Connect with us

Inchieste

Reaper torna all’assalto dei giornalisti con Goldbackdoor

Pubblicato

il

Tempo di lettura: 4 minuti.

Una campagna di APT37 ha utilizzato un sofisticato per rubare informazioni sulle fonti, che sembra essere un successore di Bluelight.

Gli legati al governo nordcoreano stanno attivamente prendendo di mira i giornalisti con un nuovo malware soprannominato Goldbackdoor. Gli attacchi sono consistiti in una campagna di infezione multistadio con l'obiettivo finale di rubare informazioni sensibili dagli obiettivi. Si ritiene che la campagna sia iniziata a marzo ed è in corso secondo i ricercatori di Stairwell hanno seguito un rapporto iniziale da NK News della , che ha rivelato che APT37 aveva rubato informazioni dal computer privato di un ex funzionario dell' sudcoreana. L'attore della minaccia noto anche come Ricochet Collima, InkySquid, Reaper o ScarCruft ha tentato di impersonare NK News e distribuito quello che sembrava essere un nuovo malware nel tentativo di colpire i giornalisti che stavano usando il funzionario come fonte.

NK News ha passato i dettagli a Stairwell per ulteriori indagini. I ricercatori della di cybersicurezza hanno scoperto dettagli specifici del malware, chiamato Goldbackdoor. Il malware è probabilmente un successore del malware Bluelight, secondo un rapporto che hanno pubblicato alla fine della scorsa settimana.
Il malware Goldbackdoor condivide forti sovrapposizioni tecniche con il malware Bluelight“, hanno scritto i ricercatori. “Queste sovrapposizioni, insieme alla sospetta risorsa di sviluppo condivisa e all'impersonificazione di NK News, supportano la nostra attribuzione di Goldbackdoor a APT37“.

APT37 è stato visto in precedenza utilizzando Bluelight come payload secondario lo scorso agosto in una serie di attacchi watering hole contro un giornale sudcoreano che ha utilizzato le vulnerabilità note di Internet Explorer.

Come hanno notato i ricercatori di Stairwell, i giornalisti sono “obiettivi di alto valore per i governi ostili” e spesso l'obiettivo di attacchi di informatico. Infatti, una delle più grandi storie di dell'anno scorso è stato l'uso da parte di vari governi dello di contro i giornalisti, tra gli altri obiettivi.

I giornalisti spesso sono aggregatori di storie da molti individui, a volte compresi quelli con accesso sensibile“, hanno scritto i ricercatori Stairwell. “Compromettere un giornalista può fornire l'accesso a informazioni altamente sensibili e consentire ulteriori attacchi contro le loro fonti“.

Malware a più fasi

L'attuale saga della campagna si è svolta a partire dal 18 marzo, quando NK News ha condiviso “più artefatti dannosi con il team di sulle minacce di Stairwell da una campagna di spear- rivolta ai giornalisti specializzati nella RPDC“, hanno scritto i ricercatori. I messaggi sono stati inviati dall'email personale di un ex direttore del National Intelligence Service della Corea del Sud, NIS.

Uno di questi artefatti era un nuovo campione di malware che abbiamo chiamato Goldbackdoor, basato su un artefatto di sviluppo incorporato”, hanno scritto.

Goldbackdoor è un malware a più stadi che separa la prima fase degli strumenti e il carico utile finale, che permette all'attore della minaccia di fermare la distribuzione dopo che gli obiettivi iniziali sono stati infettati, hanno detto i ricercatori.

“Inoltre, questo può limitare la capacità di condurre un'analisi retrospettiva una volta che i payload vengono rimossi dall'infrastruttura di controllo”, hanno scritto nel rapporto.

Il malware, come Bluelight prima di esso, utilizza i fornitori di servizi cloud per ricevere i comandi dell'attore ed esfiltrare i dati. Il campione specificamente analizzato dai ricercatori ha utilizzato OneDrive e Graph API, mentre un ulteriore campione identificato con hash SHA256 ha utilizzato Google Drive.

Incorporato all'interno del malware sono una serie di chiavi API utilizzate per autenticarsi contro la piattaforma di cloud computing Azure di Microsoft e recuperare i comandi per l'esecuzione, hanno detto i ricercatori.

Goldbackdoor fornisce agli aggressori l'esecuzione di comandi remoti di base, il download/caricamento di file, il keylogging e la capacità di disinstallare da remoto“, hanno scritto. “Questa funzionalità e implementazione corrispondono da vicino a Bluelight; tuttavia, l'attenzione maggiore sembra essere stata posta sulla raccolta di file e sul keylogging“.

Fase uno

Goldbackdoor è un malware sofisticato che i ricercatori hanno suddiviso in due fasi. Nella prima fase, una vittima deve scaricare un file ZIP da un sito compromesso, https[:]//main[.]dailynk[.]us/regex?id=oTks2&file=Kang Min-chol Edits2.zip, che esegue un collegamento Windows compresso.

“Il dominio dailynk[.]us è stato probabilmente scelto per impersonare NK News (dailynk[.]com)”, hanno detto i ricercatori, ed era stato precedentemente utilizzato da APT37 in una campagna precedente.

I ricercatori di Stairwell hanno recuperato il file ZIP per l'analisi da una cronologia DNS del sito, che aveva smesso di risolversi già al momento della loro indagine. Hanno identificato che il file è stato creato il 17 marzo e conteneva un file LNK di scorciatoia di 282,7 MB per Windows chiamato Kang Min-chol Edits, probabilmente un riferimento a Kang Min-chol, ministro delle industrie minerarie della .

“Gli aggressori hanno mascherato questo collegamento come un documento, utilizzando sia l'icona di Microsoft Word che aggiungendo commenti simili a un documento Word”, hanno scritto i ricercatori.

Hanno anche imbottito il file LNK 0x90, o NOP/No Operation, byte per aumentare artificialmente la dimensione di questo file, potenzialmente come un mezzo per impedire l'upload a servizi di rilevamento o malware repository hanno detto.

Una volta eseguito, il LNK esegue uno script PowerShell che scrive e apre un documento esca prima di iniziare il processo di distribuzione di Goldbackdoor, hanno detto i ricercatori.

Fase due
Dopo aver distribuito il documento esca, lo script PowerShell decodifica un secondo script PowerShell che poi scaricherà ed eseguirà un payload shellcode con nome XOR “Fantasy” memorizzato su Microsoft OneDrive.

Quel payload Fantasy è la seconda fase del processo del malware, e la prima di un processo finale in due parti per distribuire Goldbackdoor, hanno detto i ricercatori.

Entrambe le parti sono scritte in codice indipendente dalla posizione (shellcode) contenente un carico utile incorporato, e utilizzano l'iniezione di processo per distribuire Goldbackdoor“, hanno scritto.

Fantasy analizza e decodifica il payload e utilizza un processo standard che coinvolge VirtualAllocEx,WriteProcessMemory e RtlCreateUserThread per generare un thread sotto il processo precedentemente creato per eseguirlo, hanno detto i ricercatori.

Il dropper finale è un payload shellcode in esecuzione come quel thread in un processo creato da Fantasy per eseguire la distribuzione finale del malware.

Il payload consegnato da questa fase è un file PE eseguibile portatile di Windows per Goldbackdoor“, hanno scritto i ricercatori.

Iscriviti alla newsletter settimanale di Matrice Digitale

* inserimento obbligatorio

Inchieste

La CIA sotto accusa aiutata da NewsGuard nella narrazione sull’origine del COVID-19

Tempo di lettura: 2 minuti. La CIA e NewsGuard sotto accusa: nuove rivelazioni sollevano dubbi sulla narrazione ufficiale dell’origine del COVID-19.

Pubblicato

il

Tempo di lettura: 2 minuti.

In una recente rivelazione che potrebbe gettare nuova luce sull'origine della pandemia di COVID-19, un alto ufficiale della CIA ha accusato l'agenzia di aver tentato di manipolare le testimonianze di alcuni analisti per sostenere la teoria della trasmissione del virus dagli animali agli esseri umani, piuttosto che dalla fuga da un laboratorio a Wuhan, in . Questa accusa, riportata dal New York Post, è stata confermata da una lettera inviata al direttore della CIA, William Burns, e ha sollevato nuove domande sulla credibilità delle informazioni fornite dall'agenzia.

Il ruolo di NewsGuard

In questo contesto, è importante sottolineare il ruolo svolto da NewsGuard, una che si occupa di monitorare e valutare la veridicità delle notizie pubblicate online. Secondo una condotta da Matrice , NewsGuard ha avuto un ruolo significativo nell'avallare la narrazione ufficiale sull'origine del virus, etichettando come false le notizie che sostenevano la teoria della creazione artificiale del virus nei laboratori di Wuhan.

Critiche e controversie

La redazione di Matrice Digitale ha criticato aspramente l'approccio di NewsGuard, accusandola di aver creato una lista di proscrizione delle testate giornalistiche che diffondevano notizie contrarie alla narrazione ufficiale, e di aver ignorato altre informazioni false e fuorvianti circolate in merito alla pandemia. Questa situazione ha sollevato gravi preoccupazioni riguardo alla libertà di espressione e al diritto all', con Matrice Digitale che sottolinea la necessità di una maggiore trasparenza e responsabilità da parte delle agenzie di controllo delle notizie.

Questioni politiche e di credibilità

L'inchiesta di Matrice Digitale mette in luce anche le divergenze tra le narrazioni politiche negli Stati Uniti riguardo all'origine del virus, con il Partito Democratico che sostiene la teoria della trasmissione zoonotica, mentre il Partito Repubblicano sospetta una creazione artificiale del virus nei laboratori di Wuhan. In questo scenario, la credibilità di NewsGuard viene messa in discussione, con accuse di favoritismo politico e mancanza di obiettività nella valutazione delle notizie.

In conclusione, le recenti rivelazioni sulla possibile manipolazione delle informazioni da parte della CIA, insieme alle critiche mosse a NewsGuard, sollevano seri dubbi sulla veridicità delle informazioni circolate finora riguardo all'origine del COVID-19. È evidente che la questione richiede ulteriori indagini e una maggiore trasparenza da parte delle agenzie coinvolte. Prima della CIA, anche dall'FBI erano giunte indiscrezioni sull'origine artificiale del virus.

Prosegui la lettura

Inchieste

Vinted, come ottenere merce e rimborso: “il tuo capo è falso”

Tempo di lettura: 2 minuti. Una lettrice condivide la sua esperienza di truffa su Vinted, evidenziando i rischi delle vendite online e la necessità di maggiore protezione per gli utenti.

Pubblicato

il

Tempo di lettura: 2 minuti.

English Version

Le truffe online sono in aumento, e le piattaforme di vendita tra privati come Vinted diventano spesso il terreno di gioco per chi cerca di ingannare. Una lettrice ha deciso di condividere con noi la sua esperienza, sperando di mettere in guardia altri e partecipando attivamente allo spirito di che Matrice ha nei confronti dei lettori e della Pubblica Autorità.

La truffa in dettaglio

Dopo aver messo in vendita una sciarpa autentica di Louis Vuitton, la nostra lettrice ha inviato l'articolo a un'acquirente in . Nonostante avesse fornito prove fotografiche dell'autenticità, l'acquirente ha sostenuto che l'articolo fosse falso, ottenendo un rimborso e trattenendo la sciarpa. La foto dell'acquirente sia da monito per evitare di vendere merce senza ottenere soldi e reso.

La piattaforma Vinted e la sua risposta

Nonostante i numerosi tentativi di contatto, Vinted ha risposto una sola volta, sottolineando la sua contro la vendita di falsi. Successivamente, ogni tentativo di è stato ignorato, e l'acquirente ha bloccato la nostra lettrice che continua a mandare tre messaggi al giorno di media all'assistenza dell'azienda intermediaria già nota per essere terreno fertile di truffe ai danni di compratori e venditori onesti.

Un modus operandi diffuso

La online ha rivelato che molti altri utenti hanno subito truffe simili su Vinted. Dichiarare un prodotto come “falso” sembra essere una tattica comune tra i truffatori. Sia chiaro, il lettore non prenda questa strategia come consiglio, ma duole segnalare che è un dato di fatto. Un capo rotto è stato anche oggetto di un'altra truffa simile già raccontata dalla redazione.

L'inerzia delle autorità

La vittima ha cercato aiuto presso la Polizia Postale e la Guardia di . Tuttavia, le mani delle autorità erano legate a causa della residenza estera sia di Vinted che dell'acquirente.

Il prezzo della giustizia

La nostra lettrice ha valutato anche una opzione legale, ma i costi proibitivi di una causa internazionale hanno reso questa strada impraticabile. Lo stesso motivo che ha fatto desistere Matrice Digitale dal fare una causa a Google dopo l'ingiustificato ban del suo canale YouTube

Riflessioni finali

Questa testimonianza evidenzia la necessità per le piattaforme come Vinted di adottare misure più rigorose per proteggere i propri utenti. Nel frattempo, è fondamentale che gli utenti siano sempre vigili e informati quando operano online: il passa parola non sulle abitudini da osservare, bensì sulle truffe del momento, è fondamentale per anticipare le mosse dei criminali. Ecco tutte le inchieste su Vinted realizzate da Matrice Digitale: i prossimi potreste essere voi.

Prosegui la lettura

Inchieste

Vinted, how to get goods and refund: “your luxury dress is fake”

Tempo di lettura: 2 minuti. A reader shares her experience of being scammed on Vinted, highlighting the risks of online sales and the need for more protection for users.

Pubblicato

il

Tempo di lettura: 2 minuti.

Online scams are on the rise, and B2B sales platforms such as Vinted often become the playground for those seeking to deceive. One reader decided to share her experience with us, hoping to warn other users and actively participate in the spirit of cooperation that Digital Matrix has with readers and the Public Authority.

The scam in detail

After listing an authentic Louis Vuitton scarf for sale, our reader sent the item to a buyer in France. Despite providing photographic evidence of authenticity, the buyer claimed the item was fake, getting a refund and keeping the scarf. Let the buyer's photo be a warning to avoid selling merchandise without getting money and returns.

The Vinted platform and its response

Despite numerous attempts to contact them, Vinted responded only once, emphasizing its policy against selling fakes. Subsequently, every attempt at communication was ignored, and the buyer blocked our reader who continues to send an average of three messages a day to the intermediary company's support, which is already known to be a breeding ground for scams against honest buyers and sellers.

A widespread modus operandi

Online research has revealed that many other users have experienced similar scams on Vinted. Declaring a product as “fake” seems to be a common tactic among scammers. Let me be clear, the reader does not take this strategy as advice, but it pains to report that it is a fact. A broken garment was also the subject of another similar scam already recounted by the editorial staff.

The inaction of the authorities

The victim sought help from the Postal Police and the Guardia di . However, the hands of the authorities were tied because of the foreign residence of both Vinted and the buyer.

The price of justice

Our reader also considered a legal option, but the prohibitive costs of an international lawsuit made this route impractical. The same reason that put off Digital Matrix from suing after the unjustified banning of its channel

Final reflections.

This testimony highlights the need for platforms like Vinted to take stronger measures to protect their users. In the meantime, it is crucial for users to be vigilant and informed at all times when operating online: word of mouth not about the habits to observe, but rather the scams of the moment, is key to anticipating the moves of criminals. Here are all the inch

Prosegui la lettura

Facebook

CYBERWARFARE

Truffe recenti

Truffe online1 settimana fa

No, la vostra pagina Facebook non sta per scadere e non è disabilitata

Tempo di lettura: < 1 minuto. La nuova vecchia truffa è indirizzata ai proprietari delle pagine a cui si vuole...

DeFi3 settimane fa

MetaMask ecco la funzione di scambio ETH in valuta fiat

Tempo di lettura: < 1 minuto. MetaMask lancia una nuova funzione che permette agli utenti di vendere Ether per valuta...

truffa PWCNU truffa PWCNU
Truffe online3 settimane fa

Allerta Truffa: segnalazione di frode online su PWCNU.com

Tempo di lettura: 2 minuti. Allerta truffa: lettore segnala frode su PWCNU.com, perdendo 800€ in schema Ponzi che utilizza numeri...

Truffe online3 settimane fa

Nuova truffa di sextortion: il tuo “video intimo” su YouPorn

Tempo di lettura: 2 minuti. Una nuova truffa di sextortion associata a YouPorn sta cercando di estorcere denaro agli utenti...

Notizie4 settimane fa

ONU: Sud-est Asiatico manodopera del crimine informatico

Tempo di lettura: 2 minuti. Un rapporto dell'ONU svela il traffico di lavoratori nel Sud-est asiatico per operazioni di cybercriminalità,...

Notizie4 settimane fa

CISA Avverte: truffa informatica del cambiamento climatico

Tempo di lettura: < 1 minuto. La CISA avverte gli utenti di rimanere vigili di fronte alle truffe online, in...

Inchieste4 settimane fa

Vinted, come ottenere merce e rimborso: “il tuo capo è falso”

Tempo di lettura: 2 minuti. Una lettrice condivide la sua esperienza di truffa su Vinted, evidenziando i rischi delle vendite...

Inchieste4 settimane fa

Vinted, how to get goods and refund: “your luxury dress is fake”

Tempo di lettura: 2 minuti. A reader shares her experience of being scammed on Vinted, highlighting the risks of online...

vietnam matrix flag vietnam matrix flag
Truffe online4 settimane fa

Truffato per 416.000 dollari in un “club di incontri” su Telegram

Tempo di lettura: < 1 minuto. Uomo di Hanoi truffato per 416.000 dollari cercando di unirsi a un "club di...

Notizie1 mese fa

Galà della Frode: campagna BEC che colpisce l’Italia

Tempo di lettura: 3 minuti. Le truffe di "Business Email Compromise" sono un crescente pericolo nel mondo digitale, con cybercriminali...

Tendenza