Notizie
Arrestati due uomini in Francia per possesso illegale di dati finanziari

Il 14 settembre, il reparto di Affari finanziari della polizia francese ha arrestato due uomini per possesso illegale di dati finanziari. Secondo Le Progrès, un quotidiano regionale francese, gli uomini hanno gestito un’operazione di frode con carta di credito a Lione, in Francia.
Un uomo ha rubato i numeri di carta e il secondo si è occupato della loro vendita all’interno dei mercati e sui forum della darknet.
La frode sulla carta di credito è iniziata nel giugno del 2015 quando il primo sospettato ha iniziato a lavorare nel quartiere centrale di Lione: La Part-Dieu. Lì, ha avuto accesso alle carte di credito e di debito di migliaia di vittime insospettate. Ha lavorato in un negozio vicino alla stazione ferroviaria principale per la ferrovia Parigi-Lione-Marseille chiamata Part-Dieu. La città di Lione è una delle città più trafficate e interconnesse della Francia e il sito si colloca tra le migliori stazioni in Europa con i più viaggiatori.
Mentre lavorava nel negozio, ha rubato i numeri dei “codici bancari” dei clienti, il sospetto della polizia finanziaria. Ha trasmesso queste informazioni al suo complice 28enne (e più giovane) a Villeurbanne. Il complice ha venduto i numeri di carte sul darknet fino a una data sconosciuta nel febbraio 2016. Il profitto lordo dalle vendite del numero di carte rubato ammontava a circa $ 20.000. Hanno condiviso il reddito illecito e-assumendo, per il raggiungimento di una stima generale, avevano ricevuto ciascuna parti uguali-tasse di transazione d’attualizzazione, entrambi i sospetti hanno guadagnato $ 10.000 in nove mesi. Meno di 1.000 dollari al mese.
Io non lo farei mai. E voi?
Notizie
Pegasus: è un’arma dell’FBI. NSO Group l’ha venduto agli americani

Un rapporto condiviso dal New York Times afferma che l’FBI ha acquistato Pegasus per raccogliere dati da dispositivi mobili e rilasciare l’FBI su questo caso. Sebbene l’FBI si sia difesa affermando che si tratta di operazioni regolari e non di spionaggio, il tribunale ha ordinato all’FBI di produrre tutti i documenti pertinenti per studiare in futuro il coinvolgimento dell’agenzia.
L’FBI acquista Pegasus per la raccolta di dati
Pegasus, software spia che ha fatto ampiamente parlare di sé negli ultimi due anni, si è ripresentato con collegamenti all’FBI statunitense. All’inizio di quest’anno, il New York Times ha riportato che l’FBI 2018 ha acquistato lo strumento Pegasus dal gruppo NSO, con l’autorizzazione del governo israeliano.
Trattandosi di uno strumento sensibile, il governo israeliano ha imposto delle restrizioni a NSO Group per quanto riguarda la distribuzione del suo spyware. Qualsiasi vendita al governo straniero deve avvenire previa approvazione del governo israeliano.
E in una lettera di richiesta datata dicembre 2018, in cui l’FBI ha fatto al governo israeliano ha detto che voleva Pegasus “per la raccolta di dati da dispositivi mobili per la prevenzione e l’investigazione di crimini e terrorismo, nel rispetto della privacy e delle leggi sulla sicurezza nazionale“.
L’FBI ha pagato 5 milioni di dollari per questo strumento e ha detto che serve per aiutare le indagini in corso. Poiché si trattava di una violazione della privacy, il New York Times ha fatto causa all’FBI in base al Freedom of Information Act. L’FBI ha dichiarato alla corte che l’acquisto è stato fatto principalmente per testare e valutare lo strumento e per sapere come lo usano gli avversari.
In un’audizione al Congresso a marzo, Christopher A. Wray, direttore dell’FBI, ha dichiarato di aver acquistato questo strumento con una “licenza limitata” e “come parte delle nostre responsabilità di routine (dell’FBI) per valutare le tecnologie che sono là fuori, non solo dal punto di vista della possibilità di usarle un giorno legalmente, ma anche, cosa più importante, quali sono i problemi di sicurezza sollevati da quei prodotti“.
Il tribunale ha ora chiesto all’FBI di produrre tutti i documenti relativi a questo acquisto e al suo utilizzo, con una scadenza fissata al 31 agosto. Finora, gli avvocati dell’FBI hanno dichiarato di aver individuato più di 400 pagine di documenti da presentare alla corte.
Notizie
Telegram: attenzione al malware Eternity

I criminali informatici stanno promuovendo una nuova offerta modulare di malware-as-a-service che consente agli aspiranti aggressori di scegliere tra una cornucopia di minacce attraverso un canale Telegram che ad oggi conta più di 500 iscritti, secondo quanto scoperto dai ricercatori.
Il nuovo servizio di malware, soprannominato Eternity Project dagli attori delle minacce che ne sono alla base, consente ai criminali informatici di colpire le potenziali vittime con un’offerta di minacce personalizzata basata su singoli moduli che possono essere acquistati a prezzi che vanno da 90 a 490 dollari, hanno scritto i ricercatori della società di sicurezza Cyble in un post sul blog pubblicato giovedì.
I moduli includono stealer, clipper, worm, miner e ransomware, a seconda del tipo di attacco che gli attori delle minacce vogliono sferrare, secondo il post. Gli sviluppatori del progetto stanno inoltre lavorando a un modulo futuro che offre bot DDoS (Distributed Denial of Service).
Eternity, che i ricercatori hanno scoperto su un sito web TOR dove il malware-as-a-service è anche in vendita, dimostra il “significativo aumento della criminalità informatica attraverso i canali Telegram e i forum di criminalità informatica“, scrivono i ricercatori nel post. Questo probabilmente perché gli attori delle minacce possono vendere i loro prodotti senza alcuna regolamentazione, hanno detto.
Secondo Cyble, ogni modulo viene venduto singolarmente e presenta funzionalità diverse che i ricercatori sospettano siano state riproposte da un codice presente in un repository Github esistente, che gli sviluppatori del progetto modificano e vendono con un nuovo nome.
“La nostra analisi ha inoltre indicato che anche Jester Stealer potrebbe essere stato ridenominato da questo particolare progetto Github, il che indica alcuni collegamenti tra i due attori della minaccia”, hanno scritto i ricercatori.
Moduli e funzionalità specifiche
Gli attori delle minacce vendono Eternity Stealer a 260 dollari come abbonamento annuale. Il modulo ruba password, cookie, carte di credito e portafogli di criptovalute da varie applicazioni, come tutti i browser più diffusi, le app di messaggistica e i portafogli di criptovalute sul computer della vittima e li invia al Bot Telegram dell’attore delle minacce.
Eternity Miner, un programma dannoso che utilizza il dispositivo infetto per estrarre criptovalute, viene venduto a 90 dollari per un abbonamento annuale. Le caratteristiche del miner includono una dimensione ridotta del file, l’estrazione silenziosa di Monero, la capacità di riavviarsi quando viene ucciso e la capacità di rimanere nascosto dal task manager, hanno scritto i ricercatori.
Eternity Clipper, un malware che monitora la clipboard di un computer infetto alla ricerca di portafogli di criptovalute e li sostituisce con gli indirizzi dei portafogli di criptovalute dell’attore della minaccia, viene venduto a 110 dollari. Il malware, come il miner, può anche nascondersi dal task manager e include altre funzionalità.
Il ransomware Eternity, il più costoso tra le offerte, viene venduto a 490 dollari e offre la crittografia di tutti i documenti, le foto e i database su dischi, condivisioni locali e unità USB sia online che offline. Gli aggressori possono impostare un limite di tempo dopo il quale i file non possono essere decifrati e, tra le altre caratteristiche, possono impostare l’esecuzione del ransomware a una data specifica.
Gli attori delle minacce stanno vendendo l’Eternity Worm, un virus che si diffonde attraverso le macchine infette tramite file e reti, al prezzo di 390 dollari. Le caratteristiche del worm includono la sua capacità di diffondersi attraverso i seguenti elementi: unità USB, condivisioni di rete locali, vari file locali, unità cloud come GoogleDrive o DropBox e altri. Secondo i ricercatori, il worm può anche inviare messaggi infetti ai canali Discord e Telegram e agli amici delle persone.
Come già accennato, gli sviluppatori stanno attualmente lavorando a un altro modulo per offrire i bot DDoS come servizio, anche se i ricercatori non hanno specificato i tempi di disponibilità.
Procedere con cautela
L’esistenza di Eternity e la sua capacità di offrire opzioni di cybercriminalità alle masse dovrebbe essere un monito per gli utenti del web a non salvare mai le credenziali su un computer, per evitare che le informazioni finiscano nelle mani sbagliate, ha osservato un professionista della sicurezza.
“Seriamente, quando il vostro browser vi chiede di permettergli di ricordare le vostre credenziali, la vostra risposta dovrebbe essere sempre ‘no, o mai‘”, ha scritto Ron Bradley, vicepresidente di Shared Assessments, in un’e-mail a Threatpost. “Purtroppo, i produttori di browser hanno ingannato gli utenti con un senso di sicurezza, consentendo loro di ricordare informazioni sensibili come password, carte di credito, indirizzi, ecc. senza considerare il rischio che stanno correndo“.
Le persone dovrebbero partire dal presupposto che le loro credenziali sono già state compromesse, piuttosto che provare un falso senso di sicurezza nel salvare i dati sensibili su un computer, e adottare misure per proteggere le informazioni private che riflettano questo presupposto.
“Soprattutto, utilizzate più livelli di difesa“, ha osservato Bradley. “Che ci piaccia o no, siamo in guerra quando si tratta di proteggere le nostre informazioni private. Le protezioni e le armi difensive non sono facoltative in questo periodo“.
Notizie
Iran, APT34 attacca la Giordania

I ricercatori di Cybersecurity di Malwarebytes hanno dichiarato di aver scoperto un’e-mail dannosa che ha preso di mira un funzionario governativo del ministero degli Esteri della Giordania e che sembra provenire da un prolifico gruppo di minacce presumibilmente basato in Iran.
Il team di intelligence sulle minacce dell’azienda ha dichiarato martedì di aver identificato il messaggio sospetto il 26 aprile. Conteneva un documento Excel dannoso che forniva Saitama, un nuovo strumento di hacking utilizzato per fornire una backdoor nei sistemi.
Il Ministero degli Esteri della Giordania non ha risposto alle richieste di commento.
Malwarebytes ha attribuito l’e-mail a un gruppo di minacce comunemente noto come APT34, che gli esperti ritengono abbia sede in Iran e che ha preso di mira altri Paesi del Medio Oriente almeno dal 2014. Le società informatiche hanno dato al gruppo diversi nomi, tra cui OilRig, Cobalt Gypsy, IRN2 e Helix Kitten, e ha preso di mira soprattutto organizzazioni governative e aziende dei settori finanziario, energetico, chimico e delle telecomunicazioni.
“L’e-mail dannosa è stata inviata alla vittima tramite un account Microsoft Outlook con l’oggetto ‘Conferma ricezione documento’ e un file Excel chiamato ‘Conferma ricezione documento.xls’. Il mittente finge di essere una persona del governo della Giordania utilizzando il suo stemma come firma“, spiega il rapporto.
Le vittime sono indotte ad attivare una macro mentre il codice dannoso viene eseguito silenziosamente.
Il documento Excel mostra un foglio di richiamo contenente lo stemma del governo della Giordania. pic.twitter.com/5dV8DtVLPb
- Malwarebytes Threat Intelligence (@MBThreatIntel) 10 maggio 2022
I ricercatori hanno attribuito la campagna ad APT34 perché i documenti dannosi utilizzati nell’attacco assomigliavano a precedenti campagne identificate lo scorso anno da altre società di cybersicurezza, tra cui Check Point.
“Più specificamente, simile a quanto menzionato nel rapporto di Check Point, questo maldoc registra un’attività pianificata che lancerebbe l’eseguibile ogni X minuti, inoltre utilizza la stessa tecnica anti sandboxing (controllando se c’è un mouse collegato al PC o meno)“, ha spiegato Malwarebytes.
I ricercatori hanno anche detto di aver visto “uno schema simile per fare da beacon al server dell’aggressore e informare l’aggressore sullo stadio attuale dell’esecuzione“.
Malwarebytes ha anche identificato diversi indicatori e somiglianze che sono stati collegati a campagne passate che hanno preso di mira Jordan e altri. La società di sicurezza informatica Mandiant ha precedentemente collegato l’APT34 a una campagna che ha preso di mira le banche del Medio Oriente.
La backdoor Saitama abusa del protocollo Domain Name System (DNS), che aiuta gli utenti di Internet e i dispositivi di rete a individuare i siti web utilizzando nomi di host leggibili dall’uomo anziché indirizzi IP numerici.
Malwarebytes ha affermato che Saitama è più furtiva di altre backdoor perché abusa del protocollo DNS per le comunicazioni di comando e controllo rispetto ad altri metodi di comunicazione.
Secondo Malwarebytes, inoltre, il malware “era chiaramente mirato e indica anche che l’attore ha una conoscenza pregressa dell’infrastruttura interna della vittima“.
-
Inchieste3 settimane fa
Spazio cibernetico: come cambia il concetto di sovranità nazionale
-
Editoriali2 settimane fa
Guerra Cibernetica: gli “attacchi” Russi che smentiscono ancora la stampa italiana
-
DeFi2 settimane fa
Altro furto nella blockchain. 15 milioni sottratti a Deus Finance
-
DeFi2 settimane fa
L’esperimento bitcoin di El Salvador non riscuote il successo sperato
-
DeFi2 settimane fa
Prestiti flash: come gli hacker truffano la DeFi per miliardi di dollari l’anno
-
DeFi1 settimana fa
Continuano le truffe “milionarie” DeFi nell’infallibile blockchain
-
Inchieste1 settimana fa
Dubai Porta Potty: anche il suicidio è fake. “Bisogna segnalare chi ne parla”
-
Inchieste1 settimana fa
Cina attacca militari del Sud Est Asiatico con l’APT OverridePanda