Un rapporto condiviso dal New York Times afferma che l’FBI ha acquistato Pegasus per raccogliere dati da dispositivi mobili e rilasciare l’FBI su questo caso. Sebbene l’FBI si sia difesa affermando che si tratta di operazioni regolari e non di spionaggio, il tribunale ha ordinato all’FBI di produrre tutti i documenti pertinenti per studiare in futuro il coinvolgimento dell’agenzia.

L’FBI acquista Pegasus per la raccolta di dati

Pegasus, software spia che ha fatto ampiamente parlare di sé negli ultimi due anni, si è ripresentato con collegamenti all’FBI statunitense. All’inizio di quest’anno, il New York Times ha riportato che l’FBI 2018 ha acquistato lo strumento Pegasus dal gruppo NSO, con l’autorizzazione del governo israeliano.

Trattandosi di uno strumento sensibile, il governo israeliano ha imposto delle restrizioni a NSO Group per quanto riguarda la distribuzione del suo spyware. Qualsiasi vendita al governo straniero deve avvenire previa approvazione del governo israeliano.

E in una lettera di richiesta datata dicembre 2018, in cui l’FBI ha fatto al governo israeliano ha detto che voleva Pegasus “per la raccolta di dati da dispositivi mobili per la prevenzione e l’investigazione di crimini e terrorismo, nel rispetto della privacy e delle leggi sulla sicurezza nazionale“.

L’FBI ha pagato 5 milioni di dollari per questo strumento e ha detto che serve per aiutare le indagini in corso. Poiché si trattava di una violazione della privacy, il New York Times ha fatto causa all’FBI in base al Freedom of Information Act. L’FBI ha dichiarato alla corte che l’acquisto è stato fatto principalmente per testare e valutare lo strumento e per sapere come lo usano gli avversari.

In un’audizione al Congresso a marzo, Christopher A. Wray, direttore dell’FBI, ha dichiarato di aver acquistato questo strumento con una “licenza limitata” e “come parte delle nostre responsabilità di routine (dell’FBI) per valutare le tecnologie che sono là fuori, non solo dal punto di vista della possibilità di usarle un giorno legalmente, ma anche, cosa più importante, quali sono i problemi di sicurezza sollevati da quei prodotti“.

Il tribunale ha ora chiesto all’FBI di produrre tutti i documenti relativi a questo acquisto e al suo utilizzo, con una scadenza fissata al 31 agosto. Finora, gli avvocati dell’FBI hanno dichiarato di aver individuato più di 400 pagine di documenti da presentare alla corte.

I criminali informatici stanno promuovendo una nuova offerta modulare di malware-as-a-service che consente agli aspiranti aggressori di scegliere tra una cornucopia di minacce attraverso un canale Telegram che ad oggi conta più di 500 iscritti, secondo quanto scoperto dai ricercatori.

Il nuovo servizio di malware, soprannominato Eternity Project dagli attori delle minacce che ne sono alla base, consente ai criminali informatici di colpire le potenziali vittime con un’offerta di minacce personalizzata basata su singoli moduli che possono essere acquistati a prezzi che vanno da 90 a 490 dollari, hanno scritto i ricercatori della società di sicurezza Cyble in un post sul blog pubblicato giovedì.

I moduli includono stealer, clipper, worm, miner e ransomware, a seconda del tipo di attacco che gli attori delle minacce vogliono sferrare, secondo il post. Gli sviluppatori del progetto stanno inoltre lavorando a un modulo futuro che offre bot DDoS (Distributed Denial of Service).

Eternity, che i ricercatori hanno scoperto su un sito web TOR dove il malware-as-a-service è anche in vendita, dimostra il “significativo aumento della criminalità informatica attraverso i canali Telegram e i forum di criminalità informatica“, scrivono i ricercatori nel post. Questo probabilmente perché gli attori delle minacce possono vendere i loro prodotti senza alcuna regolamentazione, hanno detto.

Secondo Cyble, ogni modulo viene venduto singolarmente e presenta funzionalità diverse che i ricercatori sospettano siano state riproposte da un codice presente in un repository Github esistente, che gli sviluppatori del progetto modificano e vendono con un nuovo nome.

“La nostra analisi ha inoltre indicato che anche Jester Stealer potrebbe essere stato ridenominato da questo particolare progetto Github, il che indica alcuni collegamenti tra i due attori della minaccia”, hanno scritto i ricercatori.

Moduli e funzionalità specifiche

Gli attori delle minacce vendono Eternity Stealer a 260 dollari come abbonamento annuale. Il modulo ruba password, cookie, carte di credito e portafogli di criptovalute da varie applicazioni, come tutti i browser più diffusi, le app di messaggistica e i portafogli di criptovalute sul computer della vittima e li invia al Bot Telegram dell’attore delle minacce.

Eternity Miner, un programma dannoso che utilizza il dispositivo infetto per estrarre criptovalute, viene venduto a 90 dollari per un abbonamento annuale. Le caratteristiche del miner includono una dimensione ridotta del file, l’estrazione silenziosa di Monero, la capacità di riavviarsi quando viene ucciso e la capacità di rimanere nascosto dal task manager, hanno scritto i ricercatori.

Eternity Clipper, un malware che monitora la clipboard di un computer infetto alla ricerca di portafogli di criptovalute e li sostituisce con gli indirizzi dei portafogli di criptovalute dell’attore della minaccia, viene venduto a 110 dollari. Il malware, come il miner, può anche nascondersi dal task manager e include altre funzionalità.

Il ransomware Eternity, il più costoso tra le offerte, viene venduto a 490 dollari e offre la crittografia di tutti i documenti, le foto e i database su dischi, condivisioni locali e unità USB sia online che offline. Gli aggressori possono impostare un limite di tempo dopo il quale i file non possono essere decifrati e, tra le altre caratteristiche, possono impostare l’esecuzione del ransomware a una data specifica.

Gli attori delle minacce stanno vendendo l’Eternity Worm, un virus che si diffonde attraverso le macchine infette tramite file e reti, al prezzo di 390 dollari. Le caratteristiche del worm includono la sua capacità di diffondersi attraverso i seguenti elementi: unità USB, condivisioni di rete locali, vari file locali, unità cloud come GoogleDrive o DropBox e altri. Secondo i ricercatori, il worm può anche inviare messaggi infetti ai canali Discord e Telegram e agli amici delle persone.

Come già accennato, gli sviluppatori stanno attualmente lavorando a un altro modulo per offrire i bot DDoS come servizio, anche se i ricercatori non hanno specificato i tempi di disponibilità.

Procedere con cautela

L’esistenza di Eternity e la sua capacità di offrire opzioni di cybercriminalità alle masse dovrebbe essere un monito per gli utenti del web a non salvare mai le credenziali su un computer, per evitare che le informazioni finiscano nelle mani sbagliate, ha osservato un professionista della sicurezza.

“Seriamente, quando il vostro browser vi chiede di permettergli di ricordare le vostre credenziali, la vostra risposta dovrebbe essere sempre ‘no, o mai‘”, ha scritto Ron Bradley, vicepresidente di Shared Assessments, in un’e-mail a Threatpost. “Purtroppo, i produttori di browser hanno ingannato gli utenti con un senso di sicurezza, consentendo loro di ricordare informazioni sensibili come password, carte di credito, indirizzi, ecc. senza considerare il rischio che stanno correndo“.

Le persone dovrebbero partire dal presupposto che le loro credenziali sono già state compromesse, piuttosto che provare un falso senso di sicurezza nel salvare i dati sensibili su un computer, e adottare misure per proteggere le informazioni private che riflettano questo presupposto.

“Soprattutto, utilizzate più livelli di difesa“, ha osservato Bradley. “Che ci piaccia o no, siamo in guerra quando si tratta di proteggere le nostre informazioni private. Le protezioni e le armi difensive non sono facoltative in questo periodo“.

I ricercatori di Cybersecurity di Malwarebytes hanno dichiarato di aver scoperto un’e-mail dannosa che ha preso di mira un funzionario governativo del ministero degli Esteri della Giordania e che sembra provenire da un prolifico gruppo di minacce presumibilmente basato in Iran.

Il team di intelligence sulle minacce dell’azienda ha dichiarato martedì di aver identificato il messaggio sospetto il 26 aprile. Conteneva un documento Excel dannoso che forniva Saitama, un nuovo strumento di hacking utilizzato per fornire una backdoor nei sistemi.

Il Ministero degli Esteri della Giordania non ha risposto alle richieste di commento.

Malwarebytes ha attribuito l’e-mail a un gruppo di minacce comunemente noto come APT34, che gli esperti ritengono abbia sede in Iran e che ha preso di mira altri Paesi del Medio Oriente almeno dal 2014. Le società informatiche hanno dato al gruppo diversi nomi, tra cui OilRig, Cobalt Gypsy, IRN2 e Helix Kitten, e ha preso di mira soprattutto organizzazioni governative e aziende dei settori finanziario, energetico, chimico e delle telecomunicazioni.

“L’e-mail dannosa è stata inviata alla vittima tramite un account Microsoft Outlook con l’oggetto ‘Conferma ricezione documento’ e un file Excel chiamato ‘Conferma ricezione documento.xls’. Il mittente finge di essere una persona del governo della Giordania utilizzando il suo stemma come firma“, spiega il rapporto.

Le vittime sono indotte ad attivare una macro mentre il codice dannoso viene eseguito silenziosamente.

Il documento Excel mostra un foglio di richiamo contenente lo stemma del governo della Giordania. pic.twitter.com/5dV8DtVLPb

• Malwarebytes Threat Intelligence (@MBThreatIntel) 10 maggio 2022
  I ricercatori hanno attribuito la campagna ad APT34 perché i documenti dannosi utilizzati nell’attacco assomigliavano a precedenti campagne identificate lo scorso anno da altre società di cybersicurezza, tra cui Check Point.

“Più specificamente, simile a quanto menzionato nel rapporto di Check Point, questo maldoc registra un’attività pianificata che lancerebbe l’eseguibile ogni X minuti, inoltre utilizza la stessa tecnica anti sandboxing (controllando se c’è un mouse collegato al PC o meno)“, ha spiegato Malwarebytes.

I ricercatori hanno anche detto di aver visto “uno schema simile per fare da beacon al server dell’aggressore e informare l’aggressore sullo stadio attuale dell’esecuzione“.

Malwarebytes ha anche identificato diversi indicatori e somiglianze che sono stati collegati a campagne passate che hanno preso di mira Jordan e altri. La società di sicurezza informatica Mandiant ha precedentemente collegato l’APT34 a una campagna che ha preso di mira le banche del Medio Oriente.

La backdoor Saitama abusa del protocollo Domain Name System (DNS), che aiuta gli utenti di Internet e i dispositivi di rete a individuare i siti web utilizzando nomi di host leggibili dall’uomo anziché indirizzi IP numerici.

Malwarebytes ha affermato che Saitama è più furtiva di altre backdoor perché abusa del protocollo DNS per le comunicazioni di comando e controllo rispetto ad altri metodi di comunicazione.

Secondo Malwarebytes, inoltre, il malware “era chiaramente mirato e indica anche che l’attore ha una conoscenza pregressa dell’infrastruttura interna della vittima“.