Connect with us
speciale truffe online

segnalaci un sito truffa

Notizie

Attenzione ai fogli Excel: APT diffonde malware tramite Office

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 4 minuti.

I ricercatori hanno scoperto che l’attore di spionaggio informatico UAC-0056, noto anche come SaintBear, UNC2589 e TA471, sta utilizzando un documento Excel macro-incorporato per colpire diverse entità in Ucraina, tra cui ICTV, un canale TV privato.

A differenza degli attacchi precedenti che cercavano di convincere le vittime ad aprire un URL e scaricare un payload di primo stadio o distribuire un falso software di traduzione, in questa campagna l’attore della minaccia sta utilizzando un attacco di spear-phishing che contiene documenti Excel macro-embedded“, riferiscono i ricercatori della società di cybersecurity Malwarebytes.

Il gruppo UAC-0056, che la società di cybersicurezza SentinelOne ha recentemente segnalato che stava prendendo di mira gli ucraini con un falso software di traduzione, è noto per aver eseguito un attacco wiper nel gennaio 2022 su più computer e siti web del governo ucraino.

In marzo Cert-UA ha riferito che il gruppo ha preso di mira le organizzazioni statali in Ucraina utilizzando impianti maligni chiamati GrimPlant, GraphSteel e CobaltStrike Beacon.

Il gruppo è anche noto per aver eseguito l’attacco dirompente WhisperGate contro le entità governative ucraine all’inizio del 2022.

Analisi tecnica

L’attacco inizia con una e-mail di phishing in cui un allegato di un documento dannoso contenente una macro dannosa lascia cadere un carico utile incorporato e poi ulteriori carichi utili vengono scaricati dal server dell’attaccante in formato Base64.

I ricercatori hanno osservato che le e-mail di phishing sono state distribuite almeno dal 23 al 28 marzo, con l’oggetto ‘arretrati salariali‘ e il corpo di tutte le e-mail contiene un messaggio simile: ‘Arretrati salariali. Aggiornato automaticamente. Si prega di inviare la vostra offerta per ridurre gli arretrati salariali“. Il documento allegato contiene un messaggio simile al corpo dell’email. “Questo documento contiene una macro incorporata che fa cadere il payload del primo stadio chiamato “base-update.exe“. Il payload è stato salvato in un “foglio molto nascosto” chiamato “SheetForAttachedFile“.

I ricercatori di Malwarebytes hanno scoperto che questo foglio contiene il nome del file, la data in cui il payload è allegato (21, marzo 2022), la dimensione del file e il contenuto del file allegato in formato hex.

La macro legge il contenuto del file incorporato nel foglio nascosto e lo scrive nella posizione definita per questo payload che è la directory “AppDataLocalTemp”. La macro utilizzata dall’attore è presa da un sito web che ha descritto e fornito il codice per un metodo per allegare ed estrarre i file da una cartella di lavoro Excel“.

Elephant Dropper

I ricercatori dicono che il dropper Elephant è l’eseguibile iniziale distribuito in questo attacco; è un semplice dropper che distribuisce ulteriori fasi. Questo dropper è scritto nel linguaggio di programmazione Go ed è firmato con un certificato Microsoft rubato.

Le stringhe nel binario suggeriscono che è stato effettivamente chiamato Elephant Dropper dagli stessi attaccanti“, dicono i ricercatori. “Controlla se la directory “C:Users{user}.java-sdkesiste sul sistema e la crea se non esiste. Le stringhe nel binario sono codificate e vengono decodificate solo quando devono essere utilizzate“.

Inoltre, il dropper decodifica l’indirizzo di comando e controllo da una stringa e poi scarica un binario codificato Base64 dal C2 e lo scrive in “C:Users{user}.java-sdkjava-sdk.exe”.

Elephant Downloader

Elephant Downloader è anche scritto nel linguaggio di programmazione Go e viene eseguito dal Dropper. Lo scopo di questo payload è quello di mantenere la persistenza e anche di distribuire le due fasi successive dell’attacco.

Le stringhe in questo eseguibile sono codificate nello stesso modo del Dropper. Si rende persistente attraverso la chiave di registro auto-run“, dicono i ricercatori. “Il downloader è responsabile per ottenere l’impianto e il client; i percorsi URL per i payloads sono memorizzati in forma codificata nel binario. Scarica l’impianto e il client“.

Nella fase successiva il downloader Elephant decodifica i nomi dei file che sono anche memorizzati in un formato codificato e crea un file. Il nome del file dell’impianto è oracle-java.exe e il client è microsoft-cortana.exe.

Elephant Implant, rintracciato anche come backdoor GrimPlant, sembra essere uno dei payload più importanti in questo attacco, dicono i ricercatori. Essi descrivono come comunica con il C2 sulla porta 80 e ottiene l’indirizzo C2 criptato dal suo processo genitore.

L’impianto fa uso di gRPC per comunicare con il C2, ha un certificato TLS incorporato nel binario e fa uso dell’integrazione SSL/TLS in gRPC. Questo permette al malware di crittografare tutti i dati che vengono inviati al C2 tramite gRPC“, dicono i ricercatori.

Inoltre, questo impianto utilizza la libreria MachineID per ricavare un id unico per ogni macchina e ottiene l’indirizzo IP della macchina facendo una richiesta a “https://api.ipify.org/“.

L’impianto raccoglie informazioni relative al sistema operativo in una funzione chiamata GetOSInfo, come parte di questo il malware raccoglie il nome dell’host, il nome del sistema operativo e il numero di CPU nel sistema e una funzione chiamata GetUserInfo raccoglie il nome, il nome utente e il percorso della directory Home dell’utente corrente.

Client Elephant

L’ultimo payload che i ricercatori hanno dettagliato è chiamato elephant_client dall’attore (rintracciato anche come backdoor GraphSteel). Questo payload finale è un ladro di dati, dicono i ricercatori.

Simile ad altri payload in questa catena di attacco, questo payload riceve il server C2 come parametro in formato Base64 che è il formato crittografato AES del server. Decodificando la stringa Base64 si ottiene l’indirizzo IP C2 in formato crittografato AES. L’attore usa una chiave per decifrare AES (modalità ECB-NoPadding) l’indirizzo C2“.

Una volta riuscita la connessione con il suo server C2, inizia a raccogliere dati ed esfiltrare nel server.

Inizialmente raccoglie informazioni di base sugli utenti e le invia al server. I dati raccolti sono codificati Base64 e includono hostname, nome del sistema operativo (windows), numero di CPU, indirizzo IP, nome, nome utente e directory home.

Una volta che questo è finito, il client cerca di rubare le credenziali dalla macchina della vittima. L’attore ruba i dati da questi servizi:

  • Credenziali del browser
  • informazioni WiFi
  • dati del gestore delle credenziali
  • account di posta
  • dati delle connessioni Putty
  • credenziali di Filezilla.


Commenti da Facebook

Notizie

BumbleBee rilevato dall’intelligenza artificiale di Darktrace

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

La società di sicurezza informatica Darktrace ha annunciato giovedì che la sua tecnologia AI è stata utilizzata da un importante rivenditore del Regno Unito per bloccare un attacco informatico da parte di “BumbleBee“, un nuovo caricatore di malware noto per essere utilizzato dai criminali informatici russi.

Da quando è stata adottata, l’intelligenza artificiale ad autoapprendimento di Darktrace ha stabilito una comprensione in evoluzione della “normalità” per le operazioni del rivenditore, che ha 20 anni, in modo da poter rilevare deboli indicatori di crimini informatici emergenti.

L’attacco di BumbleBee è avvenuto in aprile, alle prime ore del mattino.

L’intelligenza artificiale di Darktrace ha rilevato che un dispositivo interno comunicava in modo insolito con più endpoint esterni. L’intelligenza artificiale ha iniziato a indagare sull’attività in tempo reale e il team di sicurezza dell’azienda è stato avvisato dell’attività potenzialmente dannosa, consentendo di mettere offline il dispositivo compromesso prima che il malware potesse diffondersi nell’organizzazione.

“Negli ultimi mesi abbiamo assistito a una pericolosa impennata dell’attività dei payload di malware, in quanto gli aggressori cercano nuove tecniche in grado di evitare i metodi di rilevamento tradizionali”, ha dichiarato Toby Lewis, responsabile globale dell’analisi delle minacce di Darktrace.

Questi strumenti di attacco, in particolare le nuove varianti come BumbleBee, illustrano la necessità di una tecnologia all’avanguardia come l’IA, in grado di comprendere le sfumature di grigio in sistemi molto complessi”.

I difensori non dovrebbero aspettare il rilascio di indicatori e informazioni sulle minacce prima di essere in grado di rilevare e rispondere a questi attacchi“.

Il libro dei giochi informatici della Russia

La Russia è da tempo associata alla guerra informatica, come dimostra il gruppo di ransomware Conti che in aprile ha avuto accesso a diversi sistemi critici del ministero delle Finanze del Costa Rica.

Si ritiene che BumbleBee abbia sostituito il “BazarLoader” di Conti.

I loader sono in genere il primo stadio di un attacco informatico, in quanto offrono ai criminali informatici la possibilità di distribuire codice dannoso su scala e fungono da testa di ponte nelle reti compromesse per spingere altri malware, compresi i ransomware.

L’efflorescenza dei malfattori di malware ha agito da crogiolo per una nuova industria di sceriffi tecnologici che cercano di portare legge e ordine nel “web selvaggio“.

Commenti da Facebook
Prosegui la lettura

Notizie

Guerra Cibernetica: l’Ucraina ha una rete di attacchi DDoS automatici

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

L’esercito non ufficiale di vigilantes informatici dell’Ucraina ha sviluppato un nuovo strumento di attacco automatizzato per aumentare l’efficacia dei suoi attacchi informatici contro i domini russi.

Il suo “bot di automazione degli attacchi” è stato costruito per aiutare un maggior numero di persone a lanciare facilmente attacchi informatici DDoS (Distributed Denial of Service) contro la Russia. Il nuovo strumento incoraggia gli individui a donare le proprie risorse cloud al bot, che è in grado di lanciare un “attacco coordinato da tutti i server disponibili“.

Per eseguire tutti i nostri attacchi contemporaneamente consigliamo di utilizzare il nostro nuovo bot DDoS“, ha dichiarato il gruppo sul suo sito web. “Tutto ciò che serve è [inviare] le credenziali dei vostri server al nostro bot e controllare come sta andando [l’attacco] tramite il bot Telegram“.

Se lo desiderano, i sostenitori sono anche incoraggiati ad acquistare e condividere le credenziali di nuovi server che possono essere acquistati al solo scopo di rafforzare l’attacco della botnet.

Il gruppo organizzato di persone esperte di informatica che vogliono sostenere attivamente l’Ucraina da lontano è cresciuto di numero dall’inizio del conflitto. Il gruppo è riunito su Telegram e attualmente conta più di 270.000 membri.

I membri del gruppo ricevono quotidianamente istruzioni dai leader, complete di indirizzi IP, porte specifiche e domini web che devono essere presi di mira per disturbare il regime russo mentre la guerra continua.

In passato sono stati presi di mira organizzazioni di media, banche, compagnie aeree e app store.

Gli attacchi informatici russi contro l’Ucraina sono stati ampi e prolungati, iniziati settimane prima dello scoppio del conflitto.

L’alleanza di intelligence Five Eye ha confermato la scorsa settimana di ritenere con un alto grado di certezza che la Russia fosse dietro gli attacchi all’Ucraina nelle prime fasi della guerra.

I governi Five Eyes e degli Stati Uniti confermano finalmente che dietro gli attacchi informatici del governo ucraino e di Viasat c’è la Russia.


Gli attacchi DDoS raggiungono cifre record nel 2022 a seguito della guerra tra Russia e Ucraina

Gli attacchi ai siti web del governo ucraino a gennaio, che hanno comportato anche l’uso del malware distruttivo Whispergate, sono stati attribuiti al servizio di intelligence militare russo, il GRU, così come l’attacco del 24 febbraio alla società di comunicazioni Viasat.

L’attacco a Viasat è stato condotto un’ora prima che l’invasione russa dell’Ucraina diventasse ufficiale e in seguito si è scoperto che ha avuto effetti in tutta Europa, dato che anche i parchi eolici e i singoli utenti di Internet al di fuori dell’Ucraina hanno subito interruzioni.

Gli effetti collaterali dell’attacco Viasat sono stati l’esempio più viscerale degli “effetti di ricaduta” che, secondo molti esperti, avrebbero colpito l’Europa nella guerra in corso tra Russia e Ucraina nel cyberspazio.

La Russia ha una storia di attacchi devastanti all’Ucraina che risale a molti anni fa. Alcuni degli incidenti più significativi hanno riguardato l’uso del malware Petya e il ripetuto attacco alla rete elettrica del Paese, prima nel 2015, poi di nuovo nel 2016 e più recentemente nell’aprile 2022.

Commenti da Facebook
Prosegui la lettura

Notizie

Attacchi DDoS: l’italiana Teamsystem chiede aiuto agli israeliani di HUB

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

HUB Security ha annunciato oggi che il fornitore italiano di soluzioni software Teamsystem S.p.A. ha firmato un accordo con HUB per il lancio di D.Storm, la piattaforma di simulazione di attacchi DDoS di HUB per lo sviluppo e il test della sua strategia di remediation DDoS.

Attacco DDoS significa “Distributed Denial-of-Service (DDoS)” ed è un crimine informatico in cui l’attaccante inonda un server di traffico internet per impedire agli utenti di accedere ai servizi e ai siti online collegati.

Gli attacchi DDoS riusciti hanno un impatto monetario diretto e significativo sulle operazioni e sulle prestazioni finanziarie dell’azienda bersaglio. Gli attacchi DDoS sono diventati un metodo di attacco preferito, registrando un aumento del volume del 26% solo nel 2021.

Teamsystem è una società di software per la gestione di contabilità, paghe e tasse con 2.500 dipendenti, che serve un’ampia gamma di industrie italiane. Utilizzando D.Storm di HUB, l’azienda può ridurre significativamente la propria esposizione ai rischi informatici e adottare misure correttive per resistere a eventuali attacchi DDoS contro i propri silos di dati.

Molte importanti istituzioni finanziarie europee hanno già adottato la piattaforma D.Storm di HUB in risposta a un volume senza precedenti di attacchi DDoS, che hanno minacciato le organizzazioni di tutto il mondo con costose interruzioni delle loro attività. D.Storm automatizza una serie di simulazioni di attacchi DDoS in un ambiente controllato, consentendo alle aziende di identificare le vulnerabilità della loro infrastruttura informatica utilizzando protocolli di attacco che imitano i metodi reali utilizzati dai criminali informatici. Per saperne di più su D.Storm.

Cosa è DDoS

Informazioni su Teamsystem S.p.A.

TeamSystem è un’azienda tecnologica italiana leader nella fornitura di soluzioni di gestione digitale del business per aziende e professionisti (commercialisti, consulenti, avvocati, amministratori di condominio). Nel 2021 il Gruppo ha registrato un fatturato di 545 milioni di euro. TeamSystem ha una rete di oltre 550 software partner e uffici diretti, che servono oltre 1,7 milioni di clienti che operano su piattaforme digitali proprietarie e su Cloud.

TeamSystem impiega più di 2500 persone, costantemente impegnate nella ricerca, per sviluppare soluzioni avanzate e all’avanguardia secondo le più recenti norme e variazioni di legge.

Commenti da Facebook
Prosegui la lettura

Facebook

CYBERWARFARE

Notizie6 ore fa

Guerra Cibernetica: l’Ucraina ha una rete di attacchi DDoS automatici

Tempo di lettura: 2 minuti. Condividi questo contenutoL’esercito non ufficiale di vigilantes informatici dell’Ucraina ha sviluppato un nuovo strumento di...

Notizie16 ore fa

C’è censura nella guerra cibernetica occidentale? Altra conferma USA all’analisi di Matrice Digitale

Tempo di lettura: 5 minuti. Condividi questo contenutoSi pubblica un articolo dell’European Leadership Network tradotto dalla redazione dove non solo...

Notizie1 giorno fa

Killnet attacchi DDoS a siti aeroporti e Ministero Difesa

Tempo di lettura: < 1 minuto. Accusa ai media italiani per diffondere notizie false

Notizie1 giorno fa

Giustozzi a Repubblica conferma le analisi di Matrice Digitale su Killnet e la fuffa

Tempo di lettura: < 1 minuto. Basterà a cambiare la narrazione propagandistica sulla guerra cibernetica

Multilingua2 giorni fa

Killnet: “DDoS all’Italia”. Polizia Postale “contiene” attacchi informatici

Tempo di lettura: < 1 minuto. Condividi questo contenutoKillnet aveva annunciato un attacco hacker a vari portali istituzionali italiani e così...

DeFi2 giorni fa

Costa Rica messa in ginocchio da Conti. Preoccupazione per i fondi USA del paese

Tempo di lettura: 2 minuti. Condividi questo contenutoIl numero di istituzioni costaricane colpite da un’ondata di attacchi informatici nell’ultimo mese...

Notizie4 giorni fa

Finlandia e Svezia nella NATO: paura per escalation di attacchi cibernetici

Tempo di lettura: 3 minuti. Condividi questo contenutoL’adesione di Finlandia e Svezia alla NATO ha sollevato preoccupazioni per le potenziali...

Notizie4 giorni fa

Pegasus, Johnson è stato intercettato dagli Emirati

Tempo di lettura: < 1 minuto. Condividi questo contenutoUn’importante indagine sull’uso del software spia israeliano Pegasus da parte dei governi...

Notizie5 giorni fa

Anonymous attacca Killnet e vendica l’Italia: buttato giù il sito della Polizia di Mosca

Tempo di lettura: 2 minuti. Condividi questo contenutoIl collettivo Anonymous Italia ha vendicato l’attacco alla Polizia da parte di Killnet...

Notizie5 giorni fa

Iran, APT34 attacca la Giordania

Tempo di lettura: 2 minuti. Condividi questo contenutoI ricercatori di Cybersecurity di Malwarebytes hanno dichiarato di aver scoperto un’e-mail dannosa...

Truffe recenti

Notizie2 settimane fa

Truffa Instagram: come funziona lo schema Ponzi di Meta che sta rubando i profili

Tempo di lettura: 2 minuti. Condividi questo contenutoIn questi giorni molti utenti sono stati vittime della truffa Instagram. In cosa...

Notizie3 settimane fa

Truffa sms di Poste Italiane. Analisi di un altro caso di phishing

Tempo di lettura: 2 minuti. Condividi questo contenutoIn questo periodo sono frequenti gli sms che propongono messaggi inerenti i servizi...

Notizie3 settimane fa

Truffa su WhatsApp attenzione al finto call center di supporto. Ecco cosa fare

Tempo di lettura: 2 minuti. Condividi questo contenutoGli utenti di WhatsApp devono fare attenzione a un pericoloso messaggio di truffa...

DeFi3 settimane fa

Truffa sulle criptovalute: come evitare di essere la prossima vittima

Tempo di lettura: < 1 minuto. Condividi questo contenutoL’arma migliore per combattere le frodi è una sana dose di scetticismo....

scam scam
DeFi3 settimane fa

Call Center truffa per trading di criptovalute: scam di 22 milioni di dollari

Tempo di lettura: 2 minuti. Condividi questo contenutoEurojust ed Europol hanno smantellato uno schema di frode online per investimenti in...

DeFi3 settimane fa

La truffe sulle criptovalute sono in aumento. Quali sono le più comuni?

Tempo di lettura: 2 minuti. Condividi questo contenutoI truffatori sono maestri nell’usare eventi attuali e tendenze frizzanti per ingannare le...

smishing smishing
Notizie4 settimane fa

Smishing INFOPOSTE: il suo conto verrà sospeso

Tempo di lettura: < 1 minuto. Allarme smishing : In arrivo una nuova ondata di SMS truffa che hanno lo...

Tech4 settimane fa

Crescono le truffe su Instagram: cosa fare e come prevenire il furto degli account

Tempo di lettura: 2 minuti. Condividi questo contenutoGli esperti di sicurezza hanno avvertito miliardi di utenti di Instagram che i...

DeFi4 settimane fa

Metamask, Attenzione alla truffa su Apple. A rischio i portafogli di criptovalute

Tempo di lettura: 2 minuti. Condividi questo contenutoRecentemente sono state registrate molte truffe e schemi di phishing che circondano gli...

Inchieste3 mesi fa

Vinted: attenti alla truffa che chiede di confermare i dati della carta di credito

Tempo di lettura: 2 minuti. Condividi questo contenutoTramite il nostro form di segnalazione delle truffe, abbiamo ricevuto la denuncia di...

Tendenza