Sicurezza Informatica
Il malware porno TikTok “Invisible Challenge” mette a rischio tutti noi
Tempo di lettura: 5 minuti. I ricercatori della società di codifica sicura Checkmarx hanno messo in guardia da un malware a tema porno che sta attirando e attaccando in massa gli utenti di Internet più squallidi
Sfortunatamente, gli effetti collaterali di questo malware, chiamato Unfilter o Space Unfilter, sembrano consistere nel saccheggiare i dati dal computer della vittima, comprese le password di Discord, esponendo così indirettamente i contatti della vittima – come colleghi, amici e familiari – a spam e truffe da parte di criminali informatici che ora possono spacciarsi per persone conosciute. Come abbiamo già detto più volte su Naked Security, i criminali informatici amano le password dei social network e della messaggistica istantanea perché è molto più facile attirare nuove vittime attraverso un gruppo chiuso che truffare le persone utilizzando messaggi non richiesti su canali “aperti a tutti” come e-mail o SMS:
La truffa in questo caso sostiene di offrire un software in grado di annullare gli effetti del filtro Invisible di TikTok, che è un effetto visivo che funziona un po’ come lo schermo verde o il filtro di sfondo che tutti sembrano usare in questi giorni nelle chiamate Zoom, tranne che per il fatto che la parte dell’immagine che viene sfocata o resa semitrasparente o traslucida è l’utente stesso, anziché lo sfondo. Se vi mettete un lenzuolo in testa, ad esempio, come un archetipo di fantasma da fumetto, e poi vi muovete come un fantasma da fumetto (effetti sonori opzionali), la sagoma del “fantasma” sarà distinguibile, ma lo sfondo sarà ancora vagamente, anche se sfocato, visibile attraverso la sagoma del fantasma, creando un effetto divertente e intrigante. Sfortunatamente, l’idea di essere pseudo-invisibili ha portato alla cosiddetta “sfida dell’invisibilità di TikTok”, in cui gli utenti di TikTok sono sfidati a filmarsi dal vivo in vari stadi di svestizione, confidando che il filtro Invisible funzioni abbastanza bene da impedire che il loro corpo reale venga mostrato. Non fatelo. Dovrebbe essere ovvio che c’è poco da guadagnare se funziona, ma molto da perdere (e non solo la propria dignità) se qualcosa va storto. Come probabilmente potete immaginare, questo ha portato a squallidi post online che affermano di offrire un software in grado di invertire gli effetti del filtro Invisible dopo che un video è stato pubblicato, trasformando così presumibilmente video altrimenti innocenti in clip porno NSFW.
Questo sembra essere esattamente il percorso seguito dai criminali informatici nell’attacco descritto da Checkmarkx, in cui i truffatori:
- hanno promosso il loro presunto strumento “Unfilter” su TikTok. Gli utenti più sfacciati che volevano l’applicazione sono stati attirati su un server Discord per ottenerla.
- Hanno attirato gli utenti più arrapati nel loro gruppo Discord. L’esca avrebbe incluso la promessa di video già “non filtrati” per “dimostrare” il funzionamento del software.
- Attirava gli utenti a votare il progetto GitHub che ospitava il codice “senza filtro”. In questo modo il software appariva più rispettabile e affidabile rispetto a un progetto GitHub nuovo e sconosciuto.
- Convinceva gli utenti a scaricare e installare il progetto GitHub. Il file README del progetto (la documentazione ufficiale che appare quando si accede alla sua pagina GitHub) apparentemente includeva persino un link a un video di YouTube per spiegare il processo di installazione.
- Ha installato una serie di pacchetti Python correlati che hanno scaricato e lanciato il malware finale. Secondo Checkmarx, il malware era nascosto in pacchetti dall’aspetto legittimo, elencati come le cosiddette dipendenze della catena di fornitura necessarie per i presunti strumenti “unfilter”. Ma le versioni di tali dipendenze fornite dall’aggressore erano state modificate con una singola riga aggiuntiva di codice Python offuscato per ottenere il malware finale.
Il payload finale del malware, ovviamente, poteva essere modificato a piacimento dai truffatori semplicemente cambiando ciò che viene servito quando viene installato il progetto “unfilter” fasullo
Come accennato in precedenza, il malware individuato da Checkmarx sembra essere una variante di un “kit di strumenti” per il furto di dati, noto come WASP o W4SP, che viene diffuso tramite progetti GitHub avvelenati e che i criminali informatici in erba possono acquistare per soli 20 dollari.
Spesso gli attacchi alla catena di distribuzione basati su GitHub si basano su pacchetti dannosi con nomi facilmente confondibili con pacchetti noti e legittimi che gli sviluppatori potrebbero scaricare per errore; lo scopo dell’attacco è quindi quello di avvelenare uno o più computer di sviluppo all’interno di un’azienda, magari nella speranza di sovvertirne il processo di sviluppo. In questo modo, i criminali sperano di finire con un malware (magari un ceppo di malware completamente diverso) incorporato nelle versioni ufficiali del software creato da un’azienda legittima, in modo da indurre qualcun altro non solo a confezionare il proprio malware, ma in genere anche ad aggiungervi una firma digitale e forse anche a distribuirlo automaticamente nel prossimo aggiornamento del software dell’azienda. Ciò si traduce in un classico attacco alla catena di distribuzione, in cui si preleva innocentemente e intenzionalmente il malware da qualcuno di cui ci si fida già, invece di dover essere ingannati o convinti a scaricarlo da qualcuno o da un luogo di cui non si è mai sentito parlare prima. In questo attacco, tuttavia, i criminali sembravano prendere di mira tutti gli individui che installavano il falso codice “unfilter”, dato che un video su “come installare i pacchetti da GitHub” non sarebbe stato necessario per gli sviluppatori. Gli sviluppatori hanno già familiarità con l’uso di GitHub e con l’installazione di codice Python e potrebbero anche avere maggiori sospetti da un pacchetto che fa di tutto per affermare qualcosa che avrebbero considerato ovvio. Il malware scatenato in questo caso sembra essere stato concepito per attaccare ogni singola vittima, cercando direttamente dati preziosi come password di Discord, portafogli di criptovalute, dati di carte di pagamento memorizzati e altro ancora.
Cosa fare?
- Non scaricate e installate software solo perché qualcuno vi ha detto di farlo. In questo caso, i criminali dietro gli account GitHub (ora chiusi) che hanno creato i falsi pacchetti hanno usato i social media e i falsi upvotes per creare un’eco artificiale intorno ai loro pacchetti dannosi. Fate le vostre ricerche; non fidatevi ciecamente della parola di altre persone che non conoscete, non avete mai incontrato e non incontrerete mai.
- Non lasciatevi mai convincere a regalare like o upvote in anticipo. Nessuno di coloro che hanno installato questo pacchetto di malware lo avrebbe mai votato in seguito, dato che l’intera faccenda si è rivelata un mucchio di bugie.
- Dando la vostra approvazione implicita a un progetto GitHub senza saperne nulla, mettete a rischio gli altri, consentendo a pacchetti dannosi di acquisire quella che sembra l’approvazione della comunità, un risultato che i truffatori non potrebbero facilmente ottenere da soli.
Ricordate che un software altrimenti legittimo può essere vittima di trappole esplosive attraverso il suo programma di installazione. - Ciò significa che il software che si pensa di installare potrebbe essere presente e apparentemente corretto alla fine del processo. Ciò può indurre un falso senso di sicurezza, con il malware impiantato come effetto collaterale segreto del processo di installazione stesso, invece di comparire nel software effettivamente installato. (Questo significa anche che il malware rimarrà anche se si disinstallano completamente i componenti legittimi, che quindi fungono da copertura per l’attacco). Un danno a uno è un danno a tutti.
- Non aspettatevi molta compassione se i vostri dati vengono rubati perché stavate cercando un’applicazione dall’aspetto squallido che speravate potesse trasformare innocui video in involontari filmati porno. Ma non aspettatevi alcuna compassione se la vostra imprudenza porta anche i vostri colleghi, amici e familiari a essere colpiti da spammer e truffatori presi di mira da criminali che sono entrati in possesso delle vostre password di messaggistica o di social network in questo modo.
Sicurezza Informatica
Grave violazione dei dati a Helsinki per un difetto non corretto
Tempo di lettura: 2 minuti. Helsinki affronta una grave violazione dei dati nell’educazione a causa di un difetto software non corretto, esponendo informazioni sensibili.
La città di Helsinki ha subito una significativa violazione dei dati nella sua divisione educativa, con conseguenze potenzialmente gravi per decine di migliaia di studenti, genitori e personale. L’attacco, scoperto a fine aprile 2024, ha sfruttato una vulnerabilità non corretta in un server di accesso remoto.
Dettagli dell’incidente
Secondo quanto riferito dalle autorità cittadine durante una conferenza stampa, un attore non autorizzato ha ottenuto l’accesso a un’unità di rete dopo aver sfruttato una vulnerabilità in un server di accesso remoto. Nonostante fosse disponibile una patch di sicurezza per la vulnerabilità al momento dell’attacco, questa non era stata installata.
Dati espositi
L’unità di rete compromessa conteneva decine di milioni di file. Sebbene la maggior parte di questi file fosse priva di informazioni personali identificabili (PII), alcuni contenevano nomi utente, indirizzi email, codici personali e indirizzi fisici. Informazioni estremamente sensibili, come dati riguardanti tariffe, educazione e cura dell’infanzia, status dei bambini, richieste di welfare e certificati medici, erano anch’esse presenti sull’unità accessibile.
Reazioni e misure adottate
Jukka-Pekka Ujula, manager della città, ha descritto l’incidente come una “violazione dei dati molto grave”, esprimendo profondo rammarico per la situazione. In risposta, Helsinki ha informato l’Ombudsman per la Protezione dei Dati, la polizia e il Centro Nazionale per la Sicurezza Informatica di Traficom. Attualmente, si stima che il data breach potrebbe interessare fino a 80,000 studenti e loro genitori, oltre a tutto il personale della divisione educativa.
Indagini e consigli per gli Interessati
L’investigazione sulle informazioni compromesse richiederà tempo a causa dell’enorme volume di dati esposti. Le persone impattate sono state invitate a segnalare qualsiasi comunicazione sospetta e a seguire i consigli forniti da Traficom per le vittime di furti d’identità o violazioni dei dati.
Questo incidente sottolinea l’importanza critica di mantenere i sistemi aggiornati con le ultime patch di sicurezza per prevenire accessi non autorizzati e proteggere i dati sensibili. Mentre Helsinki affronta le ripercussioni di questa violazione, serve da monito per altre entità sull’essenziale necessità di vigilanza e aggiornamenti continui nella sicurezza informatica. Questo grave incidente di sicurezza serve come promemoria cruciale per tutte le organizzazioni sulla necessità di applicare tempestivamente le patch di sicurezza e rafforzare le misure protettive contro gli attacchi cyber.
Sicurezza Informatica
Black Basta Ransomware è diventato un problema mondiale
Tempo di lettura: 2 minuti. Black Basta Ransomware ha colpito più di 500 entità in vari settori, sottolineando la crescente minaccia di attacchi ransomware
L’operazione ransomware-as-a-service (RaaS) nota come Black Basta ha mirato a oltre 500 entità private e infrastrutture critiche in Nord America, Europa e Australia. Questa attività aggressiva ha iniziato da aprile 2022 e continua a rappresentare una significativa minaccia per la sicurezza informatica globale.
Dettagli dell’Attacco
Secondo un avviso congiunto pubblicato da CISA, FBI, HHS e MS-ISAC, Black Basta ha criptato e sottratto dati da almeno 12 dei 16 settori di infrastrutture critiche definiti. Gli attaccanti hanno utilizzato tecniche di accesso iniziale comuni come il phishing e l’exploit di vulnerabilità note, seguendo un modello di doppia estorsione che combina la criptazione dei sistemi e l’esfiltrazione dei dati.
Metodologie di Attacco
Le catene di attacco di Black Basta hanno incluso l’uso di strumenti come il SoftPerfect network scanner per la scansione di reti, BITSAdmin, beacon di Cobalt Strike, ConnectWise ScreenConnect e PsExec per il movimento laterale, Mimikatz per l’escalation dei privilegi, e RClone per l’esfiltrazione dei dati prima della criptazione.
Implicazioni per le organizzazioni
Le organizzazioni sanitarie sono diventate bersagli particolarmente attraenti per i cybercriminali a causa della loro dipendenza dalla tecnologia, l’accesso a informazioni sanitarie personali e l’impatto unico delle interruzioni sulla cura dei pazienti. Questo eleva l’urgenza di adottare misure di sicurezza rafforzate per proteggere le informazioni sensibili e le operazioni critiche.
Panorama del Ransomware
Il panorama del ransomware è in continuo cambiamento, con una diminuzione del 18% dell’attività nel primo trimestre del 2024, principalmente a causa delle operazioni delle forze dell’ordine contro gruppi come ALPHV (aka BlackCat) e LockBit. Nonostante le sfide, nuovi gruppi ransomware continuano a emergere, dimostrando la capacità di adattamento e rebranding rapido di questi attori minacciosi.
L’escalation di attacchi da parte di Black Basta sottolinea la crescente sofisticatezza e l’aggressività dei gruppi ransomware. È imperativo che le organizzazioni di tutti i settori rafforzino le loro difese e collaborino con agenzie governative per mitigare queste minacce pervasive e potenzialmente devastanti. Questi sviluppi rappresentano un campanello d’allarme per la comunità globale, evidenziando la necessità di una vigilanza continua e di strategie di sicurezza avanzate per contrastare le minacce ransomware in evoluzione.
CISA e Partner rilasciano Avvisi di Sicurezza sul Ransomware Black Basta
La Cybersecurity and Infrastructure Security Agency (CISA), in collaborazione con il Federal Bureau of Investigation (FBI), il Department of Health and Human Services (HHS) e il Multi-State Information Sharing and Analysis Center (MS-ISAC), ha pubblicato un avviso congiunto di sicurezza informatica riguardante il ransomware Black Basta.
Dettagli dell’Avviso
Il ransomware Black Basta, identificato per la prima volta nell’aprile 2022, è descritto come una variante ransomware-as-a-service (RaaS). Gli affiliati di Black Basta hanno preso di mira oltre 500 entità nel settore privato e nelle infrastrutture critiche, inclusi gli enti sanitari, in Nord America, Europa e Australia. L’avviso mira a fornire ai difensori della cybersecurity tattiche, tecniche e procedure (TTP) e indicatori di compromissione (IOC) utilizzati dagli affiliati di Black Basta, identificati tramite indagini dell’FBI e report di terze parti.
Consigli per la mitigazione
CISA e i partner consigliano alle organizzazioni di esaminare e implementare le mitigazioni fornite nell’avviso congiunto per ridurre la probabilità e l’impatto degli incidenti ransomware, inclusi quelli di Black Basta. Per ulteriori informazioni, si consiglia di consultare StopRansomware.gov e la #StopRansomware Guide. Questo avviso evidenzia la crescente minaccia rappresentata da varianti ransomware come Black Basta e sottolinea l’importanza della collaborazione e della condivisione delle informazioni tra agenzie governative e organizzazioni private per combattere efficacemente queste minacce. Le organizzazioni sono incoraggiate a prendere sul serio queste raccomandazioni e a rafforzare le loro difese contro le avanzate minacce cyber.
Sicurezza Informatica
LLMjacking: nuova minaccia AI con credenziali Cloud Rubate
Tempo di lettura: 2 minuti. Scopri LLMjacking, un attacco che usa credenziali cloud rubate per abusare di servizi AI e generare costi enormi per le vittime.
Il fenomeno noto come LLMjacking sta emergendo come una nuova e significativa minaccia nel panorama della sicurezza informatica. Utilizzando credenziali cloud rubate, gli attaccanti hanno mirato a servizi AI basati su grandi modelli linguistici (LLM), generando costi ingenti per le vittime.
Dettagli dell’attacco LLMjacking
Recentemente, il team di ricerca di Sysdig ha identificato un attacco di LLMjacking che sfrutta credenziali cloud compromesse per accedere e manipolare servizi LLM ospitati su cloud. L’attacco ha sfruttato una vulnerabilità nel sistema Laravel, specificamente la CVE-2021-3129, per rubare le credenziali.
Una volta ottenuto l’accesso, gli attaccanti hanno mirato a modelli LLM locali ospitati da fornitori di cloud, tra cui modelli di Claude da Anthropic. Hanno esfiltrato ulteriori credenziali cloud e tentato di accedere a diversi servizi di AI tra cui AWS Bedrock, Azure e GCP Vertex AI, senza effettuare legittime richieste LLM ma piuttosto per valutare le capacità delle credenziali rubate.
Impatto economico e Operativo
Se non scoperti, gli attacchi di questo tipo possono comportare costi di consumo LLM superiori a $46,000 al giorno per le vittime. Inoltre, l’abuso di tali servizi può bloccare l’uso legittimo dei modelli da parte delle organizzazioni colpite, interrompendo le operazioni aziendali.
Strategie di difesa e prevenzione
La prevenzione di tali attacchi richiede una gestione attenta delle vulnerabilità e delle credenziali. Strumenti come la monitorizzazione dei log cloud e l’analisi comportamentale possono rivelare attività sospette, permettendo alle organizzazioni di rispondere prontamente. La configurazione di log dettagliati e l’uso di politiche di sicurezza adeguate sono essenziali per proteggere l’ambiente cloud. L’analisi approfondita di LLMjacking sottolinea la crescente sofisticazione degli attacchi cyber e l’importanza di robuste misure di sicurezza e monitoraggio per proteggere le risorse cloud e i dati sensibili.
- Editoriali2 settimane fa
Chip e smartphone cinesi ci avvisano del declino Occidentale
- Inchieste1 settimana fa
Ransomware in Italia: come cambia la percezione del fenomeno nell’IT
- Economia1 settimana fa
Internet via satellite: progetto europeo IRIS² in grande difficoltà
- Editoriali1 settimana fa
Anche su Giovanna Pedretti avevamo ragione
- L'Altra Bolla1 settimana fa
Jack Dorsey getta la spugna e lascia Bluesky
- Smartphone1 settimana fa
Richiesta di Class Action contro Samsung per il Galaxy S24 Ultra
- Inchieste6 giorni fa
Perchè il motore di ricerca OpenAI fa paura ai giornalisti?
- Economia1 settimana fa
Culture di lavoro a confronto: Meta vs Google