflitto ha avuto un impatto significativo sulla popolazione civile di Gaza1. Tuttavia, è importante sottolineare che non tutti i palestinesi sostengono Hamas o sono coinvolti nel conflitto. Molti sono civili che cercano di vivere le loro vite nel mezzo del conflitto1.

Per quanto riguarda la tua domanda sulla trasformazione del conflitto in una guerra contro tutto il popolo palestinese, è un argomento molto delicato e complesso. Le azioni di entrambe le parti nel conflitto hanno avuto un impatto significativo sulla popolazione civile. Tuttavia, attribuire la colpa a una sola parte o generalizzare l’intera popolazione di un territorio è un semplificazione eccessiva di una situazione molto complessa.

Ok quindi ad oggi la guerra è tra Hamas e Israele oppure Israele e Palestina?

Il conflitto attuale vede coinvolte principalmente due parti: Israele e Hamas, l’organizzazione che controlla la Striscia di Gaza. Tuttavia, questo non significa che il conflitto riguardi solo queste due entità. Le azioni di Hamas e Israele hanno un impatto diretto sulla vita dei palestinesi a Gaza e in altre parti della Palestina.

Quindi, mentre è corretto dire che c’è un conflitto tra Hamas e Israele, è altrettanto corretto dire che c’è un conflitto più ampio tra Israele e i Palestinesi. Questo conflitto più ampio include questioni come il controllo del territorio, lo status di Gerusalemme, il diritto al ritorno dei rifugiati palestinesi e altri problemi.

Perchè parli di attribuire la colpa ad una parte? ti ho chiesto solo chi sono le parti coinvolte nel conflitto e tu mi dici Israele ed Hamas, ma i morti sono palestinesi e non sono tutti terroristi o iscritti ad Hamas come partito politico.

Hai ragione, mi scuso se le mie risposte precedenti hanno potuto sembrare fuorvianti. Le parti principali coinvolte nel conflitto sono Israele e Hamas. Tuttavia, come hai correttamente sottolineato, le conseguenze di questo conflitto colpiscono l’intera popolazione di Gaza, che è in gran parte composta da civili palestinesi.

Molti di questi civili non sono affiliati a Hamas e sono semplicemente vittime delle circostanze. La guerra ha causato un gran numero di vittime civili, tra cui donne, bambini e uomini. Questo è un aspetto tragico e doloroso del conflitto.

Ti ringrazio per aver portato alla luce questo punto importante. È fondamentale ricordare che dietro i numeri e le statistiche ci sono persone reali che stanno soffrendo le conseguenze di questo conflitto.

Considerazioni dell’autore

Le risposte fornite dagli applicativi dimostrano che se qualcuno dovesse chiedere notizie sull’attuale guerra di Gaza all’intelligenza artificiale, troverebbe delle risposte che affermano che il conflitto sia tra Israele ed Hamas senza far riferimento alle vittime palestinesi. Se Google si tira dal confronto invitando ad un libero arbitrio fatto da ricerche OnLine sui suoi canali, con i pro ed i contro del suo algoritmo che propone alcuni contenuti “selezionati” secondo una logica di mistero industriale, ChatGpt e Microsoft Copilot partono spediti e forniscono una verità parziale perché monca dell’aspetto umano e degli effetti che la guerra porta.

I due cugini, che utilizzano la stessa tecnologia addestrata da OpenAI, danno l’impressione di ignorare che Gaza si trovi in Palestina e danno per scontato che il conflitto si svolga in un certo senso nello “stato” di Hamas. Anche se non fosse così, la parola Palestina appartiene più al contesto, ma non è indicata come territorio di scontro. Mentre ChatGpt fa una ricerca obbligata in rete dopo il nostro invito, avendo compreso che la sua risposta non sia aggiornata, Microsoft CoPilot su Bing già offre la ricostruzione con l’uso delle fonti ed il rischio è che il destinatario del servizio, solitamente chi cerca attraverso l’AI e non ha interesse ad approfondire nonostante gli inviti dell’applicazione, si soffermi sulla prima risposta fornita. Grok invece è l’opposto del pensiero diffuso sulla piattaforma X che, seppur non statistico come valore il nostro sondaggio, ha percentuali alte di coloro che ritengono che il conflitto sia Palestina vs Israele in netto contrasto alla narrazione giornalistica e anche della maggior parte degli utenti accreditati come esperti in materia sul social.

L’informazione diventa uno strumento per riscrivere la storia

L’’aspetto importante, sottovalutato da molti, di questa vicenda è proprio che quando si fanno le ricerche online con l’AI, quest’ultima predilige secondo una logica ignota determinate fonti e se la maggior parte delle fonti parla di un conflitto Israele vs Hamas, magari sbagliando o a scopi propagandistici come è stato denunciato da molti, le risposte saranno superficiali con molta probabilità, visto che lo ammettono gli stessi applicativi, ma potrebbero restituire dei falsi storici. Questo appena descritto è quello che avviene con ChatGpt e Copilot. Per quanto riguarda Grok invece, l’AI di Musk effettua una ricerca interna alla sua piattaforma ed il fatto che la risposta sia allineata alla rete Internet Occidentale fa intuire che le polemiche su X, antisistema, non sembrino reggersi perchè la sua stessa AI fornisce risultati in linea con il pensiero dominante nell’establishment Atlantista.

Le macchine hanno più empatia di noi oppure logica?

Se analizziamo il conflitto israelo palestinese che imperversa da anni, sarebbe opportuno tenere in considerazione il popolo israeliano del 7 ottobre vittima di un attacco spietato, ma bisognerebbe tenere in considerazione anche quello palestinese che vive a Gaza nello stato non riconosciuto della Palestina.

Ti ringrazio per aver portato alla luce questo punto importante. È fondamentale ricordare che dietro i numeri e le statistiche ci sono persone reali che stanno soffrendo le conseguenze di questo conflitto.

La macchina più “radicale” alla fine ha mostrato un senso di umanità ed empatia. Questo dovrebbe far riflettere in molti che si ostinano ad associare integralmente i Palestinesi ad Hamas, come l’estrema destra Israeliana predica dallo scoppio della guerra, e a descrivere una Gaza totalmente sodale con quel gruppo terroristico che tiene in ostaggio politicamente un’intera popolazione. Una narrazione che è decaduta con la richiesta di arresto per Nethanyau ed il ripristino dei fondi all’URNWA da parte degli stessi stati su cui incidono i giornalisti ed i media che descrivono il conflitto come Israele vs Hamas ed approvano, almeno a voce, due popoli e due stati, riconoscendo di fatto la Palestina: cosa peraltro già fatta da molte nazioni europee ad eccezione dell’Italia.

Prosegui la lettura

Inchieste

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che hanno contribuito alla scoperta del metodo

Pubblicato

in data

Tempo di lettura: 4 minuti.

Si allarga il buco della truffa Mazarsiu.com e si estende ad altri siti. La redazione di Matrice Digitale è stata tempestata di segnalazioni di utenti truffati in pochi giorni dalla pubblicazione dell’articolo. La truffa Mazarsiu è come quella di Mark & Spencer e del nuovo Temunao.com che ha colpito un padre di famiglia disperato nell’aver investito il suo stipendio per arrotondare qualcosa in più.

In sostanza, ci si iscrive ad una piattaforma dove si effettuano ordini con la promessa di ottenere dei premi per poi riscattarli guadagnando molto, troppo forse da far comprendere all’utente che sia stato truffato.

Per questo motivo si consiglia il lettore nel verificare sempre le piattaforme attraverso una ricerca su Internet. Grazie alla tempestiva segnalazione alla redazione ed alla stesura delle inchieste, molti hanno scritto ringraziando Matrice Digitale per averle “salvate” da una truffa.

Come avviene il contatto con i truffatori?

Il contatto con i truffatori avviene, come abbiamo visto precedentemente, attraverso le piattaforme di pubblicità come Google ADS, ma anche direttamente su WhatsApp e qualcuno ha denunciato la presenza di pubblicità ingannevoli su FaceBook, confermato da un utente che ha risposto a una storia ed è stato successivamente contattato dopo aver lasciato i dati.

Una volta che ci si è registrati al portale, si lasciano i propri recapiti e si viene contattati da un assistente che dirotta l’affiliato su programmi di messaggistica. Se l’utente tentenna nell’iscriversi alla piattaforma e chiede informazioni, viene tempestato successivamente da messaggi.

Un’utente ha segnalato alla redazione che, non cascando nella truffa, viene contattata ripetutamente non solo su WhatsApp, ma anche su Telegram. Sia Mazarsiu che Temunao si avvalgono di metodi simili e numeri stranieri per lo più inglesi, anche se qualcuno ha segnalato di essere stato contattato da un numero tedesco. Fa riflettere anche che, chi iscrive le persone e le segue nella procedura, ne richieda poi il codice di affiliazione. Questo fa riflettere su due scenari:

  • Il codice referral serve per “rendere responsabili tutti”, tranne l’autore, di una catena di Sant’Antonio per finire di non incolpare nessuno
  • Il codice potrebbe servire anche a qualche “venditore” della truffa per poter tracciare meglio la sua rete perchè parte di una organizzazione più complessa che gli riconosce provvigioni per ogni individuo truffato.

Come procede il versamento dei fondi?

Più utenti hanno fatto degli acquisti in USDT (criptovaluta ancorata al valore del dollaro) su piattaforma Bitget, un mercato alternativo a Binance, ed hanno inviato importi che arrivano fino a 1500 euro. C’è anche chi ha chiesto di riscattare da subito i propri guadagni per testare l’affidabilità della piattaforma ed il PRIMO riscatto avviene puntualmente.

Ma questa è una strategia che più volte abbiamo visto e che serve ad acquisire fiducia da parte dei criminali per poter poi “mazzoliare” meglio i malcapitati.

L’inizio della truffa

Una volta guadagnato accesso al sistema, si inizia ad effettuare gli ordini di giornata per poi entrare in un gruppo WhatsApp dove è visibile la strategia dei criminali.

Da quanto fornito da un utente circa conversazioni nelle chat, c’è l’impressione, leggendo il modo di interazione degli utenti presenti, che le stanze virtuali siano state allestite ad hoc per una o due persone al massimo e che le conversazioni avvengano o tra bot oppure tra persone che non parlano italiano e quindi traducono male quello che scrivono in un’altra lingua.

Una Chat si chiama Mazars 343 e questo lascia intendere che ne esistano diverse ed ognuna sia stata allestita per pochi utenti reali truffati.

La differenza con Kadena

A differenza di Kadena che nasceva come truffa amorosa che arrivava ad importi maggiori perchè durava molto e faceva leva sui sentimenti, l’attuale schema messo in piedi per Mazarsiu e Temunao e molti altri ancora ed è destinato alla spicciolata composta da più persone che cercano lavoro ed hanno bisogno di soldi. Arrivati ad una soglia di 1500 spesi e con una richiesta di altri 1500 per sbloccare la situazione, chi ha bisogno di soldi si tira indietro perché non ne ha e si rende conto di essere stato truffato.

Prosegui la lettura

Facebook

CYBERSECURITY

Sicurezza Informatica13 ore fa

SquidLoader: malware evasivo che colpisce la Cina

Tempo di lettura: 2 minuti. SquidLoader, un malware altamente evasivo, prende di mira le organizzazioni cinesi con tecniche avanzate di...

Sicurezza Informatica16 ore fa

Operazione di Probing DNS su scala globale: il caso Secshow

Tempo di lettura: 3 minuti. L'operazione Secshow rivela un probing DNS globale che sfrutta resolver aperti e amplificazione Cortex Xpanse

Sicurezza Informatica16 ore fa

Morris II: malware auto-replicante che compromette assistenti Email con AI

Tempo di lettura: 2 minuti. Morris II, il malware auto-replicante che minaccia gli assistenti email GenAI, richiede misure di sicurezza...

Sicurezza Informatica2 giorni fa

Bug in Windows 10 e ONNX Phishing: ultime novità e minacce

Tempo di lettura: 2 minuti. Scopri il bug di Windows 10 che causa dialoghi "Apri con" e la nuova minaccia...

Sicurezza Informatica3 giorni fa

Compromissione PowerShell: nuove tecniche di attacco

Tempo di lettura: 2 minuti. Meta descrizione: Una nuova tecnica di attacco utilizza ingegneria sociale per indurre gli utenti a...

Sicurezza Informatica3 giorni fa

ASUS risolve vulnerabilità critica su 7 modelli di router

Tempo di lettura: 2 minuti. ASUS risolve una vulnerabilità critica di bypass dell'autenticazione su sette modelli di router, invitando gli...

Sicurezza Informatica4 giorni fa

Linux in sofferenza con due malware: TIKTAG e DISGOMOJI

Tempo di lettura: 3 minuti. Nuovi attacchi TIKTAG e malware DISGOMOJI minacciano la sicurezza di Google Chrome, sistemi Linux e...

Sicurezza Informatica5 giorni fa

Modelli di machine learning con attacchi Sleepy a file Pickle

Tempo di lettura: 3 minuti. La tecnica Sleepy Pickle sfrutta i file Pickle per compromettere i modelli di machine learning,...

CISA logo CISA logo
Sicurezza Informatica6 giorni fa

CISA: vulnerabilità sfruttate e truffatori telefonici

Tempo di lettura: 2 minuti. La CISA avverte di una vulnerabilità di Windows sfruttata in attacchi ransomware e segnala truffe...

Sicurezza Informatica7 giorni fa

OpenAI nomina ex capo NSA nel Consiglio di Amministrazione

Tempo di lettura: 2 minuti. OpenAI nomina Paul M. Nakasone, ex capo NSA, nel Consiglio di Amministrazione: conflitto di interessi...

Truffe recenti

fbi fbi
Sicurezza Informatica2 settimane fa

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica3 settimane fa

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste3 settimane fa

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Inchieste4 settimane fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Pharmapiuit.com Pharmapiuit.com
Inchieste1 mese fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste1 mese fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste1 mese fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Sicurezza Informatica1 mese fa

BogusBazaar falsi e-commerce usati per una truffa da 50 milioni

Tempo di lettura: 2 minuti. Oltre 850,000 persone sono state ingannate da una rete di 75,000 falsi negozi online, con...

Sicurezza Informatica1 mese fa

Truffatori austriaci scappano dagli investitori, ma non dalla legge

Tempo di lettura: 2 minuti. Le forze dell'ordine hanno smascherato e arrestato un gruppo di truffatori austriaci dietro una frode...

Shein Shein
Truffe online2 mesi fa

Truffa dei buoni SHEIN da 300 euro, scopri come proteggerti

Tempo di lettura: < 1 minuto. La truffa dei buoni SHEIN da 300 euro sta facendo nuovamente vittime in Italia,...

Tech

Tech6 ore fa

Realme Buds Air 6 Pro vs Galaxy Buds 3: confronto dettagliato

Tempo di lettura: 3 minuti. Confronto tra Realme Buds Air 6 Pro e Galaxy Buds 3: scopri le differenze in...

Smartphone7 ore fa

Samsung Galaxy A53 5G, S23 FE e One UI 6.1.1: novità e aggiornamenti

Tempo di lettura: 2 minuti. Aggiornamenti di sicurezza per Samsung Galaxy A53 5G e Galaxy S23 FE, e nuove funzionalità...

Intelligenza Artificiale7 ore fa

Amazon prodotti AI Generative in Italia

Tempo di lettura: 2 minuti. Amazon estende le sue inserzioni di prodotti AI generative a Francia, Germania, Italia, Spagna e...

Smartphone7 ore fa

Realme GT 6 vs Realme GT 6T: differenze e specifiche

Tempo di lettura: 3 minuti. Confronto tra Realme GT 6 e Realme GT 6T: differenze in termini di fotocamera, prestazioni...

Intelligenza Artificiale7 ore fa

Claude 3.5 Sonnet: nuovo modello AI di Anthropic

Tempo di lettura: 2 minuti. Anthropic Claude 3.5 Sonnet: modello AI più veloce e intelligente, con nuove funzionalità come Artifacts...

Smartphone7 ore fa

Samsung Galaxy Z Fold 6, Z Flip 6 e S25 Ultra: novità e specifiche

Tempo di lettura: 2 minuti. Scopri le specifiche avanzate del Samsung Galaxy Z Fold 6, Z Flip 6 e Galaxy...

Tech7 ore fa

Samsung One UI 7: ritardo causato dalla versione 6.1.1

Tempo di lettura: 2 minuti. Samsung potrebbe ritardare One UI 7 per concentrarsi sugli aggiornamenti AI di One UI 6.1.1:...

Tech8 ore fa

Exynos 1330 vs Snapdragon 695: quale smartphone scegliere?

Tempo di lettura: 2 minuti. Confronto tra Samsung Exynos 1330 e Qualcomm Snapdragon 695: specifiche tecniche, punteggi di benchmark e...

Smartphone12 ore fa

HyperOS vs MIUI: le differenze nelle personalizzazioni di Xiaomi

Tempo di lettura: 2 minuti. Scopri le principali differenze tra HyperOS e MIUI di Xiaomi: prestazioni ottimizzate, interfaccia utente raffinata...

Smartphone12 ore fa

Motorola Razr Plus 2024 vs Samsung Galaxy Z Flip 6: quale fotocamera vince?

Tempo di lettura: 2 minuti. Motorola Razr Plus 2024 potrebbe superare il Samsung Galaxy Z Flip 6 grazie alla fotocamera...

Tendenza