Notizie
EvilProxy, un nuovo Phishing-as-a-service è apparso sul Dark Web
Tempo di lettura: 2 minuti. All’inizio di maggio 2022, gli sviluppatori di EvilProxy hanno pubblicato un video che dimostrava come potesse essere utilizzato per inviare sofisticati link di phishing destinati a compromettere gli account degli utenti di aziende note come Apple, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, Twitter, Yahoo, Yandex e altre.
All’indomani del recente hack di Twilio, che ha portato alla divulgazione dei codici 2FA (OTP), i criminali informatici continuano a migliorare i loro strumenti di attacco per preparare complesse campagne di phishing rivolte a persone di tutto il mondo.
Un nuovissimo Phishing-as-a-Service (PhaaS) chiamato EvilProxy è stato recentemente scoperto da Resecurity e pubblicizzato sul Dark Web. Altre fonti sostengono che Moloch, un nome diverso per l’attaccante, sia legato a un toolkit di phishing sviluppato da diversi noti operatori underground che in passato hanno preso di mira istituzioni finanziarie e il settore dell’e-commerce.
Anche se il problema di Twilio è legato solo alla catena di approvvigionamento, un servizio clandestino prodotto come EvilProxy consente agli attori delle minacce di attaccare gli utenti con MFA abilitato sulla più ampia scala senza dover compromettere i servizi a monte. Mentre gli attacchi contro gli obiettivi a valle sono inevitabili a causa delle vulnerabilità della sicurezza informatica.
Gli attori di EvilProxy utilizzano tecniche di Reverse Proxy e Cookie Injection per bypassare l’autenticazione 2FA tramite il proxy della sessione della vittima. Ciò evidenzia l’importanza di un aumento degli assalti ai servizi online e alle procedure di autorizzazione MFA. Queste tattiche sono state utilizzate in precedenza in operazioni mirate da gruppi APT e di cyber-spionaggio, ma ora sono state monetizzate con successo da EvilProxy.
Grazie alle continue indagini sugli esiti degli attacchi contro numerose persone di aziende Fortune 500, Resecurity è riuscita a scoprire molte cose su EvilProxy, tra cui la sua struttura, i suoi moduli, le sue funzionalità e l’infrastruttura di rete utilizzata per eseguire le azioni dannose. Gli attacchi agli utenti di Google e Microsoft che hanno attivato l’MFA sui loro account, tramite SMS o Application Token, sono stati collegati alle prime segnalazioni di EvilProxy.
Twilio sotto attacco SMS Phishing mirato ai dipendenti
Violazione di Twilio e Cloudflare: Okta è responsabile
Notizie
APT29 Utilizza WINELOADER per Colpire i Partiti Politici Tedeschi
Tempo di lettura: 2 minuti. Google Mandiant effettua un’analisi dell’attacco di Cozy Bear, APT 29, ai partiti tedeschi con attività di cyberspionaggio
Il gruppo di minaccia persistente avanzata (APT) conosciuto come APT29, associato al servizio di intelligence estero russo (SVR), ha esteso le sue operazioni di cyber spionaggio includendo i partiti politici tedeschi nel suo elenco di bersagli. Questo sviluppo rappresenta una deviazione significativa dalle tradizionali attività di spionaggio diplomatico di APT29, riflettendo l’interesse di Mosca nel raccogliere informazioni che possano favorire i suoi interessi geopolitici.
Contesto e Strategie di Attacco
L’utilizzo del malware di primo stadio, ROOTSAW, è al centro degli sforzi di APT29 per ottenere l’accesso iniziale e raccogliere intelligence politica estera. Le operazioni di consegna di malware sono altamente adattive e continuano a evolversi in parallelo con le realtà geopolitiche della Russia. Si sospetta che l’interesse di APT29 non sia limitato alla Germania, ma possa estendersi ai partiti politici occidentali e ai loro corpi associati, data l’importanza vitale per Mosca di comprendere le dinamiche politiche occidentali legate all’Ucraina e ad altre questioni critiche di politica estera.
Le recenti attività di altri sottogruppi di APT29 indicano che i tentativi di ottenere l’accesso iniziale oltre al phishing potrebbero includere tentativi di sovvertire i meccanismi di autenticazione basati su cloud o metodi di forza bruta come lo spraying di password. Per maggiori dettagli sulle recenti tattiche di APT29, si rimanda all’avviso di febbraio 2024 del National Cyber Security Center (NCSC) del Regno Unito.
Dettagli tecnici dell’Attacco
A partire dal 26 febbraio 2024, APT29 ha distribuito allegati di phishing contenenti link a un sito web compromesso controllato dagli attori, “waterforvoiceless[.]org/invite.php”, per reindirizzare le vittime a un dropper ROOTSAW. Questa variante di ROOTSAW utilizza la stessa risorsa di offuscamento JavaScript impiegata in precedenti operazioni di APT29, risultando infine in una richiesta di scaricare ed eseguire la seconda fase WINELOADER dallo stesso server su “waterforvoiceless[.]org/util.php”.
Il payload di ROOTSAW contiene un payload JSObfuscated che, una volta analizzato, risulta nel codice responsabile dello scaricamento di un file sul disco come “invite.txt”, decodificandolo tramite Windows Certutil e decomprimendolo usando tar. Infine, viene eseguito il binario legittimo di Windows (SqlDumper.exe) dagli attori.
Queste operazioni evidenziano l’evoluzione continua delle strategie di APT29 e l’ampio raggio di obiettivi presi di mira, sottolineando l’importanza di mantenere elevate misure di sicurezza informatica e consapevolezza delle minacce per proteggere dati sensibili e infrastrutture critiche.
Notizie
ZenHammer: nuova minaccia alle difese Rowhammer su CPU AMD
Tempo di lettura: 2 minuti. ZenHammer: nuova minaccia alle difese Rowhammer su CPU AMD Zen 2 e Zen 3 dopo la prima scoperta che risale al 2014
Ricercatori in cybersecurity dell’ETH Zurigo hanno sviluppato una nuova variante dell’attacco RowHammer, chiamata ZenHammer, che riesce a colpire i sistemi AMD Zen 2 e Zen 3 nonostante le mitigazioni come il Target Row Refresh (TRR). Questo risultato dimostra che i sistemi AMD sono vulnerabili a Rowhammer tanto quanto quelli Intel, aumentando notevolmente la superficie di attacco data la quota di mercato di AMD.
Caratteristiche di ZenHammer
ZenHammer può anche innescare per la prima volta bit flip RowHammer su dispositivi DDR5. RowHammer, reso pubblico nel 2014, sfrutta l’architettura delle celle di memoria DRAM per alterare i dati attraverso l’accesso ripetuto a una riga specifica, causando perdite di carica elettrica alle celle adiacenti. Questo può indurre inversioni casuali di bit nelle righe di memoria vicine, alterando i contenuti della memoria e potenzialmente facilitando l’escalation dei privilegi.
Superamento delle difese TRR
ZenHammer, come TRRespass e SMASH, elude le barriere di TRR invertendo le funzioni segrete degli indirizzi DRAM nei sistemi AMD e adottando una sincronizzazione e pianificazione dei refresh migliorata per innescare bit flip. Lo studio ha anche individuato una sequenza di istruzioni di martellamento ottimale per facilitare un martellamento più efficace.
ZenHammer ha la particolarità di essere il primo metodo in grado di innescare bit flip su sistemi dotati di chip DDR5 sulla piattaforma microarchitetturale Zen 4 di AMD, anche se funziona solo su uno dei 10 dispositivi testati (Ryzen 7 7700X). È interessante notare che i moduli DRAM DDR5 erano considerati immuni agli attacchi RowHammer a causa della sostituzione di TRR con una nuova forma di protezione chiamata gestione del refresh.
Implicazioni e futuri studi
Data la mancanza di bit flip su nove dei 10 dispositivi DDR5, è necessario ulteriore lavoro per comprendere meglio le potenziali nuove mitigazioni RowHammer e le loro garanzie di sicurezza. AMD ha dichiarato di essere in fase di valutazione delle inversioni di bit RowHammer sui dispositivi DDR5 e fornirà un aggiornamento al termine dell’analisi.
Questo sviluppo sottolinea l’importanza di continuare a valutare e rafforzare le difese contro gli attacchi RowHammer, in particolare alla luce delle innovazioni tecnologiche e dei cambiamenti nell’architettura DRAM.
Notizie
Riconoscimento facciale a Gaza: Israele usa la tecnologia di Corsight
Tempo di lettura: 3 minuti. In pochi mesi, Israele ha sviluppato un applicativo di riconoscimento facciale per Gaza grazie a Corsight che sfrutta Google Photos
Israele ha implementato un vasto programma di riconoscimento facciale nella Striscia di Gaza, generando un database di Palestinesi senza il loro consenso che usa la tecnologia di Google Photos e uno strumento personalizzato sviluppato da Corsight, azienda con sede a Tel Aviv, per identificare individui affiliati a Hamas.
Implementazione e Finalità
Il sistema di riconoscimento facciale di Corsight è stato sviluppato in concomitanza con l’offensiva militare israeliana a Gaza, seguendo gli attacchi del 7 ottobre. Gli ufficiali dell’Unità 8200 dell’esercito israeliano hanno individuato potenziali obiettivi analizzando le riprese delle telecamere di sicurezza e i video caricati sui social media da Hamas, oltre a interrogare prigionieri palestinesi.
Corsight afferma che la sua tecnologia può identificare accuratamente le persone anche se meno del 50% del loro volto è visibile. Queste immagini sono state utilizzate per costruire uno strumento di riconoscimento facciale per gli ufficiali israeliani in Gaza. Per ampliare il database e identificare potenziali obiettivi, l’esercito israeliano ha installato checkpoint con telecamere di riconoscimento facciale lungo le principali vie di fuga verso sud, con l’intento di creare una “lista di colpiti” per coloro che hanno partecipato agli attacchi del 7 ottobre.
Problemi di Accuratezza
Tuttavia, la tecnologia di Corsight non è sempre stata precisa nell’effettuare il riconoscimento facciale nella Striscia di Gaza, specialmente quando si basava su riprese di scarsa qualità o foto in cui i volti erano oscurati. In alcuni casi, lo strumento ha identificato erroneamente persone come affiliate a Hamas. Un esempio riguarda il poeta palestinese Mosab Abu Toha, che è stato fermato e detenuto per due giorni senza spiegazioni prima di essere rilasciato.
Uso di Google Photos
Oltre alla tecnologia di Corsight, l’esercito israeliano ha integrato Google Photos, che viene utilizzato gratuitamente, per caricare database di “persone note” e utilizzare la funzione di ricerca fotografica per ulteriori identificazioni. Secondo un ufficiale, Google Photos è risultato più efficace di altri strumenti, inclusa la tecnologia di Corsight, nel riconoscere persone da porzioni limitate del volto.
Altre Applicazioni di Corsight
Corsight si concentra principalmente su usi governativi, per l’applicazione della legge e militari. La tecnologia è stata impiegata anche in alcuni ospedali israeliani per identificare pazienti, e Corsight ha lavorato con la polizia metropolitana di Bogotá, in Colombia, per rintracciare sospetti di omicidi e furti nel sistema di trasporto pubblico.
Questo utilizzo della tecnologia di riconoscimento facciale solleva preoccupazioni significative riguardo alla privacy, al consenso e all’accuratezza del riconoscimento, mettendo in luce le complesse questioni etiche legate all’uso della sorveglianza biometrica in contesti di conflitto.
Cos’è Corsight? Di cosa si occupa?
Corsight è un’azienda specializzata nello sviluppo di tecnologie avanzate nel campo del riconoscimento facciale. La loro piattaforma di intelligenza facciale è progettata per fornire a imprese e forze dell’ordine intuizioni uniche e allarmi in tempo reale, consentendo il riconoscimento di persone di interesse sotto varie condizioni di illuminazione e angolazioni, persino quando più del 50% del viso è coperto o nascosto.
Corsight sottolinea l’efficacia della sua tecnologia anche in scenari complessi, dove altri sistemi potrebbero non riuscire, affermando che la loro soluzione può riconoscere individui con un alto grado di accuratezza. Questa capacità rende la piattaforma di Corsight particolarmente adatta per applicazioni in settori critici come la sicurezza, il retail, il controllo degli accessi e altro ancora, offrendo la possibilità di migliorare l’esperienza del cliente, prevenire frodi e garantire sicurezza.
“La missione di Corsight è di creare una tecnologia di riconoscimento facciale all’avanguardia che sia allo stesso tempo efficace e rispettosa dei principi etici e della privacy degli individui“, Aspetto particolarmente importante data la natura invasiva potenziale di tali tecnologie e che l’azienda non ha esitato ad utilizzare per scopi militari contro la popolazione palestinese.
- Economia1 settimana fa
Calo vendite smartphone: luce in fondo al tunnel
- L'Altra Bolla1 settimana fa
Con YouTube è possibile etichettare contenuti generati dall’AI
- L'Altra Bolla1 settimana fa
Telegram raccoglie $330 Milioni mentre X affronta problemi di Shadowbanning
- L'Altra Bolla1 settimana fa
Meta riduce costo abbonamento
- Inchieste6 giorni fa
Elezioni: Google finanzia il Ministero della Verità, Meta alle prese con i Watermark AI
- Economia1 settimana fa
Broadcom “ricatta” i servizi cloud europei ed interrompe i contratti. Si muove il CISPE
- Notizie5 giorni fa
Sicurezza full-optional: garanzia di un Cloud di qualità
- Economia1 settimana fa
Svolta IA in Microsoft e Google Deep Mind: entrano Mustafa Suleyman e Liz Reid