Tempo di lettura: 2 minuti. Microsoft Defender Antivirus e Microsoft Defender for Endpoint possono aiutare a rilevare l'attività minacciosa di Storm-0324">Microsoft mette in guardia da Storm-0324 distributore di malware -
Connect with us

Multilingua

Microsoft mette in guardia da Storm-0324 distributore di malware

Tempo di lettura: 2 minuti. Microsoft Defender Antivirus e Microsoft Defender for Endpoint possono aiutare a rilevare l’attività minacciosa di Storm-0324

Pubblicato

in data

Microsoft Teams
Tempo di lettura: 2 minuti.

Microsoft ha rilevato un’attività preoccupante legata a un gruppo di attori minacciosi finanziariamente motivati, noto come Storm-0324. Questo gruppo è noto per guadagnare accesso iniziale attraverso vettori di infezione basati su email, per poi cedere l’accesso a reti compromesse ad altri attori minacciosi, spesso portando al dispiegamento di ransomware. A partire da luglio 2023, Storm-0324 è stato osservato mentre distribuiva carichi malevoli utilizzando uno strumento open-source per inviare esche di phishing tramite chat di Microsoft Teams.

Metodi Evasivi e Catene di Infezione

Storm-0324, che ha sovrapposizioni con gruppi di minacce tracciati da altri ricercatori come TA543 e Sagrid, agisce come distributore nell’economia cybercriminale, fornendo un servizio per distribuire i carichi malevoli di altri attaccanti attraverso vettori di phishing e kit di exploit. Le tattiche di Storm-0324 si concentrano su catene di infezione altamente evasive con esche legate a pagamenti e fatture. Questo attore è noto per distribuire il malware JSSLoader, che facilita l’accesso per l’attore ransomware-as-a-service (RaaS) Sangria Tempest.

Distribuzione Malware Storica

Storm-0324 gestisce una catena di distribuzione di malware e ha utilizzato kit di exploit e vettori basati su email per consegnare carichi malevoli. Le catene di email dell’attore sono altamente evasive, utilizzando sistemi di distribuzione del traffico come BlackTDS e Keitaro, che offrono capacità di identificazione e filtraggio per personalizzare il traffico degli utenti. Questa capacità di filtraggio permette agli attaccanti di evitare il rilevamento da parte di alcune gamme di IP che potrebbero essere soluzioni di sicurezza, mentre redirigono con successo le vittime verso il loro sito di download malevolo.

Attività di Phishing Basata su Teams

A luglio 2023, Storm-0324 ha iniziato a utilizzare esche di phishing inviate tramite Teams con link malevoli che portano a un file ospitato su SharePoint malevolo. Per questa attività, Storm-0324 si affida molto probabilmente a uno strumento pubblicamente disponibile chiamato TeamsPhisher. Microsoft sta adottando una serie di miglioramenti per difendersi meglio da queste minacce, inclusa la sospensione di account e tenant identificati associati a comportamenti inautentici o fraudolenti.

Raccomandazioni per Rafforzare la Rete

Per rafforzare le reti contro gli attacchi di Storm-0324, si consiglia di implementare metodi di autenticazione resistenti al phishing, mantenere abilitata l’auditing di Microsoft 365 e educare gli utenti su ingegneria sociale e attacchi di phishing delle credenziali. Inoltre, è consigliabile attivare la protezione fornita dal cloud e la presentazione automatica dei campioni su Microsoft Defender Antivirus.

Multilingua

DarkGate e l’iniezione di Template Remoti: nuove tattiche di attacco

Tempo di lettura: 2 minuti. Nuove tattiche di DarkGate: iniezione di template remoti per aggirare le difese e infettare con malware tramite documenti Excel.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Recentemente, Cisco Talos ha rilevato un aumento significativo di campagne email malevole contenenti allegati sospetti di Microsoft Excel che, una volta aperti, infettano il sistema della vittima con il malware DarkGate. Queste campagne, attive dalla seconda settimana di marzo, utilizzano tecniche, tattiche e procedure (TTP) mai osservate prima negli attacchi DarkGate.

Tecnica dell’Iniezione di Template Remoti

Le recenti campagne di DarkGate sfruttano una tecnica chiamata “Remote Template Injection” per bypassare i controlli di sicurezza delle email e ingannare l’utente a scaricare ed eseguire codice malevolo quando viene aperto il documento Excel. Questa tecnica consente di importare template da fonti esterne per espandere le funzionalità di un documento, eludendo i protocolli di sicurezza che potrebbero non essere stringenti per i template rispetto ai file eseguibili.

Dettagli Tecnici dell’Attacco

Le email malevole individuate da Cisco Talos contenevano allegati di Excel con nomi distintivi, principalmente riguardanti questioni finanziarie o ufficiali, per convincere il destinatario ad aprire il documento. L’infezione inizia quando il documento Excel viene aperto, scaricando ed eseguendo un file VBS da un server controllato dall’attaccante. Il file VBS contiene un comando che esegue uno script PowerShell dal server di comando e controllo (C2) di DarkGate.

Cambiamenti nei Payload e nei Linguaggi di Scripting

Dal 12 marzo 2024, le campagne di DarkGate hanno iniziato a utilizzare script AutoHotKey invece di AutoIT. AutoHotKey offre funzionalità avanzate di manipolazione del testo, supporto per hotkey e una vasta libreria di script user-contributed. Gli script AutoHotKey scaricano e decodificano dati binari direttamente in memoria, eseguendo il payload di DarkGate senza mai salvarlo su disco.

Meccanismi di Persistenza

I componenti utilizzati durante l’ultima fase dell’infezione vengono memorizzati nella directory C:\\ProgramData\\cccddcb\\. La persistenza attraverso i riavvii viene stabilita creando un file di collegamento nella directory di avvio del sistema infetto. Cisco Talos ha sviluppato meccanismi di rilevamento e blocco per queste campagne su prodotti Cisco Secure.

Prosegui la lettura

Multilingua

LightSpy: la nuova minaccia per macOS

Tempo di lettura: 3 minuti. Il malware LightSpy che prende di mira i dispositivi macOS, i metodi di infezione e le funzionalità dei plugin per l’esfiltrazione di dati.

Pubblicato

in data

Tempo di lettura: 3 minuti.

Recentemente, è stata scoperta una variante del malware LightSpy che prende di mira i dispositivi macOS. Questo malware, originariamente noto per attaccare dispositivi iOS e Android, ha ora dimostrato di poter compromettere anche i sistemi macOS. Le indagini condotte da ThreatFabric e Huntress hanno rivelato dettagli tecnici significativi sulle capacità di questo malware e sui metodi utilizzati per infettare i dispositivi.

Contesto e Scoperta

Il framework di spyware LightSpy è noto per la sua versatilità e capacità di compromettere vari sistemi operativi. Originariamente, il malware ha preso di mira dispositivi iOS e Android, ma ora ha esteso il suo raggio d’azione a macOS. La variante per macOS è stata identificata tramite campioni caricati su VirusTotal e analizzati da Huntress e ThreatFabric.

Metodi di Infezione

Il gruppo di attori malevoli dietro LightSpy utilizza exploit pubblicamente disponibili per distribuire gli impianti su macOS. Due exploit noti, CVE-2018-4233 e CVE-2018-4404, sono stati utilizzati per colpire versioni di macOS 10.13.3 e iOS precedenti alla 11.4.

Il malware inizia con l’esecuzione arbitraria di codice tramite una vulnerabilità di WebKit all’interno di Safari, seguita da un’escalation di privilegi specifica del sistema operativo.

Analisi Tecnica

Fase Iniziale

Il punto di partenza dell’attacco è un exploit di WebKit che consente l’esecuzione di codice arbitrario non privilegiato. Una volta attivato, l’exploit distribuisce un payload denominato “20004312341.png”, che è in realtà un file eseguibile MachO x86_64 contenente una funzione di iniezione.

Downloader Intermedio

Il file “20004312341.png” decifra un blocco di 0x400 byte incorporato nel file eseguibile e lancia il risultato utilizzando launchd. Questo script scarica tre ulteriori file utilizzando l’utilità curl, inclusi “ssudo” (un exploit di escalation dei privilegi), “ddss” (un file di cifratura/decifratura) e un archivio ZIP contenente “update” e “update.plist”.

Loader e Persistenza

Il file “update” è progettato per configurare e avviare il Core di LightSpy, fornendo le informazioni necessarie per la comunicazione con il server di comando e controllo (C2). Una volta eseguito, “update” assicura la persistenza nel sistema utilizzando launchctl, avviandosi ad ogni riavvio del sistema.

Funzionalità del Core e Plugin

Il Core di LightSpy è responsabile della raccolta delle informazioni sul dispositivo e della gestione dei comandi dal server C2. Utilizza un database SQLite per memorizzare dati di configurazione, comandi e piani di controllo. Durante l’indagine, è stata scoperta una versione del Core denominata “C40F0D27”, che funge da orchestratore del framework di sorveglianza.

Plugin Specifici

LightSpy per macOS supporta 10 plugin principali per l’esfiltrazione di informazioni private:

  • SoundRecord: Registra l’audio dal microfono del dispositivo.
  • Browser: Esfiltra la cronologia dei browser Safari e Chrome.
  • CameraModule: Scatta foto utilizzando la fotocamera del dispositivo.
  • FileManage: Esfiltra e manipola file e directory, compresi dati da messaggistica come WeChat, Telegram e QQ.
  • Keychain: Esfiltra password, certificati e chiavi dalla Keychain di Apple.
  • LanDevices: Scansiona la rete locale per trovare dispositivi connessi.
  • Softlist: Esfiltra l’elenco delle applicazioni installate e dei processi in esecuzione.
  • ScreenRecorder: Registra video dello schermo del dispositivo.
  • ShellCommand: Fornisce una shell remota per l’operatore.
  • WiFi: Esfiltra dati sulle reti Wi-Fi vicine e la cronologia delle connessioni Wi-Fi.

Implicazioni e Conclusioni

La scoperta della variante macOS di LightSpy dimostra che il malware è in continua evoluzione e in grado di prendere di mira una gamma più ampia di dispositivi. Gli utenti di macOS devono essere consapevoli delle potenziali minacce e adottare misure per proteggere i loro sistemi, inclusi aggiornamenti regolari e l’uso di strumenti di sicurezza avanzati. La collaborazione tra ricercatori di sicurezza e aziende come Huntress e ThreatFabric è cruciale per identificare e mitigare queste minacce.

Prosegui la lettura

Multilingua

Commando Cat: Cryptojacking innovativo che sfrutta i Server API Remoti di Docker

Tempo di lettura: 2 minuti. Commando Cat, un attacco di cryptojacking che sfrutta i server API remoti di Docker esposti, mette in luce la necessità di pratiche di sicurezza robuste per i contenitori.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Un nuovo attacco di cryptojacking, denominato Commando Cat, sta prendendo di mira i server API remoti di Docker esposti per distribuire miner di criptovalute. Gli attaccanti utilizzano immagini Docker del progetto open-source Commando per eseguire questa campagna.

Dettagli dell’Attacco Commando Cat

Il team di ricercatori ha analizzato una campagna di attacco che sfrutta i server API remoti di Docker esposti per distribuire miner di criptovalute. Gli attaccanti impiegano l’immagine Docker cmd.cat/chattr per ottenere l’accesso iniziale, utilizzando tecniche come chroot e il binding dei volumi per uscire dal contenitore ed accedere al sistema host.

Accesso Iniziale

Per ottenere l’accesso iniziale, l’attaccante distribuisce un’immagine Docker denominata cmd.cat/chattr. Una volta distribuita, l’attaccante crea un contenitore Docker basato su questa immagine e utilizza chroot per uscire dal contenitore e ottenere l’accesso al sistema operativo host. Successivamente, utilizza curl o wget per scaricare il binario malevolo sul sistema host.

Sequenza dell’Attacco

  1. Probing del Server API Remoto di Docker: L’attacco inizia con una richiesta di ping al server API remoto di Docker per verificare lo stato del server.
  2. Creazione del Contenitore con l’Immagine cmd.cat/chattr: Una volta confermato che il server è operativo, l’attaccante procede a creare un contenitore utilizzando l’immagine cmd.cat/chattr.
  3. Escape dal Contenitore: L’attaccante utilizza chroot e il binding dei volumi per sfuggire al contenitore. Il binding /:/hs monta la directory root dell’host nella directory /hs del contenitore, garantendo all’attaccante l’accesso illimitato al file system dell’host.
  4. Creazione dell’Immagine Docker in Caso di Assenza: Se la richiesta di creazione del contenitore restituisce un errore di “immagine non trovata”, l’attaccante scarica l’immagine chattr dal repository cmd.cat.
  5. Distribuzione del Contenitore: Con l’immagine pronta, l’attaccante crea un contenitore Docker ed esegue un payload codificato in base64, che tradotto risulta essere uno script shell malevolo che scarica ed esegue un binario malevolo dal server di comando e controllo.

Raccomandazioni per la Sicurezza

Per proteggere gli ambienti di sviluppo dagli attacchi che prendono di mira i contenitori e gli host, Trend Micro raccomanda di adottare le seguenti best practices:

  • Configurare correttamente i contenitori e le API per minimizzare il rischio di attacchi.
  • Utilizzare solo immagini Docker ufficiali o certificate.
  • Eseguire i contenitori senza privilegi di root.
  • Configurare i contenitori in modo che l’accesso sia garantito solo a fonti attendibili, come la rete interna.
  • Eseguire audit di sicurezza a intervalli regolari per rilevare eventuali contenitori e immagini sospetti.

La campagna di attacco Commando Cat mette in luce la minaccia rappresentata dall’abuso dei server API remoti di Docker esposti. Sfruttando le configurazioni Docker e utilizzando strumenti open-source come cmd.cat, gli attaccanti possono ottenere l’accesso iniziale e distribuire binari malevoli, eludendo le misure di sicurezza convenzionali. Questo evidenzia l’importanza di implementare robuste pratiche di sicurezza per i contenitori.

Prosegui la lettura

Facebook

CYBERSECURITY

Sicurezza Informatica17 ore fa

Mozilla e Microsoft: vulnerabilità risolte su Firefox e Word

Tempo di lettura: 2 minuti. Aggiornamenti critici per Firefox, Windows 11 e Microsoft Word risolvono vulnerabilità e bug che potevano...

Sicurezza Informatica18 ore fa

Nuove vulnerabilità sfruttate su Fortinet, Ivanti e Palo Alto Networks

Tempo di lettura: 2 minuti. CISA segnala vulnerabilità critiche in Fortinet e Ivanti, mentre Palo Alto Networks avverte di possibili...

Sicurezza Informatica23 ore fa

Perchè è importante fare backup nel cloud?

Tempo di lettura: 6 minuti. Perchè è importante fare il backup nel cloud? Per non incorrere in danni irreversibili in...

Microsoft CoPilot Microsoft CoPilot
Sicurezza Informatica2 giorni fa

Mamba 2FA e Microsoft Edge Copilot Vision: novità e rischi

Tempo di lettura: 2 minuti. Mamba 2FA e Microsoft Edge Copilot Vision: nuove tecnologie di phishing e funzionalità avanzate di...

Sicurezza Informatica2 giorni fa

Scanner per vulnerabilità CUPS e rischi su Apache HTTP Server

Tempo di lettura: 2 minuti. Scanner per vulnerabilità CUPS e Apache HTTP Server: nuove minacce di esecuzione di codice remoto...

Sicurezza Informatica2 giorni fa

Aggiornamenti Adobe, vulnerabilità e attacchi iraniani segnalati da CISA

Tempo di lettura: 3 minuti. CISA segnala aggiornamenti di sicurezza Adobe e nuove vulnerabilità sfruttate, raccomandando protezioni contro le minacce...

Sicurezza Informatica4 giorni fa

Piattaforma di phishing Sniper Dz e Rhadamanthys utilizza l’AI

Tempo di lettura: 4 minuti. La piattaforma di phishing Sniper Dz facilita gli attacchi di phishing e il malware Rhadamanthys...

Sicurezza Informatica4 giorni fa

Vulnerabilità XSS nel plugin LiteSpeed Cache di WordPress e attacco DCRat attraverso HTML Smuggling

Tempo di lettura: 3 minuti. LiteSpeed Cache per WordPress presenta una vulnerabilità XSS non autenticata, mentre DCRat viene distribuito attraverso...

Editoriali6 giorni fa

L’hacker Carmelo Miano è una risorsa del nostro Paese?

Tempo di lettura: 3 minuti. La storia dell'hacker più bravo d'Italia sta sfuggendo di mano, crea ombre su chi l'ha...

Sicurezza Informatica6 giorni fa

Emergenza cyber globale: attacchi in crescita, sfiducia nei sistemi di sicurezza e lacune nelle competenze

Tempo di lettura: 3 minuti. La cybersecurity è in emergenza: aumentano gli attacchi e la sfiducia nei sistemi di protezione....

Truffe recenti

Sicurezza Informatica3 giorni fa

Qualcomm, LEGO e Arc Browser: Sicurezza sotto attacco e misure di protezione rafforzate

Tempo di lettura: 3 minuti. Qualcomm corregge una vulnerabilità zero-day, LEGO affronta una truffa in criptovalute e Arc Browser lancia...

Sicurezza Informatica1 mese fa

Truffa “Il tuo partner ti tradisce”: chiedono di pagare per vedere le prove

Tempo di lettura: < 1 minuto. Una nuova truffa "Il tuo partner ti tradisce" chiede il pagamento per vedere prove...

Sicurezza Informatica2 mesi fa

Scam internazionale tramite Facebook e app: ERIAKOS e malware SMS stealer

Tempo di lettura: 4 minuti. Analisi delle campagne di scam ERIAKOS e del malware SMS Stealer che mirano gli utenti...

Sicurezza Informatica3 mesi fa

Meta banna 60.000 Yahoo Boys in Nigeria per sextortion

Tempo di lettura: 3 minuti. Meta combatte le truffe di estorsione finanziaria dalla Nigeria, rimuovendo migliaia di account e collaborando...

Inchieste3 mesi fa

Idealong.com chiuso, ma attenti a marketideal.xyz e bol-it.com

Tempo di lettura: 2 minuti. Dopo aver svelato la truffa Idealong, abbiamo scoperto altri link che ospitano offerte di lavoro...

Inchieste3 mesi fa

Idealong.com spilla soldi ed assolda lavoratori per recensioni false

Tempo di lettura: 4 minuti. Il metodo Idealong ha sostituito Mazarsiu e, dalle segnalazioni dei clienti, la truffa agisce su...

Sicurezza Informatica3 mesi fa

Truffa lavoro online: Mazarsiu sparito, attenti a idealong.com

Tempo di lettura: 2 minuti. Dopo il sito Mazarsiu, abbandonato dai criminali dopo le inchieste di Matrice Digitale, emerge un...

fbi fbi
Sicurezza Informatica4 mesi fa

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica4 mesi fa

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste4 mesi fa

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Tech

Android 15 logo Android 15 logo
Tech16 ore fa

Android 16 e Android 15 migliorano produttività e multitasking

Tempo di lettura: 2 minuti. Android 16 introduce finestre fluttuanti per tutte le app, mentre Android 15 migliora le scorciatoie...

Tech16 ore fa

Aperte iscrizioni del Premio SOCINT 2024: 30.000 euro in palio

Tempo di lettura: 2 minuti. Candidature aperte fino al 31 ottobre 2024 per la seconda edizione del Premio SOCINT –...

Tech17 ore fa

Aggiornamenti software: KDE Gear 24.08.2 e Linux Kernel 6.10.14

Tempo di lettura: 2 minuti. KDE Gear 24.08.2 e Linux Kernel 6.10.14 portano correzioni e miglioramenti, garantendo stabilità e performance...

Smartphone17 ore fa

Cyberattacchi recenti: il caso Internet Archive e la violazione di Dr.Web

Tempo di lettura: 2 minuti. Internet Archive e Dr.Web colpiti da gravi attacchi informatici, compromessi milioni di dati utente e...

iPhone 16 iPhone 16
Smartphone19 ore fa

Apple: funzionalità AI in arrivo e calo domanda iPhone 16

Tempo di lettura: 3 minuti. Apple introduce nuove funzionalità AI con iOS 18.2, mentre la domanda per iPhone 16 tra...

Smartphone20 ore fa

Galaxy: aggiornamenti e fine supporto per Z Fold 2

Tempo di lettura: 5 minuti. Samsung aggiorna i suoi Galaxy Z Flip 5, S24, Z Fold 3, Z Flip 3...

Smartphone2 giorni fa

Galaxy A55 vs S24 FE: quale rapporto Qualità/Prezzo scegliere?

Tempo di lettura: 2 minuti. Confronto tra Galaxy A55 e Galaxy S24 FE: due smartphone di valore con specifiche e...

Smartphone2 giorni fa

Aggiornamenti software per Galaxy S24 FE, A52s e Buds 3 Pro

Tempo di lettura: 2 minuti. Samsung rilascia aggiornamenti di ottobre 2024 per Galaxy S24 FE, Galaxy A52s e Galaxy Buds...

Tech3 giorni fa

Tails e KDE Plasma 6.2: aggiornamenti di sicurezza e nuove funzionalità per utenti e sviluppatori

Tempo di lettura: 3 minuti. Scopri le novità del changelog Debian di Tails e l'aggiornamento di KDE Plasma 6.2, con...

Nothing OS 3.0 Nothing OS 3.0
Smartphone3 giorni fa

Nothing OS 3.0 Beta: Nuove funzionalità e prime impressioni

Tempo di lettura: 3 minuti. Scopri le novità del Nothing OS 3.0 Beta, che porta miglioramenti all'interfaccia e nuove funzionalità...

Tendenza