Connect with us
speciale truffe online

segnalaci un sito truffa

Notizie

Guerra Cibernetica, Nord Corea: attacco di capodanno alla Russia

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Non esistono solo i russi nel mondo degli APT come raccontato nella nostra rubrica Guerra Cibernetica. Un gruppo di spionaggio informatico nordcoreano di nome Konni è stato collegato a una serie di attacchi mirati diretti al Ministero degli Affari Esteri della Federazione Russa (MID) con esche a tema “Capodanno” per compromettere i sistemi Windows con malware. “Questo gruppo di attività dimostra la natura paziente e persistente di attori avanzati nel condurre campagne multifase contro reti percepite di alto valore“, hanno affermato i ricercatori dei Black Lotus Labs di Lumen Technologies in un’analisi rilasciata in esclusiva a The Hacker News.

È noto che le tattiche, le tecniche e le procedure (TTP) del gruppo Konni si sovrappongono agli attori delle minacce appartenenti al più ampio ombrello Kimsuky, che viene anche monitorato dalla comunità della sicurezza informatica sotto i moniker Velvet Chollima, ITG16, Black Banshee e Thallium.

Gli attacchi più recenti hanno coinvolto l’attore nell’ottenere l’accesso alle reti di destinazione tramite credenziali rubate, sfruttando il punto d’appoggio per caricare malware a scopo di raccolta di informazioni, con i primi segni dell’attività documentata da MalwareBytes nel luglio 2021.

Si ritiene che le successive iterazioni della campagna di phishing si siano svolte in tre ondate: la prima a partire dal 19 ottobre 2021 per raccogliere le credenziali dal personale MID, seguita dall’utilizzo di esche a tema COVID-19 a novembre per installare una versione canaglia del mandato russo software di registrazione delle vaccinazioni che fungeva da caricatore per carichi utili aggiuntivi.

I tempi di questa attività sono strettamente allineati con l’approvazione delle leggi sul passaporto russo per i vaccini che obbligavano i russi a ricevere un codice QR dal governo per dimostrare la vaccinazione al fine di accedere a luoghi pubblici come ristoranti e bar“, hanno osservato i ricercatori.

Il terzo attacco, confermato anche da Cluster25 all’inizio di questa settimana, è iniziato il 20 dicembre 2021, utilizzando i festeggiamenti di Capodanno come tema di spear-phishing per innescare una catena di infezioni in più fasi che è culminata nell’installazione di un trojan di accesso remoto chiamato Konni RATTO.

Nello specifico, le intrusioni sono emerse compromettendo dapprima l’account di posta elettronica appartenente a un membro del personale del MID, dal quale sono state inviate e-mail ad almeno altre due entità MID, tra cui l’ambasciata russa in Indonesia e Sergey Alexeyevich Ryabkov, un vice ministro che sovrintende proliferazione e controllo degli armamenti.

Le missive e-mail apparentemente propagavano un messaggio di “Felice anno nuovo“, solo per contenere un allegato salvaschermo trojanizzato progettato per recuperare ed eseguire eseguibili di fase successiva da un server remoto. La fase finale dell’attacco è il dispiegamento del trojan Konni RAT, che effettua la ricognizione della macchina infetta ed esfiltra le informazioni raccolte sul server.

Sebbene questa particolare campagna fosse altamente mirata, è fondamentale che i difensori comprendano le capacità in evoluzione degli attori avanzati per raggiungere l’infezione di obiettivi ambiti“, ha affermato il ricercatore, esortando le organizzazioni a prestare attenzione alle e-mail di phishing e utilizzare l’autenticazione a più fattori per proteggere conti.

Commenti da Facebook

Notizie

Linux è più sicuro? Scoperto malware dopo 5 anni. Anche su BSD

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: < 1 minuto.

BleepingComputer riporta che i sistemi Linux e Solaris sono stati presi di mira dal malware backdoor BPFdoor per oltre cinque anni senza essere individuati. Utilizzando uno sniffer Berkeley Packet Filter, si è scoperto che BPFdoor non rispetta alcuna regola del firewall. Secondo Craig Rowland, fondatore di Sandfly Security, il malware backdoor, che potrebbe essere portato anche su BSD, avvia azioni anti-forensi e altera le regole “iptables“, oltre a rinominare e modificare i dati del binario prima dell’eliminazione nel tentativo di eludere meglio il rilevamento.

Un rapporto separato del ricercatore di sicurezza Kevin Rowland ha rivelato che l’impianto BPFdoor è controllato da una password “magica“, con dati e password “magici” nei pacchetti TCP e UDP che consentono l’esecuzione di comandi. Secondo il rapporto, gli Stati Uniti, l’India, la Corea del Sud, la Turchia, Hong Kong, il Vietnam e il Myanmar sono stati i paesi maggiormente presi di mira dal malware. Nel frattempo, i ricercatori di PricewaterhouseCoopers hanno attribuito BPFdoor all’attore cinese Red Menshen, che ha sfruttato il malware in attacchi contro organizzazioni asiatiche e mediorientali.

Commenti da Facebook
Prosegui la lettura

Notizie

Pegasus: è un’arma dell’FBI. NSO Group l’ha venduto agli americani

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Un rapporto condiviso dal New York Times afferma che l’FBI ha acquistato Pegasus per raccogliere dati da dispositivi mobili. Sebbene l’FBI si sia difesa affermando che si tratta di operazioni regolari e non di spionaggio, il tribunale ha ordinato all’FBI di produrre tutti i documenti pertinenti per studiare in futuro il coinvolgimento dell’agenzia.

L’FBI acquista Pegasus per la raccolta di dati

Pegasus, software spia che ha fatto ampiamente parlare di sé negli ultimi due anni, si è ripresentato con collegamenti all’FBI statunitense. All’inizio di quest’anno, il New York Times ha riportato che l’FBI 2018 ha acquistato lo strumento Pegasus dal gruppo NSO, con l’autorizzazione del governo israeliano.

Trattandosi di uno strumento sensibile, il governo israeliano ha imposto delle restrizioni a NSO Group per quanto riguarda la distribuzione del suo spyware. Qualsiasi vendita al governo straniero deve avvenire previa approvazione del governo israeliano.

E in una lettera di richiesta datata dicembre 2018, in cui l’FBI ha fatto al governo israeliano ha detto che voleva Pegasus per la raccolta di dati da dispositivi mobili per la prevenzione e l’investigazione di crimini e terrorismo, nel rispetto della privacy e delle leggi sulla sicurezza nazionale“.

L’FBI ha pagato 5 milioni di dollari per questo strumento e ha detto che serve per aiutare le indagini in corso. Poiché si trattava di una violazione della privacy, il New York Times ha fatto causa all’FBI in base al Freedom of Information Act. L’FBI ha dichiarato alla corte che l’acquisto è stato fatto principalmente per testare e valutare lo strumento e per sapere come lo usano gli avversari.

In un’audizione al Congresso a marzo, Christopher A. Wray, direttore dell’FBI, ha dichiarato di aver acquistato questo strumento con una “licenza limitata” e “come parte delle nostre responsabilità di routine (dell’FBI) per valutare le tecnologie che sono là fuori, non solo dal punto di vista della possibilità di usarle un giorno legalmente, ma anche, cosa più importante, quali sono i problemi di sicurezza sollevati da quei prodotti“.

Il tribunale ha ora chiesto all’FBI di produrre tutti i documenti relativi a questo acquisto e al suo utilizzo, con una scadenza fissata al 31 agosto. Finora, gli avvocati dell’FBI hanno dichiarato di aver individuato più di 400 pagine di documenti da presentare alla corte.

Commenti da Facebook
Prosegui la lettura

Notizie

Telegram: attenzione al malware Eternity

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

I criminali informatici stanno promuovendo una nuova offerta modulare di malware-as-a-service che consente agli aspiranti aggressori di scegliere tra una cornucopia di minacce attraverso un canale Telegram che ad oggi conta più di 500 iscritti, secondo quanto scoperto dai ricercatori.

Il nuovo servizio di malware, soprannominato Eternity Project dagli attori delle minacce che ne sono alla base, consente ai criminali informatici di colpire le potenziali vittime con un’offerta di minacce personalizzata basata su singoli moduli che possono essere acquistati a prezzi che vanno da 90 a 490 dollari, hanno scritto i ricercatori della società di sicurezza Cyble in un post sul blog pubblicato giovedì.

I moduli includono stealer, clipper, worm, miner e ransomware, a seconda del tipo di attacco che gli attori delle minacce vogliono sferrare, secondo il post. Gli sviluppatori del progetto stanno inoltre lavorando a un modulo futuro che offre bot DDoS (Distributed Denial of Service).

Eternity, che i ricercatori hanno scoperto su un sito web TOR dove il malware-as-a-service è anche in vendita, dimostra il “significativo aumento della criminalità informatica attraverso i canali Telegram e i forum di criminalità informatica“, scrivono i ricercatori nel post. Questo probabilmente perché gli attori delle minacce possono vendere i loro prodotti senza alcuna regolamentazione, hanno detto.

Secondo Cyble, ogni modulo viene venduto singolarmente e presenta funzionalità diverse che i ricercatori sospettano siano state riproposte da un codice presente in un repository Github esistente, che gli sviluppatori del progetto modificano e vendono con un nuovo nome.

“La nostra analisi ha inoltre indicato che anche Jester Stealer potrebbe essere stato ridenominato da questo particolare progetto Github, il che indica alcuni collegamenti tra i due attori della minaccia”, hanno scritto i ricercatori.

Moduli e funzionalità specifiche

Gli attori delle minacce vendono Eternity Stealer a 260 dollari come abbonamento annuale. Il modulo ruba password, cookie, carte di credito e portafogli di criptovalute da varie applicazioni, come tutti i browser più diffusi, le app di messaggistica e i portafogli di criptovalute sul computer della vittima e li invia al Bot Telegram dell’attore delle minacce.

Eternity Miner, un programma dannoso che utilizza il dispositivo infetto per estrarre criptovalute, viene venduto a 90 dollari per un abbonamento annuale. Le caratteristiche del miner includono una dimensione ridotta del file, l’estrazione silenziosa di Monero, la capacità di riavviarsi quando viene ucciso e la capacità di rimanere nascosto dal task manager, hanno scritto i ricercatori.

Eternity Clipper, un malware che monitora la clipboard di un computer infetto alla ricerca di portafogli di criptovalute e li sostituisce con gli indirizzi dei portafogli di criptovalute dell’attore della minaccia, viene venduto a 110 dollari. Il malware, come il miner, può anche nascondersi dal task manager e include altre funzionalità.

Il ransomware Eternity, il più costoso tra le offerte, viene venduto a 490 dollari e offre la crittografia di tutti i documenti, le foto e i database su dischi, condivisioni locali e unità USB sia online che offline. Gli aggressori possono impostare un limite di tempo dopo il quale i file non possono essere decifrati e, tra le altre caratteristiche, possono impostare l’esecuzione del ransomware a una data specifica.

Gli attori delle minacce stanno vendendo l’Eternity Worm, un virus che si diffonde attraverso le macchine infette tramite file e reti, al prezzo di 390 dollari. Le caratteristiche del worm includono la sua capacità di diffondersi attraverso i seguenti elementi: unità USB, condivisioni di rete locali, vari file locali, unità cloud come GoogleDrive o DropBox e altri. Secondo i ricercatori, il worm può anche inviare messaggi infetti ai canali Discord e Telegram e agli amici delle persone.

Come già accennato, gli sviluppatori stanno attualmente lavorando a un altro modulo per offrire i bot DDoS come servizio, anche se i ricercatori non hanno specificato i tempi di disponibilità.

Procedere con cautela

L’esistenza di Eternity e la sua capacità di offrire opzioni di cybercriminalità alle masse dovrebbe essere un monito per gli utenti del web a non salvare mai le credenziali su un computer, per evitare che le informazioni finiscano nelle mani sbagliate, ha osservato un professionista della sicurezza.

Seriamente, quando il vostro browser vi chiede di permettergli di ricordare le vostre credenziali, la vostra risposta dovrebbe essere sempre ‘no, o mai‘”, ha scritto Ron Bradley, vicepresidente di Shared Assessments, in un’e-mail a Threatpost. “Purtroppo, i produttori di browser hanno ingannato gli utenti con un senso di sicurezza, consentendo loro di ricordare informazioni sensibili come password, carte di credito, indirizzi, ecc. senza considerare il rischio che stanno correndo“.

Le persone dovrebbero partire dal presupposto che le loro credenziali sono già state compromesse, piuttosto che provare un falso senso di sicurezza nel salvare i dati sensibili su un computer, e adottare misure per proteggere le informazioni private che riflettano questo presupposto.

Soprattutto, utilizzate più livelli di difesa“, ha osservato Bradley. “Che ci piaccia o no, siamo in guerra quando si tratta di proteggere le nostre informazioni private. Le protezioni e le armi difensive non sono facoltative in questo periodo“.

Commenti da Facebook
Prosegui la lettura

Facebook

CYBERWARFARE

Notizie3 ore fa

Iran, APT34 attacca la Giordania

Tempo di lettura: 2 minuti. Condividi questo contenutoI ricercatori di Cybersecurity di Malwarebytes hanno dichiarato di aver scoperto un’e-mail dannosa...

Notizie6 ore fa

KillNet DDoS al sito della Polizia Postale. Colpa della propaganda occidentale

Tempo di lettura: 2 minuti. Condividi questo contenutoDopo l’enfasi, errata, data dal giornalismo di propaganda sulle attività della Polizia Postale...

Notizie1 giorno fa

Eurovision: Legion fa cilecca. Polizia Postale usa l’arma Cloudflare per salvare l’inutile televoto

Tempo di lettura: 2 minuti. Condividi questo contenutoIl collettivo Legion aveva colpito l’Eurovision creando problemi al sistema di televoto nei...

Notizie1 giorno fa

USA, Europa e Australia ammettono che la Russia sta vincendo la Guerra Cibernetica

Tempo di lettura: 2 minuti. Condividi questo contenutoL’Australia ha definito gli attacchi informatici della Russia contro il governo ucraino “distruttivi,...

Notizie2 giorni fa

Five Eyes: allarme cibernetico per la popolazione anglosassone mondiale

Tempo di lettura: 4 minuti. Condividi questo contenutoL’Agenzia per la sicurezza informatica e delle infrastrutture (Cybersecurity and Infrastructure Security Agency,...

Notizie2 giorni fa

Il Canada e la Guerra Cibernetica: chiesta una strategia internazionale.

Tempo di lettura: 5 minuti. Condividi questo contenutoIl governo canadese ha ordinato ai suoi militari di assumere una posizione più...

Editoriali3 giorni fa

Killnet e Legion: la nostra intervista ha scoperchiato la cyberpropaganda occidentale

Tempo di lettura: 3 minuti. Condividi questo contenuto“Giancà e notizie so rotture e cazz” questa è la famosa frase che...

Multilingua3 giorni fa

500.000 computers will attack the USA from the inside. Killnet and Legion say to us

Tempo di lettura: 4 minuti. Condividi questo contenutoItaly has plunged into long-awaited cyber warfare with hacker attacks that have ravaged...

security security
Tech3 giorni fa

Il CERT-UA avverte su una nuova ondata di attacchi malware

Tempo di lettura: 2 minuti. Un'ondata di nuovi attacchi malspam ha recentemente travolto l'Ucraina. Non si può escludere prossima diffusione...

Notizie4 giorni fa

Esclusiva: Media Italiani sotto attacco dei “ragazzi” di Legion e KillNet

Tempo di lettura: 2 minuti. Condividi questo contenutoL’attacco hacker al Governo italiano ha avuto una grande risonanza sui media italiani....

Truffe recenti

Notizie6 giorni fa

Truffa Instagram: come funziona lo schema Ponzi di Meta che sta rubando i profili

Tempo di lettura: 2 minuti. Condividi questo contenutoIn questi giorni molti utenti sono stati vittime della truffa Instagram. In cosa...

Notizie2 settimane fa

Truffa sms di Poste Italiane. Analisi di un altro caso di phishing

Tempo di lettura: 2 minuti. Condividi questo contenutoIn questo periodo sono frequenti gli sms che propongono messaggi inerenti i servizi...

Notizie2 settimane fa

Truffa su WhatsApp attenzione al finto call center di supporto. Ecco cosa fare

Tempo di lettura: 2 minuti. Condividi questo contenutoGli utenti di WhatsApp devono fare attenzione a un pericoloso messaggio di truffa...

DeFi2 settimane fa

Truffa sulle criptovalute: come evitare di essere la prossima vittima

Tempo di lettura: < 1 minuto. Condividi questo contenutoL’arma migliore per combattere le frodi è una sana dose di scetticismo....

scam scam
DeFi3 settimane fa

Call Center truffa per trading di criptovalute: scam di 22 milioni di dollari

Tempo di lettura: 2 minuti. Condividi questo contenutoEurojust ed Europol hanno smantellato uno schema di frode online per investimenti in...

DeFi3 settimane fa

La truffe sulle criptovalute sono in aumento. Quali sono le più comuni?

Tempo di lettura: 2 minuti. Condividi questo contenutoI truffatori sono maestri nell’usare eventi attuali e tendenze frizzanti per ingannare le...

smishing smishing
Notizie3 settimane fa

Smishing INFOPOSTE: il suo conto verrà sospeso

Tempo di lettura: < 1 minuto. Allarme smishing : In arrivo una nuova ondata di SMS truffa che hanno lo...

Tech3 settimane fa

Crescono le truffe su Instagram: cosa fare e come prevenire il furto degli account

Tempo di lettura: 2 minuti. Condividi questo contenutoGli esperti di sicurezza hanno avvertito miliardi di utenti di Instagram che i...

DeFi3 settimane fa

Metamask, Attenzione alla truffa su Apple. A rischio i portafogli di criptovalute

Tempo di lettura: 2 minuti. Condividi questo contenutoRecentemente sono state registrate molte truffe e schemi di phishing che circondano gli...

Inchieste3 mesi fa

Vinted: attenti alla truffa che chiede di confermare i dati della carta di credito

Tempo di lettura: 2 minuti. Condividi questo contenutoTramite il nostro form di segnalazione delle truffe, abbiamo ricevuto la denuncia di...

Tendenza