Il Dipartimento di Giustizia degli Stati Uniti ha reso pubblico un documento che Google ha cercato di nascondere, contenente appunti di Michael Roszak, vicepresidente per le finanze di Google. In questi appunti, Roszak ha paragonato il modello di business della pubblicità di ricerca di Google a quello di “affari illeciti” come la vendita di “sigarette o droghe”.

Dettagli del documento

Nel documento, Roszak ha scritto che la pubblicità di ricerca di Google è uno dei “migliori modelli di business mai creati al mondo”, con economie che solo certi “affari illeciti” potrebbero eguagliare. Ha anche affermato che gli utenti si “agganciano” al motore di ricerca di Google, permettendo all'azienda di ignorare la “parte della domanda” delle “leggi fondamentali dell'economia”.

Reazione in Tribunale

Durante il processo, Roszak ha dichiarato di non ricordare se avesse mai presentato questi appunti e ha sostenuto che erano “pieni di iperbole ed esagerazione”. Nonostante ciò, il giudice Amit Mehta ha rifiutato la richiesta di Google di sigillare la testimonianza di Roszak, sottolineando che non contiene nulla di confidenziale.

Implicazioni per Google

Oltre a paragonare il business di Google ai mercati delle droghe illecite, gli appunti di Roszak suggeriscono che Google può “essenzialmente strappare il libro di testo di economia a metà”. Parte del caso del DOJ sostiene che, a causa del monopolio di Google sulla ricerca, l'azienda è meno incentivata a innovare prodotti che proteggono i consumatori da danni come la raccolta invasiva di dati.

Risposta di Google

Un portavoce di Google ha dichiarato che le affermazioni di Roszak “non riflettono l'opinione dell'azienda” e sono state redatte per una lezione di public speaking in cui era richiesto di dire qualcosa di iperbolico e accattivante. Google ha anche sottolineato che Roszak ha testimoniato di non credere che le affermazioni fossero vere.

Gli attori delle minacce stanno vendendo un nuovo crypter e loader chiamato ASMCrypt, descritto come una versione evoluta di un altro malware loader noto come DoubleFinger. L'obiettivo di questo tipo di malware è caricare il payload finale senza che il processo di caricamento o il payload stesso vengano rilevati dai software antivirus/EDR.

Funzionamento di ASMCrypt

Una volta acquistato e lanciato dai clienti, ASMCrypt è progettato per stabilire un contatto con un servizio backend attraverso la rete TOR utilizzando credenziali codificate, permettendo così agli acquirenti di costruire payload personalizzati per l'uso nelle loro campagne. L'applicazione crea un blob criptato nascosto all'interno di un file .PNG, che deve essere caricato su un sito di hosting di immagini.

Popolarità dei Loader

I loader sono diventati sempre più popolari per la loro capacità di agire come un servizio di consegna di malware che può essere utilizzato da diversi attori delle minacce per ottenere un accesso iniziale alle reti per condurre attacchi di ransomware, furto di dati e altre attività cyber maliziose.

Altri Loader e tattiche

Loader come Bumblebee, CustomerLoader e GuLoader sono stati utilizzati per consegnare una varietà di software maligni. Bumblebee, ad esempio, è riemerso dopo una pausa di due mesi alla fine di agosto 2023 in una nuova campagna di distribuzione che ha impiegato server Web Distributed Authoring and Versioning (WebDAV) per diffondere il loader.

Alleanze oscure e nuovi malware

In segno di un'economia del cybercrimine in maturazione, attori delle minacce precedentemente considerati distinti si sono alleati con altri gruppi, come evidenziato nel caso di una “alleanza oscura” tra GuLoader e Remcos RAT. Nuove versioni di un malware ruba-informazioni chiamato Lumma Stealer sono state avvistate in natura, distribuite tramite un sito web falso che imita un legittimo sito .DOCX to .PDF.

Nella settimana del 23-29 settembre 2023, le campagne malevole hanno visto un incremento significativo, come riportato dall'AGID. A conferma di ciò, una ricerca di Akamai rileva un raddoppio degli attacchi informatici al settore dei servizi finanziari europei nel 2023.

Dettagli degli attacchi

Il CERT-AgID ha riscontrato un totale di 35 campagne malevole, di cui 32 con obiettivi italiani. Sono stati individuati 352 indicatori di compromissione. I temi principali sfruttati sono stati banking, pagamenti e documenti, utilizzati per veicolare campagne di phishing, smishing e malware come SpyNote, Formbook, AgentTesla e WarzoneRAT.

Aumento degli attacchi nel Settore Finanziario

Akamai evidenzia che i servizi finanziari sono il terzo settore più colpito dagli attacchi nell'area EMEA, con circa un miliardo di attacchi alle applicazioni web e alle API, un aumento del 119% su base annua. Il settore assicurativo è il più attaccato, registrando il 54,5% di tutti gli attacchi web.

Attacchi DDoS

L'EMEA ha registrato la maggior parte degli eventi di attacco DDoS (63,5% degli attacchi di tutto il mondo). Il Regno Unito è in cima alla classifica con il 29,2% degli attacchi DDoS, seguito dalla Germania con il 15,1%. Gli attacchi DDoS ai servizi finanziari nell'area EMEA sono stati 1.466 dei 2.590 eventi di attacco registrati in tutti i settori verticali dell'area EMEA.

Richard Meeus di Akamai sottolinea l'importanza per le aziende di allineare la propria strategia di sicurezza con le leggi e le normative emergenti, data l'attrattiva del settore dei servizi finanziari per i criminali informatici.