Connect with us

Multilingua

“I militari ucraini invitano alla resa”, APT della Bielorussia ha violato gli account Meta

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: < 1 minuto.

Un gruppo di hacker schierato con la Bielorussia ha tentato di compromettere gli account Facebook del personale militare ucraino e ha pubblicato video da account violati che invitano l’esercito ucraino ad arrendersi, secondo un nuovo rapporto di sicurezza di Meta (la società madre di Facebook).

La campagna di hacking, precedentemente etichettata come “Ghostwriter” dai ricercatori di sicurezza, è stata effettuata da un gruppo noto come UNC1151, che è stato collegato al governo bielorusso nella ricerca condotta da Mandiant. Un aggiornamento di sicurezza di febbraio da Meta ha segnalato l’attività dell’operazione Ghostwriter, ma da quell’aggiornamento, la società ha detto che il gruppo ha tentato di compromettere “decine” di account in più, anche se ha avuto successo solo in una manciata di casi.

Quando hanno avuto successo, gli hacker dietro Ghostwriter sono stati in grado di pubblicare video che sembravano provenire dagli account compromessi, ma Meta ha detto che ha bloccato questi video dall’essere ulteriormente condivisi.

La diffusione di falsi messaggi di resa è già stata una tattica degli hacker che hanno compromesso le reti televisive in Ucraina e piantato false notizie di una resa ucraina nei chyron delle notizie trasmesse in diretta.

Anche se tali dichiarazioni possono essere rapidamente smentite, gli esperti hanno suggerito che il loro scopo è quello di erodere la fiducia degli ucraini nei media in generale.

Iscriviti alla newsletter settimanale di Matrice Digitale

* inserimento obbligatorio

Multilingua

Cyberpunk 2077 traina i risultati di CD Projekt RED nel 2022

Condividi questo contenuto

Tempo di lettura: < 1 minuto. Il successo rinnovato di Cyberpunk 2077 ha contribuito a fare del 2022 il secondo miglior anno di sempre per lo studio polacco CD Projekt RED

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: < 1 minuto.

CD Projekt RED ha visto un aumento significativo delle entrate nel 2022, principalmente grazie alle vendite di Cyberpunk 2077, che hanno contribuito a fare del 2022 il secondo miglior anno di sempre per lo studio di sviluppo.

Le vendite di Cyberpunk 2077 spingono i profitti

Le entrate di CD Projekt RED nel 2022 hanno raggiunto circa 222 milioni di dollari, con un profitto netto di circa 80 milioni di dollari. Questi risultati sono stati principalmente guidati dalle vendite di Cyberpunk 2077, che hanno visto un rinnovato successo grazie all’aggiornamento next-gen e alla popolare serie animata Cyberpunk: Edgerunners.

Fattori che contribuiscono al successo

L’aggiornamento next-gen di Cyberpunk 2077 e il successo di Cyberpunk: Edgerunners su Netflix hanno giocato un ruolo importante nel rilanciare la popolarità del gioco. Il CEO di CD Projekt RED, Adam Kicinski, ha affermato che l’accoglienza positiva dell’update e la popolarità della serie hanno avuto un notevole impatto sulle vendite e sulla percezione del gioco.

Il futuro di Cyberpunk 2077 e CD Projekt RED

CD Projekt RED si sta preparando per il lancio del DLC Phantom Liberty, in programma per giugno, che dovrebbe ulteriormente ampliare il franchise e il coinvolgimento dei fan. Con il rinnovato interesse per Cyberpunk 2077, lo studio polacco si impegna a espandere la portata del franchise e a offrire nuovi contenuti ai giocatori.

Prosegui la lettura

Multilingua

Ufficiale: E3 cancellato per scarso interesse dei produttori di videogiochi

Condividi questo contenuto

Tempo di lettura: < 1 minuto. La fiera del gaming più attesa dell’anno viene cancellata dopo la defezione di Ubisoft e il disinteresse di altri giganti del settore

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: < 1 minuto.

L’E3 2023, uno degli eventi più importanti del settore dei videogiochi, è stato annullato. L’Entertainment Software Association (ESA) ha confermato la cancellazione dell’evento dopo il ritiro di Ubisoft e una serie di voci poco incoraggianti.

La cancellazione dell’E3 2023

L’ESA ha comunicato ai suoi partner la decisione di annullare l’Electronic Entertainment Expo (E3) di quest’anno a causa della mancanza di interesse da parte dell’industria. Nonostante l’E3 sia un evento molto amato, l’edizione 2023 non ha raccolto abbastanza entusiasmo per poter procedere. L’ESA non ha menzionato la possibilità di organizzare lo show in futuro.

La dichiarazione dell’ESA

In seguito alla diffusione della notizia, l’ESA ha rilasciato una dichiarazione pubblica tramite Kyle Marsden-Kish, Vicepresidente della divisione “Games” di ReedPop. Marsden-Kish ha affermato che la decisione è stata difficile ma necessaria per il bene del settore e dell’E3, e ha espresso comprensione per le difficoltà delle aziende nel presentare demo giocabili e gestire le risorse per partecipare all’evento.

L’E3 nel corso degli anni

L’E3 2023 avrebbe dovuto essere il primo E3 in presenza dal 2019, a causa della pandemia di COVID-19. Nel 2021 si è svolta una versione online, mentre l’edizione 2022 era stata annullata per concentrarsi su nuove formule, eventualmente ibride. La cancellazione dell’edizione 2023 è avvenuta dopo che diversi colossi del settore, tra cui Microsoft, Nintendo, PlayStation e Ubisoft, avevano annunciato la loro assenza dall’evento.

Prosegui la lettura

Multilingua

XLoader/FormBook: Encryption Analysis and Malware Decryption

Condividi questo contenuto

Tempo di lettura: 6 minuti. Xloader is a stealer, the successor of FormBook

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 6 minuti.

Today ANY.RUN’s malware analysts are happy to discuss the encryption algorithms of XLoader, also known as FormBook. And together we’ll decrypt the stealer’s strings and C2 servers.

Xloader is a stealer, the successor of FormBook. However, apart from the basic functionality, the unusual approaches to encryption and obfuscation of internal structures, code, and strings used in XLoader are also of interest. Let’s take a detailed look at the encryption of strings, functions, and C2 decoys.

IceXLoader ha infettato migliaia di vittime in tutto il mondo

Ecco il malware che eluce i blocchi impostati da Microsoft sulle VBA

DotRunpeX diffonde diverse famiglie di malware tramite annunci pubblicitari

Gookit all’attacco di organizzazioni sanitarie e finanziarie

Encryption in XLoader  

First, we should research 3 main cryptographic algorithms used in XLoader. These are the modified algorithms: RC4, SHA1, and Xloader’s own algorithm based on a virtual machine.

The modified RC4 algorithm

The modified RC4 algorithm is a usual RC4 with additional layers of sequential subtraction before and after the RC4 call. In the code one layer of subtractions looks like this:

       # transform 1
       for i in range(len(encbuf) – 1, 0, -1):
           encbuf[i-1] -= encbuf[i]

       # transform 2
       for i in range(0, len(encbuf) -1):
           encbuf[i] -= encbuf[i+1]

The ciphertext bytes are subtracted from each other in sequence from right to left. And then they go from left to right. In the XLoader code it looks like this:

Function performing RC4 encryption

The modified SHA1 algorithm

The SHA1 modification is a regular SHA1, but every 4 bytes are inverted:

   def reversed_dword_sha1(self, dat2hash):
       sha1Inst = SHA1.new()
       sha1Inst.update(dat2hash)
       hashed_data = sha1Inst.digest()
       result = b””
       for i in range(5):
          result += hashed_data[4*i:4*i+4][::-1]
       return result

Xloader’s own virtual machine algorithm

The last algorithm is a virtual machine that generates one to four bytes of plaintext, depending on the current byte of the ciphertext. Usually, this algorithm is used as an additional encryption layer, which will be discussed later. The entry of the VM decryption routine looks like this:

An example of transformations in a virtual machine’s decryption routine

Decrypting XLoader Strings

Next, let’s investigate how the string encryption works in XLoader. All byte arrays containing encrypted strings or key information are ​​located in special kinds of blobs.

An example of a blob with encrypted data

As you can see in the screenshot above, this blob is a function that returns a pointer to itself, below this function are the bytes you are looking for.

In order to decrypt strings, first a key is generated. The key is generated from 3 parts, to which the above-described functions are applied.

Key generation function to decrypt strings

Here K1_blob, K2_blob, and K3_blob are functions that return data from the blocks described above, and the string length is an argument for them.

The functions VM_Decrypt, RC4_with_sub_Layer and sha1_* are modified algorithms that we discussed earlier.

Schematically, the key generation algorithm can be represented by the following diagram.

Here E and K are the data and the key that is fed to the input of the RC4 function, respectively, and K1, K2, and K3 are the data obtained from the K1_blob, K2_blob, and K3_blob functions.

Scheme of key generation to decrypt strings

The strings themselves are also stored as a blob and are covered by two layers of encryption: 

  • VM_decrypt
  • RC4 that uses the key obtained above.

At the same time, RC4 is not used for the whole blob at once.

After removing the first layer, the encrypted strings themselves are stored in the format:

encrypted string length – encrypted string

Consequently, to decrypt the strings, we need to loop through this structure and consistently decrypt all the strings.

Function for decrypting strings

Below is an example of the encrypted data after stripping the first layer. Length/string pairs for the first 3 encrypted strings are highlighted in red.

The first 3 encrypted strings

The same strings after decryption:

The first 3 lines after decoding

Along with the encrypted strings, C2 decoys are also stored there. They are always located at the end of all decrypted strings, beginning and ending with the f-start and f-end strings.

Decrypting XLoader’s C2 Servers

Next, let’s see how the main C2 encryption works. The main C2 is located elsewhere in the code, so you can get it separately from the C2 decoys.

Code snippet demonstrating C2 decryption.

To decrypt it, as well as to decrypt the strings, 3 keys are used. The C2 decryption scheme is shown below:

  • EC2 is the encrypted C2
  • DC2 is the decrypted C2

The algorithm itself is a 3 times sequential application of the RC4 algorithm with 3 different keys.

C2 decoys’ decryption scheme

Also, in newer versions of XLoader C2 decoys, which usually lie along with all the other strings, turn out to be covered by an additional layer of encryption, and, at first glance, it is completely unclear where exactly the decryption of these strings occurs.

Since XLoader has several entry points, each responsible for different non-intersecting functionality, with many functions turning out to be encrypted.

The C2 decoys are decrypted inside the XLoader injected into Explorer.exe. And in this case, it is passed to netsh.exe, which also contains XLoader via APC injection.

The C2 life cycle in different XLoader modules

In order to understand how a C2 decoy is encrypted, first of all, you need to understand how the functions are encrypted.

It’s actually quite simple. RC4 is used as the encryption algorithm. This time, the key is hardcoded and written right in the code and then xored with the 4-byte gamma.

After that, you should find pointers to the start and end of the function. This is how you do it:  a unique 4-byte value is placed at the beginning and end of each encrypted function. The XLoader looks for these values and gets the desired pointers.

Code snippet demonstrating the decryption of the function

Then the function is decrypted, control is given to it, and it similarly searches for and decrypts the next function. This happens until the function with the main functionality is decrypted and executed. So, functions should be decrypted recursively.

The key to decrypting C2 decoys consists of 2 parts and is collected separately at two different exit points. One exit point gets the 20-byte protected key, and the second gets the 4-byte gamma to decrypt the key.

Example of extracted XLoader malware configuration

Applying the above algorithms we can extract the configuration from Xloader, including C2, C2 decoys,  and strings. For your convenience, we have integrated automatic extraction of the Xloader configuration into ANY.RUN interactive sandbox — just run the sample and get all the IOCs in seconds.

Extracted malware configuration in ANY.RUN

Examples of successfully executed samples:

Example 1

Example 2

Example 3

Sum it up

In this article we discussed the encryption in xLoader stealer. It is based on both add-ons to existing algorithms and self-written algorithms.

The main tricky part of the decryption process is the key generation and the fact that the XLoader functionality is split into modules that can be run in different processes. Because of this, in order to extract strings, we have to decrypt the executable code, among other things.

Fortunately, ANY.RUN is already set up to detect this malware automatically, making the relevant configuration details just a click away.

Appendix

Analyzed files

Sample with new C2 decoys encryption

TitleDescription
NameMT10320221808-004. pdf.exe
MD5b7127b3281dbd5f1ae76ea500db1ce6a
SHA16e7b8bdc554fe91eac7eef5b299158e6b2287c40
SHA256726fd095c55cdab5860f8252050ebd2f3c3d8eace480f8422e52b3d4773b0d1c

Sample without C2 decoys encryption

TitleDescription
NameTransfer slip.exe
MD51b5393505847dcd181ebbc23def363ca
SHA1830edb007222442aa5c0883b5a2368f8da32acd1
SHA25627b2b539c061e496c1baa6ff071e6ce1042ae4d77d398fd954ae1a62f9ad3885
Prosegui la lettura

Facebook

CYBERWARFARE

Notizie20 ore fa

Hacker ucraini abbordano presunto criminale di guerra russo e ingannano sua moglie

Tempo di lettura: 2 minuti. Un gruppo di hacktivisti ucraini sostiene di aver violato gli account di un colonnello russo,...

Notizie21 ore fa

“Redgolf è ancora molto attivo” l’allarme dagli USA sul pericolo cibernetico cinese

Tempo di lettura: 2 minuti. La società americana di cybersecurity Insikit segnala un gruppo di hacker cinesi, probabilmente sponsorizzato dallo...

Notizie1 giorno fa

Il settore governativo come bersaglio per i cyberattacchi: cause e soluzioni

Tempo di lettura: 3 minuti. La sicurezza informatica nella pubblica amministrazione

Notizie2 giorni fa

Mélofée: un nuovo malware Linux collegato ai gruppi APT cinesi

Tempo di lettura: 2 minuti. Un gruppo di hacker sponsorizzato dallo stato cinese è stato collegato a un nuovo malware...

Notizie2 giorni fa

La guerra in Ucraina e la nuova geografia della guerra cibernetica

Tempo di lettura: < 1 minuto. L'autunno 2022 ha segnato una svolta nella cyberwar legata al conflitto ucraino, estendendosi in...

DeFi1 settimana fa

Hacker travestito da Zelensky intervista Lagarde sull’euro digitale?

Tempo di lettura: < 1 minuto. Verità o deep fake? Non è dato saperlo se si riflette

Notizie1 settimana fa

Armis pubblica rapporto sulla guerra cibernetica e le difese del Regno Unito

Tempo di lettura: 2 minuti. Condividi questo contenutoIntroduzione: Armis, una delle principali aziende nel campo della visibilità e sicurezza degli...

Notizie1 settimana fa

KillNet mira alle applicazioni sanitarie ospitate su Microsoft Azure

Tempo di lettura: < 1 minuto. Condividi questo contenutoUn gruppo hacktivist affiliato alla Russia noto come KillNet è stato osservato...

Notizie2 settimane fa

Cremlino vieta iPhone a operatori coinvolti nella campagna elettorale di Putin nel 2024

Tempo di lettura: < 1 minuto. Condividi questo contenutoIl Cremlino ha imposto il divieto di utilizzo degli iPhone per i...

Notizie2 settimane fa

Gli hacker cinesi e russi usano il malware Silkloader per eludere il rilevamento

Tempo di lettura: < 1 minuto. Condividi questo contenutoLa regina canadese di QAnon, Romana Didulo, è stata etichettata come “falsa”...

Truffe recenti

Notizie1 giorno fa

Truffa “Phishing Scam 3.0” colpisce utenti PayPal: ecco come proteggere i propri conti

Tempo di lettura: < 1 minuto. Una nuova ondata di truffe online minaccia la sicurezza dei conti PayPal, mettendo a...

Truffe online3 giorni fa

Truffa “wangiri”: donna perde tutto il credito telefonico richiamando numero misterioso

Tempo di lettura: < 1 minuto. La truffa dello squillo senza risposta continua a mietere vittime tra gli ignari utenti...

Truffe online4 giorni fa

Sim swap a Napoli, condannate Intesa Sanpaolo e Telecom Italia

Tempo di lettura: < 1 minuto. Le due aziende dovranno risarcire il 50% dei 29.000 euro rubati

Notizie5 giorni fa

Esperto di tecnologia smaschera la truffa del “numero sbagliato”

Tempo di lettura: 2 minuti. Un esperto di sicurezza informatica indaga a fondo una truffa sofisticata e rivela come funziona

Truffe online2 mesi fa

Truffa Facebook Little Flowers ai danni de La Repubblica: la matrice è cinese

Tempo di lettura: 3 minuti. Condividi questo contenuto In questi giorni abbiamo analizzato come attraverso Google Adwords è possibile veicolare...

Truffe online2 mesi fa

Truffa da 25.000 euro su Hiobit.com : la matrice è asiatica

Tempo di lettura: 2 minuti. Da Tinder ad un sito internet di trading, come un profilo asiatico è riuscito a...

Truffe online2 mesi fa

Pacco e contropaccotto: Vinted consente truffa “Morada” ai danni dei suoi venditori

Tempo di lettura: 2 minuti. Altro venditore di 500 euro, la società ha rimborsato il criminale a migliaia di km...

Truffe online2 mesi fa

Malware trasmesso da Google Ads prosciuga l’intero portafoglio di criptovalute di un influencer NFT

Tempo di lettura: 2 minuti. Un link pubblicitario sponsorizzato su Google ha nascosto un malware che ha travasato migliaia di...

Notizie3 mesi fa

“Entra nell’Interpol” la nuova truffa sui social media che spopola in Sud Africa

Tempo di lettura: 2 minuti. L'Organizzazione internazionale di polizia criminale (Interpol) ha lanciato un allarme su una truffa online che...

DeFi4 mesi fa

Scandalo FTX, i genitori di Sam Bankman Fried sono indagati: confermata l’inchiesta di Matrice Digitale

Tempo di lettura: 2 minuti. Avrebbero speso i fondi societari per acquisti personali e sono il collante con le "coperture"...

Tendenza