Connect with us

Multilingua

Cybercriminali sfruttano PowerShell per rubare dati sensibili

Tempo di lettura: 2 minuti. Scopri come i cybercriminali stanno utilizzando PowerShell per rubare hash NTLMv2 da sistemi Windows compromessi e come proteggere i dati sensibili.

Pubblicato

il

Asylum Ambuscade, cybercriminali, spionaggio cibernetico, ESET, Proofpoint
Tempo di lettura: 2 minuti.

Un nuovo attacco cibernetico sta utilizzando lo script PowerShell associato a uno strumento legittimo di red teaming per rubare hash NTLMv2 da sistemi Windows compromessi, principalmente situati in Australia, Polonia e Belgio. L’attività è stata soprannominata “Steal-It” da Zscaler ThreatLabz. Ecco i dettagli su come i cybercriminali stanno sfruttando PowerShell per perpetrare attacchi e come proteggere i sistemi sensibili.

Dettagli sull’attacco “Steal-It”

Nella campagna “Steal-It”, gli attori della minaccia rubano ed esfiltrano hash NTLMv2 utilizzando versioni personalizzate dello script PowerShell “Start-CaptureServer” di Nishang, eseguendo vari comandi di sistema ed esfiltrando i dati recuperati tramite le API Mockbin. Nishang è un framework e una raccolta di script e payload PowerShell per la sicurezza offensiva, i test di penetrazione e il red teaming.

Gli attacchi sfruttano fino a cinque diverse catene di infezione, sebbene tutte inizino con email di phishing contenenti archivi ZIP come punto di partenza per infiltrarsi in specifici obiettivi utilizzando tecniche di geofencing. Le catene di infezione includono:

  1. Catena di infezione per il furto di hash NTLMv2, che utilizza una versione personalizzata dello script PowerShell menzionato per raccogliere hash NTLMv2.
  2. Catena di infezione per il furto di informazioni di sistema, che utilizza esche OnlyFans per indurre gli utenti australiani a scaricare un file CMD che ruba informazioni di sistema.
  3. Catena di infezione Fansly whoami, che utilizza immagini esplicite di modelli ucraini e russi di Fansly per indurre gli utenti polacchi a scaricare un file CMD che esfiltra i risultati del comando whoami.
  4. Catena di infezione dell’aggiornamento di Windows, che prende di mira gli utenti belgi con falsi script di aggiornamento di Windows progettati per eseguire comandi come tasklist e systeminfo.

Implicazioni e rischi

È importante notare che l’ultima sequenza di attacco è stata evidenziata dal Computer Emergency Response Team dell’Ucraina (CERT-UA) nel maggio 2023 come parte di una campagna APT28 diretta contro le istituzioni governative nel paese. Questo solleva la possibilità che la campagna “Steal-It” possa essere anche opera di un attore minaccioso sponsorizzato dallo stato russo.

Gli script PowerShell personalizzati degli attori della minaccia e l’uso strategico dei file LNK all’interno degli archivi ZIP evidenziano la loro competenza tecnica. La persistenza mantenuta spostando i file dalla cartella Download alla cartella di avvio e rinominandoli sottolinea la dedizione degli attori della minaccia all’accesso prolungato.

Multilingua

AutoSpill ruba credenziali dai Gestori di Password Android

Pubblicato

il

Tempo di lettura: 2 minuti.

Ricercatori di sicurezza hanno sviluppato un nuovo attacco, denominato AutoSpill, per rubare credenziali di account su Android durante l’operazione di compilazione automatica e presentato in occasione del Black Hat Europe.

Come funziona AutoSpill

Le app Android spesso utilizzano i controlli WebView per visualizzare contenuti web, come pagine di login all’interno dell’app, invece di reindirizzare gli utenti al browser principale. I gestori di password su Android utilizzano il framework WebView della piattaforma per digitare automaticamente le credenziali dell’utente quando un’app carica la pagina di login di servizi come Apple, Facebook, Microsoft o Google.

I ricercatori hanno scoperto che è possibile sfruttare le debolezze in questo processo per catturare le credenziali compilate automaticamente sull’app che le richiama, anche senza iniezione di JavaScript.

Impatto e Risoluzione

I ricercatori hanno testato AutoSpill contro una selezione di gestori di password su Android 10, 11 e 12 e hanno scoperto che 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 e Keepass2Android 1.09c-r0 sono suscettibili agli attacchi a causa dell’utilizzo del framework di compilazione automatica di Android. Google Smart Lock 13.30.8.26 e DashLane 6.2221.3 seguono un approccio tecnico diverso per il processo di compilazione automatica e non hanno rivelato dati sensibili all’app ospitante a meno che non sia stata utilizzata l’iniezione di JavaScript.

I ricercatori hanno divulgato le loro scoperte ai fornitori di software interessati e al team di sicurezza di Android, condividendo le loro proposte per affrontare il problema. Le loro segnalazioni sono state riconosciute come valide, ma non sono stati condivisi dettagli sui piani di risoluzione.

Risposte dei fornitori di Gestori di Password

1Password ha affermato che una correzione per AutoSpill è stata identificata e attualmente è in fase di lavorazione. LastPass ha già implementato un avviso in-app quando l’app rileva un tentativo di sfruttare l’exploit. Keeper ha misure di sicurezza per proteggere gli utenti dal riempimento automatico delle credenziali in un’applicazione non affidabile o in un sito non autorizzato esplicitamente dall’utente.

Google ha raccomandato ai gestori di password di terze parti di essere sensibili a dove vengono inserite le password e ha implementato protezioni server-side per i login tramite WebView.

Prosegui la lettura

Multilingua

Microsoft: protezione contro gli attacchi di Ingegneria Sociale

Pubblicato

il

Tempo di lettura: 2 minuti.

Microsoft ha pubblicato il quarto rapporto della sua serie di Cyberattacchi, esaminando un attacco di phishing e smishing (phishing tramite SMS) che ha preso di mira un utente legittimo e altamente privilegiato attraverso tecniche di ingegneria sociale. L’attacco ha permesso al cyberattaccante di impersonare la vittima e manipolare un help desk per rimuovere il dispositivo autenticato con multifattore e registrare il proprio.

Utenti altamente privilegiati a rischio

Gli attacchi basati su credenziali spesso iniziano con attori di minaccia che prendono di mira individui collegati a persone con le credenziali necessarie. Questi attori conducono ricerche sui social e sul dark web per trovare e avvicinarsi a utenti altamente privilegiati e ottenere informazioni sufficienti per impersonarli. Utilizzano fiducia, contesto ed emozione per ingannare le persone con link di smishing.

Tattiche dell’Operazione di influenza

Una volta ottenuto l’accesso, gli attori della minaccia iniziano a raccogliere credenziali aggiuntive utilizzando strumenti di raccolta di credenziali di terze parti contro risorse cloud e on-premise. Modificano il flusso di autenticazione normale, consentendo loro di autenticarsi come qualsiasi utente nell’organizzazione, senza richiedere le loro credenziali.

Prevenzione degli Attacchi Cyber

Molti attacchi cyber possono essere prevenuti o resi più difficili da eseguire attraverso l’implementazione e la manutenzione di controlli di sicurezza di base. Le organizzazioni possono rafforzare le loro difese informatiche e proteggersi meglio dagli attacchi cyber comprendendo in profondità le ramificazioni di una violazione delle credenziali. Microsoft Incident Response può fornire assistenza esperta ai clienti quando un attacco diventa troppo complesso e difficile da mitigare da soli.

Serie di Cyberattacchi di Microsoft

Con questa serie di Cyberattacchi, i clienti scopriranno come i rispondenti agli incidenti di Microsoft indagano su exploit unici e notevoli. Per ogni storia di cyberattacco, verranno condivisi dettagli su come è avvenuto l’attacco, come è stata scoperta la violazione, l’indagine e l’espulsione dell’attore della minaccia da parte di Microsoft e strategie per evitare attacchi simili.

Il rapporto di Microsoft evidenzia l’importanza di educare i dipendenti per ridurre il rischio di attacchi di ingegneria sociale e condivide cinque elementi proattivi di un approccio Zero Trust che può proteggere contro attori di minacce altamente motivati e tenaci come Octo Tempest.

Prosegui la lettura

Multilingua

SpyLoan: malware Android su Google Play scaricato Milioni di volte

Pubblicato

il

Tempo di lettura: 2 minuti.

Più di una dozzina di app di prestito con malware, collettivamente denominate SpyLoan, sono state scaricate oltre 12 milioni di volte quest’anno da Google Play. Tuttavia, il numero è molto più elevato considerando che sono disponibili anche su store di terze parti e siti web sospetti.

Funzionamento e rischi di SpyLoan

Queste minacce Android rubano dati personali dai dispositivi, inclusi elenchi di account, informazioni sul dispositivo, registri delle chiamate, app installate, eventi del calendario, dettagli della rete Wi-Fi locale e metadati delle immagini. Il rischio si estende anche a contatti, dati di posizione e messaggi di testo. Si spacciano per servizi finanziari legittimi per prestiti personali, promettendo “accesso rapido e facile ai fondi”, ma ingannano gli utenti facendoli accettare pagamenti ad alto interesse e poi ricattandoli per ottenere il denaro.

Scoperta e Rimozione delle App SpyLoan

Dal principio dell’anno, la società di cybersecurity ESET, membro dell’App Defense Alliance dedicata a rilevare ed eradicare il malware da Google Play, ha scoperto 18 app SpyLoan. Google ha rimosso 17 di queste app dannose in seguito alle segnalazioni di ESET, mentre una di esse è ora disponibile con un diverso set di autorizzazioni e funzionalità e non viene più rilevata come minaccia SpyLoan.

Diffusione e Prevalenza di SpyLoan

Le app SpyLoan sono state osservate per la prima volta nel 2020, ma sono diventate più diffuse su sistemi Android e iOS a partire dall’anno scorso. I canali di distribuzione attuali includono siti web fraudolenti, software su app store di terze parti e Google Play. La rilevazione di SpyLoan è aumentata nel corso del 2023, con una maggiore prevalenza in paesi come Messico, India, Thailandia, Indonesia, Nigeria, Filippine, Egitto, Vietnam, Singapore, Kenya, Colombia e Perù.

Rischi Multi-Facciali e consigli di Difesa

Le app SpyLoan violano la politica dei Servizi Finanziari di Google, accorciando unilateralmente la durata dei prestiti personali a pochi giorni o ad altri periodi arbitrari e minacciando gli utenti di ridicolizzazione ed esposizione se non si conformano. Per difendersi dalla minaccia SpyLoan, è consigliabile affidarsi solo a istituzioni finanziarie consolidate, esaminare attentamente le autorizzazioni richieste durante l’installazione di una nuova app e leggere le recensioni degli utenti su Google Play, che spesso contengono indizi sulla natura fraudolenta dell’app.

Prosegui la lettura

Facebook

CYBERSECURITY

github github
Notizie1 ora fa

RepoJacking: rischio per15.000 repository di moduli Go su GitHub

Tempo di lettura: 2 minuti. Una nuova ricerca ha scoperto che oltre 15.000 repository di moduli Go su GitHub sono...

Notizie1 ora fa

Collezioni NFT a rischio vulnerabilità. Quali sono?

Tempo di lettura: 2 minuti. Una vulnerabilità in una libreria open source comune nello spazio Web3 impatta la sicurezza dei...

Multilingua2 ore fa

AutoSpill ruba credenziali dai Gestori di Password Android

Tempo di lettura: 2 minuti. Ricercatori di sicurezza hanno sviluppato un nuovo attacco, denominato AutoSpill, per rubare credenziali di account...

Notizie3 ore fa

WordPress: Aggiornamento 6.4.2 corregge grave vulnerabilità

Tempo di lettura: < 1 minuto. WordPress ha rilasciato la versione 6.4.2, che include una patch per una grave vulnerabilità...

Notizie4 ore fa

5Ghoul, vulnerabilità nei Modem 5G: iOS e Android sono a rischio?

Tempo di lettura: 2 minuti. Recenti scoperte hanno rivelato una serie di vulnerabilità, 5Ghoul, nel firmware dei modem 5G di...

Notizie4 ore fa

Interruzione dei siti ALPHV Ransomware: cosa succede?

Tempo di lettura: 2 minuti. Si ritiene che un’operazione delle forze dell’ordine sia la causa dell’interruzione dei siti web del...

microsoft outlook microsoft outlook
Notizie4 ore fa

Problemi di invio Email in Outlook? Microsoft da una soluzione

Tempo di lettura: 2 minuti. Microsoft ha riconosciuto un nuovo problema che sta influenzando gli utenti di Outlook per Microsoft...

Notizie1 giorno fa

Krasue RAT si nasconde sui Server Linux con Rootkit integrati

Tempo di lettura: 2 minuti. I ricercatori di sicurezza hanno scoperto un trojan di accesso remoto chiamato Krasue che prende...

Notizie2 giorni fa

Attacchi informatici sfruttano DHCP di Microsoft per Spoofing DNS

Tempo di lettura: 2 minuti. Una serie di attacchi contro i domini di Microsoft Active Directory potrebbe permettere ai malintenzionati...

CISA CISA
Notizie2 giorni fa

CISA rafforza la sicurezza: vulnerabilità e consigli sui sistemi ICS

Tempo di lettura: < 1 minuto. La sicurezza informatica è un campo in costante evoluzione, con nuove minacce che emergono...

Truffe recenti

Notizie3 settimane fa

Polizia Postale: attenzione alla truffa dei biglietti ferroviari falsi

Tempo di lettura: < 1 minuto. Gli investigatori della Polizia Postale hanno recentemente individuato una nuova truffa online che prende...

app ledger falsa app ledger falsa
Notizie1 mese fa

App Falsa di Ledger Ruba Criptovalute

Tempo di lettura: 2 minuti. Un'app Ledger Live falsa nel Microsoft Store ha rubato 768.000 dollari in criptovalute, sollevando dubbi...

keepass pubblicità malevola keepass pubblicità malevola
Notizie2 mesi fa

Google: pubblicità malevole che indirizzano a falso sito di Keepass

Tempo di lettura: 2 minuti. Google ospita una pubblicità malevola che indirizza gli utenti a un falso sito di Keepass,...

Notizie2 mesi fa

Nuova tattica per la truffa dell’aggiornamento del browser

Tempo di lettura: 2 minuti. La truffa dell'aggiornamento del browser si rinnova, con i criminali che ora ospitano file dannosi...

Notizie2 mesi fa

Oltre 17.000 siti WordPress compromessi negli attacchi di Balada Injector

Tempo di lettura: 2 minuti. La campagna di hacking Balada Injector ha compromesso oltre 17.000 siti WordPress sfruttando vulnerabilità nei...

Truffe online2 mesi fa

ChatGPT cerca di ingannare cuori solitari appassionati di AI

Tempo di lettura: < 1 minuto. La truffa LoveGPT rappresenta una nuova minaccia nel mondo degli appuntamenti online, sfruttando l'AI...

Notizie2 mesi fa

Nuovo avviso della Polizia Postale: attenzione allo “Spoofing telefonico”

Tempo di lettura: 2 minuti. Attenzione ai tentativi di truffa tramite "Spoofing telefonico": la Polizia Postale avvisa e fornisce consigli...

Truffe online3 mesi fa

No, la vostra pagina Facebook non sta per scadere e non è disabilitata

Tempo di lettura: < 1 minuto. La nuova vecchia truffa è indirizzata ai proprietari delle pagine a cui si vuole...

Economia3 mesi fa

MetaMask ecco la funzione di scambio ETH in valuta fiat

Tempo di lettura: < 1 minuto. MetaMask lancia una nuova funzione che permette agli utenti di vendere Ether per valuta...

truffa PWCNU truffa PWCNU
Truffe online3 mesi fa

Allerta Truffa: segnalazione di frode online su PWCNU.com

Tempo di lettura: 2 minuti. Allerta truffa: lettore segnala frode su PWCNU.com, perdendo 800€ in schema Ponzi che utilizza numeri...

Tendenza