Notizie
Checkpoint: Malware, RAT e vulnerabilità più diffuse nel mese di ottobre
Tempo di lettura: 7 minuti. AgentTesla è stato il malware più diffuso questo mese, con un impatto sul 7% delle organizzazioni in tutto il mondo, seguito da SnakeKeylogger con un impatto del 5% e da Lokibot con un impatto del 4%.
Check Point Research segnala un aumento significativo degli attacchi a Lokibot nel mese di ottobre, facendolo salire al terzo posto per la prima volta in cinque mesi. È stata rivelata per la prima volta una nuova vulnerabilità, Text4Shell, e AgentTesla ha conquistato il primo posto come malware più diffuso. Il nostro ultimo Global Threat Index di ottobre 2022 riporta che il keylogger AgentTesla ha conquistato il primo posto come malware più diffuso, con un impatto sul 7% delle organizzazioni in tutto il mondo. Si è registrato un aumento significativo del numero di attacchi da parte dell’infostealer Lokibot, che ha raggiunto il terzo posto per la prima volta in cinque mesi. Inoltre, è stata resa nota una nuova vulnerabilità, Text4Shell, che colpisce la libreria Apache Commons Text.
Lokibot è un infostealer di base progettato per raccogliere le credenziali da una varietà di applicazioni, tra cui: browser web, client di posta elettronica e strumenti di amministrazione IT. In quanto trojan, il suo obiettivo è quello di insinuarsi, senza essere individuato, in un sistema mascherandosi da programma legittimo. Può essere distribuito tramite e-mail di phishing, siti Web dannosi, SMS e altre piattaforme di messaggistica. Questo aumento di popolarità può essere spiegato dall’incremento delle campagne di spam incentrate su richieste di informazioni online, ordini e messaggi di conferma dei pagamenti.
Il mese di ottobre ha visto anche la divulgazione di una nuova vulnerabilità critica, Text4Shell (CVE-2022-42889). Basata sulla funzionalità di Apache Commons Text, consente di effettuare attacchi in rete, senza la necessità di privilegi specifici o di interazione con l’utente. Text4shell ricorda la vulnerabilità Log4Shell, che a distanza di un anno è ancora una delle principali minacce, al secondo posto nell’elenco di ottobre. Sebbene Text4Shell non sia entrata nella lista delle principali vulnerabilità sfruttate questo mese, ha già avuto un impatto su oltre l’8% delle organizzazioni in tutto il mondo e Check Point continuerà a monitorarne l’impatto.
Questo mese abbiamo assistito a molti cambiamenti nelle classifiche, con una nuova serie di famiglie di malware che compongono i tre principali. È interessante notare come Lokibot sia risalito così rapidamente al terzo posto, a dimostrazione di una tendenza crescente verso gli attacchi di phishing. Mentre ci avviamo verso il mese di novembre, periodo di grandi acquisti, è importante rimanere vigili e tenere d’occhio le e-mail sospette che potrebbero contenere codice maligno. Fate attenzione a segnali come un mittente sconosciuto, la richiesta di informazioni personali e link. In caso di dubbio, visitate direttamente i siti web e cercate le informazioni di contatto appropriate da fonti verificate, e assicuratevi di avere installato una protezione contro il malware.
La nostra ricerca ha anche rivelato che “Web Server Exposed Git Repository Information Disclosure” è la vulnerabilità sfruttata più comune, con un impatto sul 43% delle organizzazioni in tutto il mondo, seguita da vicino da “Apache Log4j Remote Code Execution”, con un impatto del 41%. Il mese di ottobre ha visto anche l’istruzione/ricerca rimanere al primo posto come settore più attaccato a livello globale.
Famiglie di malware più diffuse
*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.
↑ AgentTesla – AgentTesla è un RAT avanzato che funziona come keylogger e ruba informazioni. È in grado di monitorare e raccogliere gli input della tastiera della vittima, la tastiera del sistema, di scattare screenshot e di esfiltrare le credenziali di una serie di software installati sul computer della vittima (tra cui Google Chrome, Mozilla Firefox e Microsoft Outlook).
↑ SnakeKeylogger – SnakeKeylogger è un keylogger .NET modulare e ruba-credenziali individuato per la prima volta nel novembre 2020. La sua funzione principale è quella di registrare i tasti premuti dall’utente e trasmettere i dati raccolti agli attori delle minacce. Rappresenta una grave minaccia per la sicurezza online degli utenti, poiché questo malware può rubare tutti i tipi di informazioni sensibili ed è particolarmente elusivo.
↑Lokibot – Lokibot è un Infostealer distribuito principalmente tramite e-mail di phishing e viene utilizzato per rubare vari dati come le credenziali di posta elettronica, nonché le password dei portafogli di criptovalute e dei server FTP.
↑Icedid – IcedID è un Trojan bancario emerso per la prima volta nel settembre 2017. Si diffonde tramite campagne di spam via posta e spesso utilizza altri malware come Emotet per aiutarsi a proliferare. IcedID utilizza tecniche evasive come l’iniezione di processi e la steganografia. Ruba i dati finanziari degli utenti tramite attacchi di reindirizzamento (installando un proxy locale per reindirizzare gli utenti a siti falsi clonati) e attacchi di web injection.
↓ XMRig – XMRig è un software open-source per il mining della CPU utilizzato per la criptovaluta Monero. Gli attori delle minacce spesso abusano di questo software open-source integrandolo nel loro malware per condurre il mining illegale sui dispositivi delle vittime.
↓ Emotet – Emotet è un Trojan avanzato, autopropagante e modulare. Un tempo utilizzato come Trojan bancario, Emotet viene ora utilizzato anche come distributore di altri malware o campagne dannose. Utilizza molteplici tecniche di evasione per evitare il rilevamento. Inoltre, può essere diffuso attraverso e-mail di phishing spam contenenti allegati o link dannosi.
↓ Formbook – Formbook è un Infostealer che colpisce il sistema operativo Windows ed è stato rilevato per la prima volta nel 2016. È commercializzato come Malware as a Service (MaaS) nei forum di hacking underground per le sue forti tecniche di evasione e il prezzo relativamente basso. Formbook raccoglie le credenziali da vari browser web, raccoglie screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file in base agli ordini impartiti dal suo C&C.
↓ Ramnit – Ramnit è un trojan bancario modulare scoperto per la prima volta nel 2010. Ramnit ruba le informazioni della sessione web, consentendo ai suoi operatori di rubare le credenziali di accesso a tutti i servizi utilizzati dalla vittima, comprese le applicazioni bancarie e gli account aziendali e dei social network. Il trojan utilizza sia domini hardcoded sia domini generati da un DGA (Domain Generation Algorithm) per contattare il server C&C e scaricare moduli aggiuntivi.
↓ Vidar- Vidar è un Infostealer che colpisce i sistemi operativi Windows. Rilevato per la prima volta alla fine del 2018, è progettato per rubare password, dati delle carte di credito e altre informazioni sensibili da vari browser web e portafogli digitali. Vidar viene venduto su vari forum online e utilizzato come malware dropper per scaricare il ransomware GandCrab come payload secondario.
↔ Remcos- Remcos è un RAT che è apparso per la prima volta in natura nel 2016. Remcos si distribuisce attraverso documenti Microsoft Office dannosi, allegati a e-mail SPAM, ed è progettato per aggirare la protezione UAC di Microsoft Windows ed eseguire il malware con privilegi di alto livello.
I settori più attaccati a livello globale
Questo mese il settore dell’istruzione/ricerca rimane al primo posto come settore più attaccato a livello globale, seguito da quello governativo/militare e da quello sanitario.
Le vulnerabilità più sfruttate
“Web Server Exposed Git Repository Information Disclosure” è rimasta la vulnerabilità più sfruttata nel mese di ottobre, con un impatto sul 43% delle organizzazioni a livello globale. Segue “Apache Log4j Remote Code Execution” al secondo posto con un impatto del 41% e “HTTP Headers Remote Code Execution” al terzo posto con un impatto globale del 39%.
↔ Web Server Exposed Git Repository Information Disclosure – È stata segnalata una vulnerabilità nella divulgazione di informazioni in Git Repository. Lo sfruttamento riuscito di questa vulnerabilità potrebbe consentire la divulgazione involontaria di informazioni sull’account.
↔ Esecuzione di codice remoto di Apache Log4j (CVE-2021-44228) – Esiste una vulnerabilità nell’esecuzione di codice remoto in Apache Log4j. Lo sfruttamento riuscito di questa vulnerabilità potrebbe consentire a un aggressore remoto di eseguire codice arbitrario sul sistema interessato.
↑ Esecuzione di codice remoto da parte delle intestazioni HTTP (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Le intestazioni HTTP consentono al client e al server di passare informazioni aggiuntive con una richiesta HTTP. Un aggressore remoto può utilizzare un’intestazione HTTP vulnerabile per eseguire codice arbitrario sul computer della vittima.
↑ Server Web URL malevolo Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Esiste una vulnerabilità di directory traversal su diversi server Web. La vulnerabilità è dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URL per i modelli di attraversamento delle directory. Se sfruttata con successo, consente agli aggressori remoti non autenticati di divulgare o accedere a file arbitrari.
↓ Iniezione di comandi su HTTP (CVE-2021-43936,CVE-2022-24086) – È stata segnalata una vulnerabilità di iniezione di comandi su HTTP. Un attaccante remoto può sfruttare questo problema inviando una richiesta appositamente creata alla vittima. Uno sfruttamento riuscito consentirebbe a un aggressore di eseguire codice arbitrario sul computer di destinazione.
↔ MVPower DVR Remote Code Execution – Nei dispositivi MVPower DVR è presente una vulnerabilità nell’esecuzione di codice remoto. Un aggressore remoto può sfruttare questa debolezza per eseguire codice arbitrario nel router interessato tramite una richiesta artigianale.
↔ Divulgazione di informazioni dell’Easter Egg di PHP – È stata segnalata una vulnerabilità di divulgazione di informazioni nelle pagine PHP. La vulnerabilità è dovuta a una configurazione errata del server Web. Un utente remoto può sfruttare questa vulnerabilità inviando un URL appositamente creato a una pagina PHP interessata.
↑ Bypass dell’autenticazione del plugin WordPress portable-phpMyAdmin (CVE-2012-5469) – Esiste una vulnerabilità di bypass dell’autenticazione nel plugin WordPress portable-phpMyAdmin. Il corretto sfruttamento di questa vulnerabilità consentirebbe agli aggressori remoti di ottenere informazioni sensibili e di ottenere un accesso non autorizzato al sistema interessato.
↔ Bypass dell’autenticazione del router Dasan GPON (CVE-2018-10561)- Esiste una vulnerabilità di bypass dell’autenticazione nei router Dasan GPON. Lo sfruttamento riuscito di questa vulnerabilità consentirebbe agli aggressori remoti di ottenere informazioni sensibili e di accedere senza autorizzazione al sistema interessato.
↓ PHPUnit Command Injection (CVE-2017-9841) – Esiste una vulnerabilità di command injection in PHPUnit. Se questa vulnerabilità viene sfruttata con successo, gli aggressori remoti possono eseguire comandi arbitrari nel sistema interessato.
Le principali minacce informatiche mobili
Questo mese, Anubis ha mantenuto il primo posto come malware mobile più diffuso, seguito da Hydra e Joker.
Anubis – Anubis è un Trojan bancario progettato per i telefoni cellulari Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan per l’accesso remoto (RAT), le capacità di keylogger e di registrazione audio, nonché varie funzionalità di ransomware. È stato rilevato in centinaia di applicazioni diverse disponibili su Google Store.
Hydra – Hydra è un Trojan bancario progettato per rubare le credenziali finanziarie chiedendo alle vittime di abilitare autorizzazioni pericolose.
Joker – Joker è uno spyware Android presente in Google Play, progettato per rubare messaggi SMS, elenchi di contatti e informazioni sul dispositivo. Il malware può anche iscrivere la vittima a servizi premium a pagamento senza che questa ne sia a conoscenza.
Il Global Threat Impact Index di Check Point e la sua ThreatCloud Map sono alimentati dall’intelligence ThreatCloud di Check Point. ThreatCloud fornisce informazioni in tempo reale sulle minacce derivate da centinaia di milioni di sensori in tutto il mondo, su reti, endpoint e cellulari. L’intelligence è arricchita da motori basati sull’intelligenza artificiale e da dati di ricerca esclusivi di Check Point Research, la divisione di intelligence e ricerca di Check Point Software Technologies.
Notizie
Kapeka: nuova backdoor di Sandworm per l’Est Europa
Tempo di lettura: 3 minuti. Kapeka, nuova backdoor utilizzata da Sandworm in attacchi all’Europa orientale, con capacità avanzate di controllo e flessibilità operativa.
Una nuovo backdoor denominata “Kapeka” è stato individuato mentre veniva impiegato in attacchi mirati contro l’Europa orientale, inclusi Estonia e Ucraina. Questo malware, sviluppato dal gruppo di minaccia persistente avanzato (APT) collegato alla Russia, noto come Sandworm, ha mostrato capacità estremamente sofisticate nell’esecuzione di cyber-attacchi, secondo un rapporto di WithSecure.
Caratteristiche del Backdoor Kapeka
Kapeka è una backdoor flessibile scritta in C++ e confezionato come una DLL di Windows. È progettato per mascherarsi da componente aggiuntivo di Microsoft Word per sembrare legittimo e evitare il rilevamento. Il malware è dotato di una configurazione di comando e controllo (C2) incorporata che stabilisce contatti con server controllati dall’attaccante e ottiene istruzioni su come procedere.
Funzionalità del malware
Le funzionalità di Kapeka includono la capacità di leggere e scrivere file, lanciare payload, eseguire comandi shell e persino aggiornare o disinstallare se stesso. Utilizza l’interfaccia COM di WinHttp 5.1 per la comunicazione di rete e impiega il formato JSON per inviare e ricevere dati dal suo server C2. Il backdoor può anche aggiornare la propria configurazione C2 “al volo”, ricevendo una nuova versione dal server C2 durante il polling.
Metodi di propagazione e associazioni
La modalità esatta di propagazione di Kapeka non è ancora stata pienamente identificata, ma le analisi indicano che il dropper del malware viene recuperato da siti web compromessi utilizzando il comando certutil, un esempio di utilizzo di binari legittimi per eseguire attacchi (LOLBin). Kapeka è stato collegato a precedenti famiglie di malware come GreyEnergy e Prestige, suggerendo che potrebbe essere un successore di quest’ultimo, usato in intrusioni che hanno portato al dispiegamento del ransomware Prestige alla fine del 2022.
Implicazioni e significato
L’uso di Kapeka in operazioni di intrusione dimostra un’attività di livello APT, con un alto grado di stealth e sofisticazione, tipico di attacchi attribuibili a origini russe. La sua vittimologia sporadica e il targeting di specifiche regioni geopoliticamente sensibili come l’Europa orientale, evidenziano l’uso strategico di questo malware in operazioni di cyber spionaggio o sabotaggio.
Il backdoor Kapeka rappresenta una minaccia significativa per la sicurezza delle informazioni nelle aree colpite. Le organizzazioni in regioni potenzialmente a rischio dovrebbero rafforzare le loro difese e monitorare attivamente per rilevare segni di questo malware sofisticato, adottando misure proattive per proteggere i loro sistemi dagli attacchi.
APT44: pericolo globale del gruppo Sandworm
APT44, noto anche come Sandworm, è una delle unità di sabotaggio informatico più pericolose, attiva nell’ambito dei conflitti geopolitici a favore degli interessi russi. Questo gruppo è associato a numerosi attacchi di alto profilo e continua a rappresentare una minaccia elevata per governi e operatori di infrastrutture critiche a livello mondiale.
Caratteristiche e attività di APT44
APT44 è un gruppo avanzato di minaccia persistente (APT) che ha mostrato una capacità notevole e una tolleranza al rischio elevata nei suoi sforzi per supportare la politica estera russa. L’ampio mandato di questo gruppo lo rende una minaccia imprevedibile, pronta a colpire a breve termine ovunque i suoi obiettivi si allineino agli interessi nazionali russi.
Rischio di proliferazione di nuove tecniche
Le continue innovazioni di APT44 nell’uso di capacità cyber distruttive hanno potenzialmente abbassato la barriera all’ingresso per altri attori statali e non statali interessati a sviluppare i propri programmi di attacco informatico. Questo rischio di proliferazione è una preoccupazione crescente, poiché potrebbe portare a un aumento globale di attacchi cyber sofisticati e distruttivi.
Protezione e Azioni della Comunità
La ricerca di Google ha portato all’identificazione di varie misure per proteggere gli utenti e la comunità più ampia:
- Protezione attraverso Google’s Threat Analysis Group (TAG): I risultati della ricerca migliorano la sicurezza dei prodotti di Google.
- Aggiunte a Safe Browsing: I siti e i domini identificati sono stati aggiunti per proteggere gli utenti da ulteriori sfruttamenti.
- Allerte per attacchi supportati dal governo: Gli utenti di Gmail e Workspace coinvolti ricevono notifiche.
- Programmi di notifica delle vittime: Dove possibile, le vittime vengono informate tramite programmi dedicati.
- Risorse di VirusTotal: Una collezione di indicatori di compromissione legati ad APT44 è disponibile per gli utenti registrati.
Il continuo impegno di APT44 nel campo del cyber sabotage rappresenta una delle minacce più severe e pervasive a livello globale. È essenziale che la comunità internazionale rimanga vigile e preparata a fronteggiare le sfide poste da gruppi come Sandworm, specialmente in contesti geopolitici delicati.
Notizie
Miner di criptovalute arrestato per aver evaso pagamenti di Server Cloud per 3,5 Milioni di Dollari
Tempo di lettura: 2 minuti. Un miner di criptovalute è stato arrestato per aver evaso pagamenti per 3,5 milioni di dollari in servizi di server cloud
Charles O. Parks III, noto anche come “CP3O”, è stato arrestato e accusato di aver utilizzato server cloud noleggiati per minare criptovalute, causando un debito di 3,5 milioni di dollari con due fornitori di servizi cloud, senza mai saldare i conti.
Dettagli del caso
Parks ha ideato un sistema ingegnoso creando identità aziendali fittizie, come “MultiMillionaire LLC” e “CP30 LLC”, per aprire numerosi account presso fornitori di servizi cloud, ottenendo così accesso a una potenza computazionale significativa. Anche se il Dipartimento di Giustizia (DOJ) non ha nominato esplicitamente i fornitori coinvolti, le indicazioni geografiche suggeriscono che si tratti di Amazon e Microsoft, situati rispettivamente a Seattle e Redmond, Washington.
Metodologia e abuso
Utilizzando questi account, Parks è riuscito a ottenere l’accesso a server dotati di potenti schede grafiche, essenziali per il mining di criptovalute come Ether (ETH), Litecoin (LTC) e Monero (XMR). Ha lanciato decine di migliaia di queste istanze di server, utilizzando software di mining e strumenti per massimizzare l’efficienza energetica e monitorare l’attività di mining in varie pool.
Riciclaggio e lifestyle
Le criptovalute estratte venivano poi riciclate acquistando token non fungibili (NFT), convertendole e trasferendole su varie piattaforme di scambio di criptovalute, o attraverso pagamenti online e conti bancari tradizionali. I proventi, convertiti in dollari, erano utilizzati da Parks per finanziare uno stile di vita lussuoso, includendo viaggi in prima classe e l’acquisto di articoli di lusso e auto.
Implicazioni legali e prevenzione
Parks è stato arrestato il 13 aprile 2024 nel Nebraska, con una prima udienza programmata il giorno successivo in un tribunale federale di Omaha. L’imputazione include accuse di frode informatica, riciclaggio di denaro e transazioni monetarie illegali, con una pena massima prevista di 30 anni di prigione. Il caso evidenzia anche l’importanza per i fornitori di servizi cloud di adottare misure più rigorose per verificare l’identità degli utenti, stabilire limiti di uso per i nuovi account e migliorare i sistemi di rilevamento delle anomalie per minimizzare le perdite.
Questo caso di cryptojacking sottolinea la necessità di una vigilanza continua e di politiche più severe da parte dei fornitori di servizi cloud per prevenire abusi simili, proteggendo così l’integrità dei loro servizi e dei loro clienti.
Notizie
USA, arrestata per un’accusa di Sextortion da 1,7 Milioni di Dollari
Tempo di lettura: 2 minuti. Una donna del Delaware è stata arrestata per aver preso di mira giovani ragazzi in uno schema di sextortion che ha fruttato 1,7 milioni
Una donna del Delaware, Hadja Kone, è stata arrestata per il suo presunto coinvolgimento in un vasto schema internazionale di sextortion che ha mirato a giovani maschi, guadagnando circa 1,7 milioni di dollari tramite estorsioni. Questo caso sottolinea la crescente problematica della sextortion su Internet, che colpisce migliaia di giovani in tutto il mondo.
Dettagli del caso
Hadja Kone, 28 anni, è stata collegata a un’operazione che mirava principalmente a giovani uomini e minori negli Stati Uniti, Canada e Regno Unito. I truffatori si fingevano giovani donne attraenti online, iniziando conversazioni con le vittime e invogliandole a partecipare a sessioni di video chat dal vivo, durante le quali venivano registrate segretamente. Successivamente, le vittime venivano minacciate di diffondere i video a meno che non pagassero somme di denaro, generalmente tramite Cash App o Apple Pay.
Implicazioni Legali e Risposta delle Autorità
Kone e i suoi co-conspiratori sono accusati di cyberstalking, minacce interstatali, riciclaggio di denaro e frode via cavo. Siaka Ouattara, un altro presunto co-conspiratore di 22 anni dalla Costa d’Avorio, è stato arrestato dalle autorità ivoriane a febbraio. Se condannati, entrambi potrebbero affrontare fino a 20 anni di prigione per ciascun capo di imputazione.
Preoccupazioni crescenti e misure di prevenzione
Questo caso rientra in una tendenza allarmante di aumento dei casi di sextortion, specialmente tra i minori. Nel gennaio 2024, il FBI ha lanciato un avvertimento sulla crescente minaccia di sextortion, sottolineando che i giovani maschi di età compresa tra 14 e 17 anni sono particolarmente a rischio, ma qualsiasi bambino può diventare vittima. Piattaforme come Instagram e Snapchat hanno iniziato a implementare nuove protezioni e risorse educative per combattere la sextortion e proteggere i giovani utenti.
Il caso di Hadja Kone evidenzia l’importanza di una maggiore consapevolezza e educazione sulle pratiche di sicurezza online. Le piattaforme social stanno rispondendo con nuove misure, ma è essenziale che i genitori, gli educatori e i giovani stessi siano informati sui segni di avvertimento e sulle strategie di prevenzione della sextortion
- Inchieste2 settimane fa
Piracy Shield: Capitanio (AGCom) risponde alla nostra inchiesta
- Notizie2 settimane fa
NIS2: webinar gratuito rivolto alle imprese in balia del provvedimento
- Economia2 settimane fa
Amazon, licenziamenti nell’unità di cloud computing
- Economia2 settimane fa
TSMC riceve 11,6 miliardi e produrrà chip negli Stati Uniti
- Cyber Security1 settimana fa
Dove Studiare Sicurezza Informatica in Italia: Guida alle Migliori Opzioni
- Inchieste5 giorni fa
Banca Sella: il problema che i detrattori del Piracy Shield non dicono
- Notizie6 giorni fa
Australia ed USA arresti contro sviluppatori RAT Hive – Firebird
- Notizie6 giorni fa
Intensificazione delle operazioni di influenza digitale da parte di Cina e Corea del Nord