Connect with us

Notizie

Attenzione ai fogli Excel: APT diffonde malware tramite Office

Pubblicato

in data

Tempo di lettura: 4 minuti.

I ricercatori hanno scoperto che l’attore di spionaggio informatico UAC-0056, noto anche come SaintBear, UNC2589 e TA471, sta utilizzando un documento Excel macro-incorporato per colpire diverse entità in Ucraina, tra cui ICTV, un canale TV privato.

A differenza degli attacchi precedenti che cercavano di convincere le vittime ad aprire un URL e scaricare un payload di primo stadio o distribuire un falso software di traduzione, in questa campagna l’attore della minaccia sta utilizzando un attacco di spear-phishing che contiene documenti Excel macro-embedded“, riferiscono i ricercatori della società di cybersecurity Malwarebytes.

Il gruppo UAC-0056, che la società di cybersicurezza SentinelOne ha recentemente segnalato che stava prendendo di mira gli ucraini con un falso software di traduzione, è noto per aver eseguito un attacco wiper nel gennaio 2022 su più computer e siti web del governo ucraino.

In marzo Cert-UA ha riferito che il gruppo ha preso di mira le organizzazioni statali in Ucraina utilizzando impianti maligni chiamati GrimPlant, GraphSteel e CobaltStrike Beacon.

Il gruppo è anche noto per aver eseguito l’attacco dirompente WhisperGate contro le entità governative ucraine all’inizio del 2022.

Analisi tecnica

L’attacco inizia con una e-mail di phishing in cui un allegato di un documento dannoso contenente una macro dannosa lascia cadere un carico utile incorporato e poi ulteriori carichi utili vengono scaricati dal server dell’attaccante in formato Base64.

I ricercatori hanno osservato che le e-mail di phishing sono state distribuite almeno dal 23 al 28 marzo, con l’oggetto ‘arretrati salariali‘ e il corpo di tutte le e-mail contiene un messaggio simile: ‘Arretrati salariali. Aggiornato automaticamente. Si prega di inviare la vostra offerta per ridurre gli arretrati salariali“. Il documento allegato contiene un messaggio simile al corpo dell’email. “Questo documento contiene una macro incorporata che fa cadere il payload del primo stadio chiamato “base-update.exe“. Il payload è stato salvato in un “foglio molto nascosto” chiamato “SheetForAttachedFile“.

I ricercatori di Malwarebytes hanno scoperto che questo foglio contiene il nome del file, la data in cui il payload è allegato (21, marzo 2022), la dimensione del file e il contenuto del file allegato in formato hex.

La macro legge il contenuto del file incorporato nel foglio nascosto e lo scrive nella posizione definita per questo payload che è la directory “AppDataLocalTemp”. La macro utilizzata dall’attore è presa da un sito web che ha descritto e fornito il codice per un metodo per allegare ed estrarre i file da una cartella di lavoro Excel“.

Elephant Dropper

I ricercatori dicono che il dropper Elephant è l’eseguibile iniziale distribuito in questo attacco; è un semplice dropper che distribuisce ulteriori fasi. Questo dropper è scritto nel linguaggio di programmazione Go ed è firmato con un certificato Microsoft rubato.

Le stringhe nel binario suggeriscono che è stato effettivamente chiamato Elephant Dropper dagli stessi attaccanti“, dicono i ricercatori. “Controlla se la directory “C:Users{user}.java-sdkesiste sul sistema e la crea se non esiste. Le stringhe nel binario sono codificate e vengono decodificate solo quando devono essere utilizzate“.

Inoltre, il dropper decodifica l’indirizzo di comando e controllo da una stringa e poi scarica un binario codificato Base64 dal C2 e lo scrive in “C:Users{user}.java-sdkjava-sdk.exe”.

Elephant Downloader

Elephant Downloader è anche scritto nel linguaggio di programmazione Go e viene eseguito dal Dropper. Lo scopo di questo payload è quello di mantenere la persistenza e anche di distribuire le due fasi successive dell’attacco.

Le stringhe in questo eseguibile sono codificate nello stesso modo del Dropper. Si rende persistente attraverso la chiave di registro auto-run“, dicono i ricercatori. “Il downloader è responsabile per ottenere l’impianto e il client; i percorsi URL per i payloads sono memorizzati in forma codificata nel binario. Scarica l’impianto e il client“.

Nella fase successiva il downloader Elephant decodifica i nomi dei file che sono anche memorizzati in un formato codificato e crea un file. Il nome del file dell’impianto è oracle-java.exe e il client è microsoft-cortana.exe.

Elephant Implant, rintracciato anche come backdoor GrimPlant, sembra essere uno dei payload più importanti in questo attacco, dicono i ricercatori. Essi descrivono come comunica con il C2 sulla porta 80 e ottiene l’indirizzo C2 criptato dal suo processo genitore.

L’impianto fa uso di gRPC per comunicare con il C2, ha un certificato TLS incorporato nel binario e fa uso dell’integrazione SSL/TLS in gRPC. Questo permette al malware di crittografare tutti i dati che vengono inviati al C2 tramite gRPC“, dicono i ricercatori.

Inoltre, questo impianto utilizza la libreria MachineID per ricavare un id unico per ogni macchina e ottiene l’indirizzo IP della macchina facendo una richiesta a “https://api.ipify.org/“.

L’impianto raccoglie informazioni relative al sistema operativo in una funzione chiamata GetOSInfo, come parte di questo il malware raccoglie il nome dell’host, il nome del sistema operativo e il numero di CPU nel sistema e una funzione chiamata GetUserInfo raccoglie il nome, il nome utente e il percorso della directory Home dell’utente corrente.

Client Elephant

L’ultimo payload che i ricercatori hanno dettagliato è chiamato elephant_client dall’attore (rintracciato anche come backdoor GraphSteel). Questo payload finale è un ladro di dati, dicono i ricercatori.

Simile ad altri payload in questa catena di attacco, questo payload riceve il server C2 come parametro in formato Base64 che è il formato crittografato AES del server. Decodificando la stringa Base64 si ottiene l’indirizzo IP C2 in formato crittografato AES. L’attore usa una chiave per decifrare AES (modalità ECB-NoPadding) l’indirizzo C2“.

Una volta riuscita la connessione con il suo server C2, inizia a raccogliere dati ed esfiltrare nel server.

Inizialmente raccoglie informazioni di base sugli utenti e le invia al server. I dati raccolti sono codificati Base64 e includono hostname, nome del sistema operativo (windows), numero di CPU, indirizzo IP, nome, nome utente e directory home.

Una volta che questo è finito, il client cerca di rubare le credenziali dalla macchina della vittima. L’attore ruba i dati da questi servizi:

  • Credenziali del browser
  • informazioni WiFi
  • dati del gestore delle credenziali
  • account di posta
  • dati delle connessioni Putty
  • credenziali di Filezilla.


Notizie

Nuovo servizio Phishing “Darcula” mira gli utenti iPhone tramite iMessage

Tempo di lettura: 2 minuti. Il servizio di phishing Darcula rappresenta un’avanzata minaccia nel panorama della sicurezza informatica

Pubblicato

in data

Tempo di lettura: 2 minuti.

Un servizio di phishing noto come “Darcula” sta emergendo nel panorama della cybersecurity, sfruttando oltre 20.000 domini per impersonare marchi noti e rubare credenziali sia agli utenti Android che iPhone in più di 100 paesi. Questo servizio di phishing come servizio (PhaaS) si distingue per l’utilizzo dei protocolli di Servizi di Comunicazione Ricca (RCS) per Google Messages e iMessage al posto degli SMS tradizionali per l’invio di messaggi di phishing.

Caratteristiche Distintive di Darcula

Darcula, segnalato per la prima volta dall’analista di sicurezza Oshri Kalfon, sta guadagnando popolarità nello spazio del cybercrime e la società Netcraft ha redatto una ricerca. Questo servizio offre agli utenti malintenzionati oltre 200 template tra cui scegliere, per impersonare vari servizi e organizzazioni, dalle poste ai dipartimenti governativi e finanziari, fino a telecomunicazioni, compagnie aeree e servizi pubblici.

Tecnologie e Metodi Innovativi

A differenza dei metodi di phishing tradizionali, Darcula utilizza tecnologie moderne come JavaScript, React, Docker e Harbor. Questo permette aggiornamenti continui e l’aggiunta di nuove funzionalità senza che i clienti debbano reinstallare i kit di phishing. I kit offrono 200 template che impersonano marchi e organizzazioni in più di 100 paesi, con pagine di destinazione di alta qualità che utilizzano la lingua, i loghi e i contenuti locali corretti.

Superamento delle Restrizioni di SMS

Darcula si allontana dalle tattiche basate sugli SMS e utilizza invece RCS (per Android) e iMessage (per iOS) per inviare ai destinatari messaggi con link verso l’URL di phishing. Questo approccio aumenta la probabilità che i destinatari percepiscano la comunicazione come legittima, affidandosi alle maggiori garanzie di sicurezza che non sono disponibili negli SMS.

Sfide e Limitazioni

Nonostante i vantaggi, l’utilizzo di RCS e iMessage presenta delle sfide per i cybercriminali, come il divieto da parte di Apple di account che inviano un alto volume di messaggi a più destinatari e le recenti restrizioni di Google che impediscono ai dispositivi Android con root di inviare o ricevere messaggi RCS. Per superare queste limitazioni, i criminali informatici creano più ID Apple e utilizzano farm di dispositivi per inviare un piccolo numero di messaggi da ciascun dispositivo.

Raccomandazioni per gli Utenti

Gli utenti dovrebbero trattare con sospetto tutti i messaggi in arrivo che li esortano a fare clic su URL, specialmente se il mittente non è riconosciuto. Indipendentemente dalla piattaforma o dall’app, gli attori delle minacce di phishing continueranno a sperimentare nuovi metodi di consegna. È consigliato prestare attenzione a errori grammaticali, offerte eccessivamente allettanti o richieste di azioni urgenti.

Prosegui la lettura

Notizie

Edge vulnerabilità consentiva installazioni occulte di estensioni dannose

Tempo di lettura: 2 minuti. Una vulnerabilità in Microsoft Edge avrebbe potuto permettere installazioni occulte di estensioni dannose, evidenziando preoccupazioni

Pubblicato

in data

Tempo di lettura: 2 minuti.

Una vulnerabilità di sicurezza, ora corretta, in Microsoft Edge avrebbe potuto permettere l’installazione silenziosa di estensioni arbitrarie, aprire le porte a possibili azioni dannose. Questa scoperta, fatta dal ricercatore di Guardio Labs Oleg Zaytsev, sfruttava impropriamente un’API privata inizialmente destinata per fini di marketing.

Breach nella sicurezza di Edge

La falla, identificata come con un punteggio CVSS di 6.5, è stata risolta da Microsoft nella versione stabile di Edge 121.0.2277.83 rilasciata il 25 gennaio 2024. Questo bug rappresentava una significativa preoccupazione per la sicurezza, poiché avrebbe potuto consentire a un attaccante di guadagnare i privilegi necessari per installare un’estensione nel browser, potenzialmente conducendo a una fuga dalla sandbox del browser.

Il problema risiedeva nell’API edgeMarketingPagePrivate di Edge, accessibile da un insieme di siti web autorizzati di proprietà di Microsoft. Tale API conteneva un metodo, installTheme(), progettato per installare un tema dallo store Edge Add-ons, ma a causa di una validazione insufficiente, era possibile per un attaccante fornire un identificativo di estensione qualsiasi e farlo installare in modo occculto.

Implicazioni e scenari di attacco

In uno scenario di attacco ipotetico, un attore di minaccia avrebbe potuto pubblicare un’estensione apparentemente innocua nello store di add-on e utilizzarla per iniettare codice JavaScript dannoso in siti come bing.com, che hanno accesso all’API. L’esecuzione dell’estensione mirata sul browser Edge e la visita a bing.com avrebbero automaticamente installato l’estensione selezionata senza il permesso della vittima.

Sebbene non ci siano prove che questa vulnerabilità sia stata sfruttata attivamente, sottolinea la necessità di bilanciare comodità dell’utente e sicurezza. La personalizzazione del browser può involontariamente annullare meccanismi di sicurezza, introducendo nuovi vettori di attacco.

Riflessioni finali

Questo caso evidenzia come sia relativamente facile per gli attaccanti ingannare gli utenti a installare un’estensione che sembra innocua, senza rendersi conto che potrebbe servire come primo passo in un attacco più complesso. La vulnerabilità avrebbe potuto essere sfruttata per facilitare l’installazione di ulteriori estensioni, potenzialmente per guadagno finanziario, aumentando l’importanza di una vigilanza continua nella gestione della sicurezza dei browser.

Prosegui la lettura

Notizie

CISA vulnerabilità in SharePoint e Apple rilascia aggiornamenti di sicurezza

Tempo di lettura: 1 minuto. CISA segnala vulnerabilità sfruttate in SharePoint ed Apple rilascia aggiornamenti di sicurezza per riparare Safari e macOS.

Pubblicato

in data

Tempo di lettura: 1 minuto.

La Cybersecurity and Infrastructure Security Agency (CISA) ha emesso un avviso per una vulnerabilità di SharePoint di Microsoft attivamente sfruttata che consente l’esecuzione di codice remoto (RCE), mentre Apple ha rilasciato aggiornamenti di sicurezza per una vulnerabilità in Safari e macOS che potrebbe permettere a un attaccante di prendere il controllo di un sistema.

Vulnerabilità in SharePoint di Microsoft

La vulnerabilità di SharePoint, tracciata come CVE-2023-24955, consente agli aggressori autenticati con privilegi di Proprietario del Sito di eseguire codice a distanza su server vulnerabili. Un’altra falla, CVE-2023-29357, permette agli attaccanti di ottenere privilegi di amministratore su server SharePoint vulnerabili bypassando l’autenticazione tramite token JWT falsificati. Queste due vulnerabilità possono essere combinate da aggressori non autenticati per ottenere l’esecuzione di codice remoto su server non aggiornati.

Un proof-of-concept (PoC) per CVE-2023-29357 è stato rilasciato su GitHub, rendendo questa catena di vulnerabilità più accessibile agli attaccanti, anche a quelli meno esperti. Di conseguenza, CISA ha incluso entrambe le vulnerabilità nel suo catalogo di vulnerabilità note ed è stata sfruttata, ordinando alle agenzie federali statunitensi di applicare le patch entro scadenze specifiche.

Aggiornamenti di Sicurezza per Safari e macOS

Parallelamente, Apple ha affrontato una vulnerabilità critica, identificata come CVE-2024-1580, in Safari e macOS che, se sfruttata, potrebbe consentire a un attore di minaccia di prendere il controllo di un sistema interessato. Gli utenti e gli amministratori sono incoraggiati a rivedere gli avvisi rilasciati e applicare gli aggiornamenti necessari per proteggere i loro dispositivi da potenziali compromissioni.

Significato per la sicurezza

Questi avvisi sottolineano l’importanza di mantenere i sistemi aggiornati e di implementare patch di sicurezza tempestivamente per difendersi dagli attacchi informatici. Le organizzazioni dovrebbero dare priorità a questi aggiornamenti per mitigare il rischio di compromissione dei dati e assicurarsi contro l’esposizione a vulnerabilità critica.

Prosegui la lettura

Facebook

CYBERSECURITY

Notizie4 minuti fa

Nuovo servizio Phishing “Darcula” mira gli utenti iPhone tramite iMessage

Tempo di lettura: 2 minuti. Il servizio di phishing Darcula rappresenta un'avanzata minaccia nel panorama della sicurezza informatica

Notizie17 ore fa

Edge vulnerabilità consentiva installazioni occulte di estensioni dannose

Tempo di lettura: 2 minuti. Una vulnerabilità in Microsoft Edge avrebbe potuto permettere installazioni occulte di estensioni dannose, evidenziando preoccupazioni

Notizie18 ore fa

India, malware HackBrowserData mira Difesa ed Energia

Tempo di lettura: 2 minuti. Un attacco di phishing utilizzando malware HackBrowserData mascherato da invito dell'Indian Air Force mira al...

Notizie2 giorni fa

Confermato: APT31 dietro al cyberattacco al Parlamento Finlandese del 2021

Tempo di lettura: 2 minuti. La polizia finlandese conferma che il gruppo APT31 del MSS cinese è responsabile della violazione...

Raspberry pi GEOBOX Raspberry pi GEOBOX
Notizie2 giorni fa

Raspberry Pi diventa uno strumento di frode con GEOBOX

Tempo di lettura: 4 minuti. GEOBOX trasforma Raspberry Pi in uno strumento di frode, complicando il tracciamento dei cybercriminali e...

CISA CISA
Notizie2 giorni fa

CISA mette in guardia sulle vulnerabilità Fortinet, Ivanti e Nice

Tempo di lettura: 2 minuti. CISA segnala l'attiva sfruttamento di vulnerabilità critiche nei prodotti Fortinet, Ivanti e Nice, sollecitando l'applicazione...

Notizie3 giorni fa

Discord ancora problemi: colpita la piattaforma BOT più importante

Tempo di lettura: 3 minuti. Hacker compromettono top.gg, la principale piattaforma di bot Discord, avvelenando il codice sorgente e sollevando...

CISA CISA
Notizie3 giorni fa

Nuove direttive CISA e FBI contro le vulnerabilità SQL

Tempo di lettura: 3 minuti. CISA e FBI esortano a eliminare le vulnerabilità all'iniezione SQL, sottolineando l'importanza delle pratiche di...

Notizie5 giorni fa

Sicurezza full-optional: garanzia di un Cloud di qualità

Tempo di lettura: 5 minuti. Gli ambienti IT, soprattutto se basati su Cloud, hanno un’estrema necessità di essere controllati, resi...

Mozilla Firefox Mozilla Firefox
Notizie5 giorni fa

Mozilla risolve due Zero-Day di Firefox sfruttati a Pwn2Own

Tempo di lettura: < 1 minuto. Mozilla risolve rapidamente due vulnerabilità zero-day di Firefox sfruttate durante Pwn2Own 2024, rafforzando la...

Truffe recenti

OSINT2 settimane fa

USA interviene per recuperare 2,3 Milioni dai “Pig Butchers” su Binance

Tempo di lettura: 2 minuti. Il Dipartimento di Giustizia degli USA interviene per recuperare 2,3 milioni di dollari in criptovalute...

dimarcoutletfirenze sito truffa dimarcoutletfirenze sito truffa
Inchieste1 mese fa

Truffa dimarcoutletfirenze.com: merce contraffatta e diversi dalle prenotazioni

Tempo di lettura: 2 minuti. La segnalazione alla redazione di dimarcoutletfirenze.com si è rivelata puntuale perchè dalle analisi svolte è...

sec etf bitcoin sec etf bitcoin
Economia3 mesi fa

No, la SEC non ha approvato ETF del Bitcoin. Ecco perchè

Tempo di lettura: 3 minuti. Il mondo delle criptovalute ha recentemente assistito a un evento senza precedenti: l’account Twitter ufficiale...

Notizie3 mesi fa

Europol mostra gli schemi di fronde online nel suo rapporto

Tempo di lettura: 2 minuti. Europol’s spotlight report on online fraud evidenzia che i sistemi di frode online rappresentano una grave...

Notizie4 mesi fa

Polizia Postale: attenzione alla truffa dei biglietti ferroviari falsi

Tempo di lettura: < 1 minuto. Gli investigatori della Polizia Postale hanno recentemente individuato una nuova truffa online che prende...

app ledger falsa app ledger falsa
Notizie5 mesi fa

App Falsa di Ledger Ruba Criptovalute

Tempo di lettura: 2 minuti. Un'app Ledger Live falsa nel Microsoft Store ha rubato 768.000 dollari in criptovalute, sollevando dubbi...

keepass pubblicità malevola keepass pubblicità malevola
Notizie5 mesi fa

Google: pubblicità malevole che indirizzano a falso sito di Keepass

Tempo di lettura: 2 minuti. Google ospita una pubblicità malevola che indirizza gli utenti a un falso sito di Keepass,...

Notizie5 mesi fa

Nuova tattica per la truffa dell’aggiornamento del browser

Tempo di lettura: 2 minuti. La truffa dell'aggiornamento del browser si rinnova, con i criminali che ora ospitano file dannosi...

Notizie6 mesi fa

Oltre 17.000 siti WordPress compromessi negli attacchi di Balada Injector

Tempo di lettura: 2 minuti. La campagna di hacking Balada Injector ha compromesso oltre 17.000 siti WordPress sfruttando vulnerabilità nei...

Truffe online6 mesi fa

ChatGPT cerca di ingannare cuori solitari appassionati di AI

Tempo di lettura: < 1 minuto. La truffa LoveGPT rappresenta una nuova minaccia nel mondo degli appuntamenti online, sfruttando l'AI...

Tendenza