Connect with us

Multilingua

CPU-Z fake diffonde malware

Tempo di lettura: 2 minuti. CPU-Z trojanizzato diffonde Redline Stealer via Google Ads. Scopri come proteggerti da malware e siti clonati.

Pubblicato

in data

CPU-Z fake
Tempo di lettura: 2 minuti.

Una nuova campagna di malvertising sta sfruttando gli annunci Google per distribuire una versione fake trojanizzata dell’utility CPU-Z, con l’obiettivo di veicolare il malware Redline, noto per il furto di informazioni. Gli analisti di Malwarebytes hanno rilevato questa campagna, collegandola a operazioni precedenti che utilizzavano pubblicità maligne di Notepad++ per diffondere payload dannosi.

Dettagli della campagna

L’annuncio Google per la versione compromessa di CPU-Z, strumento che profila l’hardware dei computer Windows, è ospitato su una copia clonata del sito di notizie Windows legittimo WindowsReport. CPU-Z è un’utilità gratuita molto popolare che aiuta gli utenti a monitorare vari componenti hardware, dalle velocità delle ventole alle frequenze di clock della CPU, tensione e dettagli della cache. Cliccando sull’annuncio, le vittime vengono indirizzate attraverso un passaggio di reindirizzamento che inganna i crawler anti-abuso di Google, inviando visitatori non validi verso un sito innocuo.

Siti Clonati e Processo di Infezione

Gli utenti considerati validi per ricevere il payload vengono reindirizzati verso un sito che imita quello di notizie Windows, ospitato su uno dei seguenti domini:

  • argenferia[.]com
  • realvnc[.]pro
  • corporatecomf[.]online
  • cilrix-corp[.]pro
  • thecoopmodel[.]com
  • winscp-apps[.]online
  • wireshark-app[.]online
  • cilrix-corporate[.]online
  • workspace-app[.]online

L’uso di un clone di un sito legittimo aggiunge un ulteriore livello di fiducia al processo di infezione, poiché gli utenti sono abituati a siti di notizie tecnologiche che ospitano link per il download di utility utili.

Conseguenze dell’Installazione e Precauzioni

Cliccando sul pulsante “Scarica ora”, si riceve un installer di CPU-Z (file MSI) firmato digitalmente contenente uno script PowerShell dannoso identificato come il loader di malware ‘FakeBat’. La firma digitale del file riduce la probabilità che gli strumenti di sicurezza di Windows o i prodotti antivirus di terze parti lancino un avviso per l’utente. Il loader scarica il payload di Redline Stealer da un URL remoto e lo lancia sul computer della vittima. Redline è un potente strumento di furto in grado di raccogliere password, cookie e dati di navigazione da una gamma di browser web e applicazioni, oltre a dati sensibili da portafogli di criptovalute.

Multilingua

DarkGate e l’iniezione di Template Remoti: nuove tattiche di attacco

Tempo di lettura: 2 minuti. Nuove tattiche di DarkGate: iniezione di template remoti per aggirare le difese e infettare con malware tramite documenti Excel.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Recentemente, Cisco Talos ha rilevato un aumento significativo di campagne email malevole contenenti allegati sospetti di Microsoft Excel che, una volta aperti, infettano il sistema della vittima con il malware DarkGate. Queste campagne, attive dalla seconda settimana di marzo, utilizzano tecniche, tattiche e procedure (TTP) mai osservate prima negli attacchi DarkGate.

Tecnica dell’Iniezione di Template Remoti

Le recenti campagne di DarkGate sfruttano una tecnica chiamata “Remote Template Injection” per bypassare i controlli di sicurezza delle email e ingannare l’utente a scaricare ed eseguire codice malevolo quando viene aperto il documento Excel. Questa tecnica consente di importare template da fonti esterne per espandere le funzionalità di un documento, eludendo i protocolli di sicurezza che potrebbero non essere stringenti per i template rispetto ai file eseguibili.

Dettagli Tecnici dell’Attacco

Le email malevole individuate da Cisco Talos contenevano allegati di Excel con nomi distintivi, principalmente riguardanti questioni finanziarie o ufficiali, per convincere il destinatario ad aprire il documento. L’infezione inizia quando il documento Excel viene aperto, scaricando ed eseguendo un file VBS da un server controllato dall’attaccante. Il file VBS contiene un comando che esegue uno script PowerShell dal server di comando e controllo (C2) di DarkGate.

Cambiamenti nei Payload e nei Linguaggi di Scripting

Dal 12 marzo 2024, le campagne di DarkGate hanno iniziato a utilizzare script AutoHotKey invece di AutoIT. AutoHotKey offre funzionalità avanzate di manipolazione del testo, supporto per hotkey e una vasta libreria di script user-contributed. Gli script AutoHotKey scaricano e decodificano dati binari direttamente in memoria, eseguendo il payload di DarkGate senza mai salvarlo su disco.

Meccanismi di Persistenza

I componenti utilizzati durante l’ultima fase dell’infezione vengono memorizzati nella directory C:\\ProgramData\\cccddcb\\. La persistenza attraverso i riavvii viene stabilita creando un file di collegamento nella directory di avvio del sistema infetto. Cisco Talos ha sviluppato meccanismi di rilevamento e blocco per queste campagne su prodotti Cisco Secure.

Prosegui la lettura

Multilingua

LightSpy: la nuova minaccia per macOS

Tempo di lettura: 3 minuti. Il malware LightSpy che prende di mira i dispositivi macOS, i metodi di infezione e le funzionalità dei plugin per l’esfiltrazione di dati.

Pubblicato

in data

Tempo di lettura: 3 minuti.

Recentemente, è stata scoperta una variante del malware LightSpy che prende di mira i dispositivi macOS. Questo malware, originariamente noto per attaccare dispositivi iOS e Android, ha ora dimostrato di poter compromettere anche i sistemi macOS. Le indagini condotte da ThreatFabric e Huntress hanno rivelato dettagli tecnici significativi sulle capacità di questo malware e sui metodi utilizzati per infettare i dispositivi.

Contesto e Scoperta

Il framework di spyware LightSpy è noto per la sua versatilità e capacità di compromettere vari sistemi operativi. Originariamente, il malware ha preso di mira dispositivi iOS e Android, ma ora ha esteso il suo raggio d’azione a macOS. La variante per macOS è stata identificata tramite campioni caricati su VirusTotal e analizzati da Huntress e ThreatFabric.

Metodi di Infezione

Il gruppo di attori malevoli dietro LightSpy utilizza exploit pubblicamente disponibili per distribuire gli impianti su macOS. Due exploit noti, CVE-2018-4233 e CVE-2018-4404, sono stati utilizzati per colpire versioni di macOS 10.13.3 e iOS precedenti alla 11.4.

Il malware inizia con l’esecuzione arbitraria di codice tramite una vulnerabilità di WebKit all’interno di Safari, seguita da un’escalation di privilegi specifica del sistema operativo.

Analisi Tecnica

Fase Iniziale

Il punto di partenza dell’attacco è un exploit di WebKit che consente l’esecuzione di codice arbitrario non privilegiato. Una volta attivato, l’exploit distribuisce un payload denominato “20004312341.png”, che è in realtà un file eseguibile MachO x86_64 contenente una funzione di iniezione.

Downloader Intermedio

Il file “20004312341.png” decifra un blocco di 0x400 byte incorporato nel file eseguibile e lancia il risultato utilizzando launchd. Questo script scarica tre ulteriori file utilizzando l’utilità curl, inclusi “ssudo” (un exploit di escalation dei privilegi), “ddss” (un file di cifratura/decifratura) e un archivio ZIP contenente “update” e “update.plist”.

Loader e Persistenza

Il file “update” è progettato per configurare e avviare il Core di LightSpy, fornendo le informazioni necessarie per la comunicazione con il server di comando e controllo (C2). Una volta eseguito, “update” assicura la persistenza nel sistema utilizzando launchctl, avviandosi ad ogni riavvio del sistema.

Funzionalità del Core e Plugin

Il Core di LightSpy è responsabile della raccolta delle informazioni sul dispositivo e della gestione dei comandi dal server C2. Utilizza un database SQLite per memorizzare dati di configurazione, comandi e piani di controllo. Durante l’indagine, è stata scoperta una versione del Core denominata “C40F0D27”, che funge da orchestratore del framework di sorveglianza.

Plugin Specifici

LightSpy per macOS supporta 10 plugin principali per l’esfiltrazione di informazioni private:

  • SoundRecord: Registra l’audio dal microfono del dispositivo.
  • Browser: Esfiltra la cronologia dei browser Safari e Chrome.
  • CameraModule: Scatta foto utilizzando la fotocamera del dispositivo.
  • FileManage: Esfiltra e manipola file e directory, compresi dati da messaggistica come WeChat, Telegram e QQ.
  • Keychain: Esfiltra password, certificati e chiavi dalla Keychain di Apple.
  • LanDevices: Scansiona la rete locale per trovare dispositivi connessi.
  • Softlist: Esfiltra l’elenco delle applicazioni installate e dei processi in esecuzione.
  • ScreenRecorder: Registra video dello schermo del dispositivo.
  • ShellCommand: Fornisce una shell remota per l’operatore.
  • WiFi: Esfiltra dati sulle reti Wi-Fi vicine e la cronologia delle connessioni Wi-Fi.

Implicazioni e Conclusioni

La scoperta della variante macOS di LightSpy dimostra che il malware è in continua evoluzione e in grado di prendere di mira una gamma più ampia di dispositivi. Gli utenti di macOS devono essere consapevoli delle potenziali minacce e adottare misure per proteggere i loro sistemi, inclusi aggiornamenti regolari e l’uso di strumenti di sicurezza avanzati. La collaborazione tra ricercatori di sicurezza e aziende come Huntress e ThreatFabric è cruciale per identificare e mitigare queste minacce.

Prosegui la lettura

Multilingua

Commando Cat: Cryptojacking innovativo che sfrutta i Server API Remoti di Docker

Tempo di lettura: 2 minuti. Commando Cat, un attacco di cryptojacking che sfrutta i server API remoti di Docker esposti, mette in luce la necessità di pratiche di sicurezza robuste per i contenitori.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Un nuovo attacco di cryptojacking, denominato Commando Cat, sta prendendo di mira i server API remoti di Docker esposti per distribuire miner di criptovalute. Gli attaccanti utilizzano immagini Docker del progetto open-source Commando per eseguire questa campagna.

Dettagli dell’Attacco Commando Cat

Il team di ricercatori ha analizzato una campagna di attacco che sfrutta i server API remoti di Docker esposti per distribuire miner di criptovalute. Gli attaccanti impiegano l’immagine Docker cmd.cat/chattr per ottenere l’accesso iniziale, utilizzando tecniche come chroot e il binding dei volumi per uscire dal contenitore ed accedere al sistema host.

Accesso Iniziale

Per ottenere l’accesso iniziale, l’attaccante distribuisce un’immagine Docker denominata cmd.cat/chattr. Una volta distribuita, l’attaccante crea un contenitore Docker basato su questa immagine e utilizza chroot per uscire dal contenitore e ottenere l’accesso al sistema operativo host. Successivamente, utilizza curl o wget per scaricare il binario malevolo sul sistema host.

Sequenza dell’Attacco

  1. Probing del Server API Remoto di Docker: L’attacco inizia con una richiesta di ping al server API remoto di Docker per verificare lo stato del server.
  2. Creazione del Contenitore con l’Immagine cmd.cat/chattr: Una volta confermato che il server è operativo, l’attaccante procede a creare un contenitore utilizzando l’immagine cmd.cat/chattr.
  3. Escape dal Contenitore: L’attaccante utilizza chroot e il binding dei volumi per sfuggire al contenitore. Il binding /:/hs monta la directory root dell’host nella directory /hs del contenitore, garantendo all’attaccante l’accesso illimitato al file system dell’host.
  4. Creazione dell’Immagine Docker in Caso di Assenza: Se la richiesta di creazione del contenitore restituisce un errore di “immagine non trovata”, l’attaccante scarica l’immagine chattr dal repository cmd.cat.
  5. Distribuzione del Contenitore: Con l’immagine pronta, l’attaccante crea un contenitore Docker ed esegue un payload codificato in base64, che tradotto risulta essere uno script shell malevolo che scarica ed esegue un binario malevolo dal server di comando e controllo.

Raccomandazioni per la Sicurezza

Per proteggere gli ambienti di sviluppo dagli attacchi che prendono di mira i contenitori e gli host, Trend Micro raccomanda di adottare le seguenti best practices:

  • Configurare correttamente i contenitori e le API per minimizzare il rischio di attacchi.
  • Utilizzare solo immagini Docker ufficiali o certificate.
  • Eseguire i contenitori senza privilegi di root.
  • Configurare i contenitori in modo che l’accesso sia garantito solo a fonti attendibili, come la rete interna.
  • Eseguire audit di sicurezza a intervalli regolari per rilevare eventuali contenitori e immagini sospetti.

La campagna di attacco Commando Cat mette in luce la minaccia rappresentata dall’abuso dei server API remoti di Docker esposti. Sfruttando le configurazioni Docker e utilizzando strumenti open-source come cmd.cat, gli attaccanti possono ottenere l’accesso iniziale e distribuire binari malevoli, eludendo le misure di sicurezza convenzionali. Questo evidenzia l’importanza di implementare robuste pratiche di sicurezza per i contenitori.

Prosegui la lettura

Facebook

CYBERSECURITY

Sicurezza Informatica44 minuti fa

Vulnerabilità critica in Apache HugeGraph: aggiornate subito

Tempo di lettura: 2 minuti. Apache HugeGraph, un sistema di database a grafo open-source, è attualmente soggetto a sfruttamenti attivi...

Sicurezza Informatica2 giorni fa

HardBit Ransomware: analisi e mitigazione delle minacce

Tempo di lettura: 3 minuti. HardBit Ransomware 4.0 introduce protezione con passphrase e obfuscazione avanzata. Scopri come proteggerti da questa...

Sicurezza Informatica4 giorni fa

Vulnerabilità in Modern Events Calendar: migliaia di WordPress a rischio

Tempo di lettura: 2 minuti. Vulnerabilità critica nel plugin Modern Events Calendar consente il caricamento arbitrario di file da parte...

Sicurezza Informatica4 giorni fa

Attacco RADIUS: panoramica dettagliata

Tempo di lettura: 3 minuti. Il protocollo RADIUS può essere compromesso utilizzando tecniche avanzate di collisione MD5 per eseguire attacchi...

Sicurezza Informatica4 giorni fa

ViperSoftX sfrutta AutoIt e CLR per l’esecuzione Stealth di PowerShell

Tempo di lettura: 3 minuti. ViperSoftX utilizza AutoIt e CLR per eseguire comandi PowerShell in modo stealth, eludendo i meccanismi...

Sicurezza Informatica4 giorni fa

Malware Poco RAT mira vittime di lingua spagnola

Tempo di lettura: 3 minuti. Poco RAT, nuovo malware che prende di mira le vittime di lingua spagnola con campagne...

Microsoft teams Microsoft teams
Sicurezza Informatica4 giorni fa

Falso Microsoft Teams per Mac distribuisce Atomic Stealer

Tempo di lettura: 2 minuti. Un falso Microsoft Teams per Mac distribuisce il malware Atomic Stealer tramite una campagna di...

CISA logo CISA logo
Sicurezza Informatica4 giorni fa

CISA hackera Agenzia Federale USA: vulnerabilità critiche Svelate

Tempo di lettura: 2 minuti. CISA svela vulnerabilità critiche in un'agenzia federale USA attraverso un'esercitazione di red team SILENTSHIELD

Sicurezza Informatica4 giorni fa

DarkGate usa file Excel per diffondere malware

Tempo di lettura: 3 minuti. DarkGate utilizza file Excel per diffondere malware sofisticato. Scopri come funziona questa minaccia e come...

Sicurezza Informatica5 giorni fa

SSH sotto attacco a causa di bug e vulnerabilità

Tempo di lettura: 3 minuti. Scopri le nuove minacce di CRYSTALRAY e la vulnerabilità di OpenSSH in RHEL 9. Approfondisci...

Truffe recenti

Inchieste1 settimana fa

Idealong.com chiuso, ma attenti a marketideal.xyz e bol-it.com

Tempo di lettura: 2 minuti. Dopo aver svelato la truffa Idealong, abbiamo scoperto altri link che ospitano offerte di lavoro...

Inchieste2 settimane fa

Idealong.com spilla soldi ed assolda lavoratori per recensioni false

Tempo di lettura: 4 minuti. Il metodo Idealong ha sostituito Mazarsiu e, dalle segnalazioni dei clienti, la truffa agisce su...

Sicurezza Informatica2 settimane fa

Truffa lavoro online: Mazarsiu sparito, attenti a idealong.com

Tempo di lettura: 2 minuti. Dopo il sito Mazarsiu, abbandonato dai criminali dopo le inchieste di Matrice Digitale, emerge un...

fbi fbi
Sicurezza Informatica1 mese fa

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica2 mesi fa

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste2 mesi fa

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Inchieste2 mesi fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Pharmapiuit.com Pharmapiuit.com
Inchieste2 mesi fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste2 mesi fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste2 mesi fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Tech

Smartphone3 minuti fa

Realme 13 Pro 5G: specifiche rivelate prima del lancio

Tempo di lettura: 3 minuti. Realme è pronta al lancio il Realme 13 Pro 5G, che promette di essere uno...

Smartphone10 minuti fa

Samsung rivela One UI 7 e migliora la sicurezza con One UI 6.1.1

Tempo di lettura: 2 minuti. Samsung sta preparando il lancio di One UI 7, che promette di essere uno degli...

Tech17 minuti fa

Novità su AMD, Snapdragon e la compatibilità con Linux

Tempo di lettura: 3 minuti. Le ultime notizie nel campo della tecnologia includono importanti sviluppi da parte di AMD, Qualcomm...

VirtualBox VirtualBox
Tech1 ora fa

VirtualBox 7.0.20: manutenzione e aggiornamenti

Tempo di lettura: < 1 minuto. VirtualBox 7.0.20, rilasciato il 16 luglio 2024, è un aggiornamento di manutenzione che introduce...

Smartphone5 ore fa

Samsung lancia il Galaxy M35 5G in India

Tempo di lettura: 2 minuti. Samsung ha ufficialmente lanciato il Galaxy M35 5G in India, poco dopo il suo debutto...

Tech6 ore fa

Audacity 3.6.0: novità e miglioramenti

Tempo di lettura: 2 minuti. Audacity, il popolare software di editing audio open-source, ha rilasciato la versione 3.6.0 con numerose...

Intelligenza Artificiale6 ore fa

L’Intelligenza Artificiale aumenta la creatività individuale ma riduce la varietà del contenuto

Tempo di lettura: 2 minuti. Un recente studio pubblicato nella rivista Science Advances rivela che l’uso dell’intelligenza artificiale (AI) può...

Pixel 9 Pro XL Pixel 9 Pro XL
Smartphone7 ore fa

Google Pixel 9 Pro Fold e Serie Pixel 9: dimensioni e fotocamera

Tempo di lettura: 3 minuti. Google continua a spingere i confini della tecnologia mobile con la serie Pixel 9, che...

Smartphone7 ore fa

Xiaomi specifiche di Mix Fold 4, Mix Flip e Redmi K70 Ultra ufficiali

Tempo di lettura: 3 minuti. Xiaomi ha svelato una serie di nuovi dispositivi pieghevoli, tra cui il Mix Fold 4...

Smartphone8 ore fa

Apple brevetta display pieghevoli, nuovo firmware per AirPods Pro 2

Tempo di lettura: 3 minuti. Apple continua a innovare nel campo della tecnologia, introducendo nuovi brevetti per dispositivi pieghevoli e...

Tendenza