Connect with us

Notizie

In the box: il più grande mercato di malware per smartphone

Tempo di lettura: 2 minuti. Nella Darknet e minaccia gli utenti di tutto il mondo

Pubblicato

in data

Tempo di lettura: 2 minuti.

Ricercatori di cybersicurezza hanno fatto luce su un mercato darknet chiamato InTheBox, progettato per soddisfare specificamente gli operatori di malware mobile. L’attore dietro la vetrina criminale, che si ritiene sia disponibile almeno da gennaio 2020, ha offerto oltre 400 iniezioni web personalizzate raggruppate per area geografica che possono essere acquistate da altri avversari che desiderano sferrare i propri attacchi. “L’automazione consente ad altri malintenzionati di creare ordini per ricevere le web injection più aggiornate da implementare ulteriormente nel malware mobile”, ha dichiarato Resecurity. “InTheBox può essere definito il più grande e probabilmente l’unico nella sua categoria di mercato a fornire web inject di alta qualità per i più diffusi tipi di malware mobile”. I Web Injects sono pacchetti utilizzati nel malware finanziario che sfruttano il vettore di attacco adversary-in-the-browser (AitB) per servire codice HTML o JavaScript dannoso sotto forma di schermata in sovrimpressione quando le vittime avviano un’applicazione bancaria, crittografica, di pagamento, di e-commerce, di posta elettronica o di social media. Queste pagine tipicamente assomigliano a una pagina web di login di una banca legittima e spingono gli utenti inconsapevoli a inserire dati riservati come credenziali, dati della carta di pagamento, numeri di previdenza sociale (SSN), valore di verifica della carta (CVV) che vengono poi utilizzati per compromettere il conto bancario e condurre frodi.

InTheBox è accessibile attraverso la rete di anonimato Tor e pubblicizza una varietà di modelli di web inject in vendita, con l’elenco accessibile solo dopo che un cliente è stato controllato dall’amministratore e l’account è stato attivato. Le iniezioni web possono essere acquistate per 100 dollari al mese o come livello “unlim” che consente all’acquirente di generare un numero illimitato di iniezioni durante il periodo di abbonamento. I costi per il piano unlim variano da 2.475 a 5.888 dollari, a seconda dei trojan supportati. Alcuni dei trojan bancari Android supportati dal servizio sono Alien, Cerberus, ERMAC (e il suo successore MetaDroid), Hydra e Octo, ha dichiarato l’azienda californiana di cybersicurezza.

“La maggior parte delle iniezioni ad alta richiesta è legata ai servizi di pagamento, tra cui il digital banking e gli scambiatori di criptovalute”, hanno dichiarato i ricercatori. “Nel corso del mese di novembre 2022, l’attore ha predisposto un aggiornamento significativo di quasi 144 injects, migliorandone il design visivo”. Lo sviluppo arriva mentre Cyble ha rivelato una nuova operazione di malware-as-a-service (MaaS) denominata DuckLogs, commercializzata a 69,99 dollari per un accesso a vita, che offre agli attori delle minacce la possibilità di raccogliere informazioni sensibili, dirottare le transazioni di criptovaluta e comandare in remoto le macchine.

Notizie

Nuovo Codice di Condotta per il telemarketing

Tempo di lettura: 2 minuti. Il nuovo Codice di condotta per il telemarketing mira a proteggere gli utenti dalle chiamate indesiderate, imponendo regole e controlli rigorosi.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Il mondo del telemarketing sta per vivere una svolta significativa grazie all’introduzione di un nuovo Codice di condotta, finalizzato a tutelare gli utenti dalle incessanti chiamate indesiderate. Con l’accreditamento dell’Organismo di monitoraggio (OdM), si completa l’iter per l’attuazione delle nuove regole che promettono di regolamentare in maniera più efficace le attività di teleselling e telemarketing.

Dettagli del Codice

Codice di condotta, la cui piena efficacia è prevista dal giorno successivo alla sua pubblicazione nella Gazzetta Ufficiale, si propone di elevare gli standard di tutela degli utenti, imponendo alle società del settore obblighi precisi e misure di controllo stringenti. Tra i principali requisiti vi sono la raccolta di consensi specifici per le diverse finalità di marketing, l’obbligo di fornire informazioni chiare sull’utilizzo dei dati personali e la garanzia dei diritti degli utenti in linea con la normativa sulla privacy.

Ruolo dell’Organismo di Monitoraggio

L’OdM, proposto da una varietà di stakeholder tra cui associazioni di consumatori, call center e teleseller, è stato riconosciuto dall’Autorità per le sue competenze, indipendenza e imparzialità. Questo organo avrà il compito di vigilare sull’aderenza delle società al Codice, garantendo l’effettiva applicazione delle regole e intervenendo in caso di violazioni.

Implicazioni per le Società

Le società che aderiranno al Codice dovranno non solo conformarsi alle direttive per la protezione dei dati, ma anche affrontare conseguenze specifiche in caso di mancato rispetto. Ciò include la previsione di penalità o la revoca delle provvigioni per contratti ottenuti senza il necessario consenso. Queste misure mirano a disincentivare le pratiche abusive e a promuovere un ambiente di telemarketing più rispettoso e trasparente.

L’introduzione del nuovo Codice di condotta rappresenta un passo avanti significativo nella regolamentazione del telemarketing, offrendo una maggiore protezione agli utenti e imponendo standard più elevati alle società operanti nel settore. Questa iniziativa sottolinea l’importanza di un approccio equilibrato che tuteli i diritti degli individui pur consentendo alle aziende di continuare le loro attività di marketing in modo responsabile.

Prosegui la lettura

Notizie

Malware DEEP#GOSU di Kimsuky prende di mira gli utenti Windows

Tempo di lettura: 2 minuti. La campagna DEEP#GOSU utilizza PowerShell e VBScript per infettare sistemi Windows, sfruttando servizi come Dropbox per il comando e controllo.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Una nuova e sofisticata campagna di attacco, denominata DEEP#GOSU, utilizza malware in PowerShell e VBScript per infettare sistemi Windows e raccogliere informazioni sensibili e Securonix associa questa campagna al gruppo nordcoreano sponsorizzato dallo stato conosciuto come Kimsuky.

Tattiche avanzate e uso di Servizi Legittimi

La campagna si distingue per l’impiego di servizi legittimi come Dropbox o Google Docs per il comando e controllo (C2), consentendo agli attaccanti di mimetizzarsi nel traffico di rete regolare. Questa tecnica consente anche di aggiornare le funzionalità del malware o di consegnare moduli aggiuntivi senza essere rilevati.

Procedura di infezione e strumenti impiegati

Il punto di partenza è un’email malevola che contiene un archivio ZIP con un file collegamento fasullo (.LNK) che si spaccia per un file PDF. Questo file .LNK incorpora uno script PowerShell e un documento PDF finto, con lo script che recupera ed esegue un altro script PowerShell da un’infrastruttura Dropbox controllata dall’attore.

Il secondo script PowerShell scarica un nuovo file da Dropbox, un file di assemblaggio .NET sotto forma binaria che è in realtà un RAT (Remote Access Trojan) open-source conosciuto come TruRat, dotato di funzionalità per registrare i tasti premuti, gestire file e facilitare il controllo remoto.

Un aspetto notevole dello script VBScript è l’uso di Google Docs per recuperare dinamicamente i dati di configurazione per la connessione a Dropbox, consentendo all’attore della minaccia di cambiare le informazioni dell’account senza dover modificare lo script stesso.

Implicazioni per la Sicurezza e Consigli

La capacità del malware di agire come una backdoor per controllare i sistemi compromessi e mantenere un registro continuo delle attività degli utenti sottolinea l’importanza di adottare misure di sicurezza robuste e di mantenere aggiornati i sistemi per proteggersi da tali minacce sofisticate.

L’uso di servizi cloud legittimi per il comando e controllo evidenzia inoltre la necessità per le organizzazioni di monitorare il traffico di rete per rilevare comportamenti sospetti, anche quando il traffico sembra essere associato a servizi affidabili.

Prosegui la lettura

Notizie

Gruppo Hacker “Earth Krahang” Compromette 70 Organizzazioni in 23 Paesi

Tempo di lettura: 2 minuti. Il gruppo hacker “Earth Krahang” ha compromesso decine di organizzazioni governative in una campagna globale, sfruttando vulnerabilità e tecniche di spear-phishing.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Una sofisticata campagna di hacking attribuita all’Advanced Persistent Threat (APT) cinese noto come “Earth Krahang” ha compromesso 70 organizzazioni e ne ha prese di mira almeno 116 in 45 paesi. Il focus principale di questa campagna, iniziata all’inizio del 2022, sono le organizzazioni governative.

Tattiche di intrusione e bersagli

I ricercatori di Trend Micro, che hanno monitorato l’attività, rivelano che gli hacker hanno compromesso 48 organizzazioni governative, di cui 10 ministeri degli Affari Esteri, e preso di mira altre 49 agenzie governative. Gli attacchi sfruttano server vulnerabili esposti su Internet e usano email di spear-phishing per distribuire backdoor personalizzate per la cyberspionaggio.

“Earth Krahang” abusa della sua presenza nelle infrastrutture governative violate per attaccare altri governi, costruisce server VPN sui sistemi compromessi e utilizza tecniche di brute-force per decifrare le password degli account email di valore.

Tecniche e strumenti impiegati

Gli attori della minaccia utilizzano strumenti open-source per scansionare i server pubblici alla ricerca di vulnerabilità specifiche, come CVE-2023-32315 (Openfire) e CVE-2022-21587 (Control Web Panel), per poi distribuire webshell e ottenere accesso non autorizzato e stabilire persistenza nelle reti delle vittime.

Una volta all’interno della rete, “Earth Krahang” usa l’infrastruttura compromessa per ospitare payload dannosi, indirizzare il traffico degli attacchi e usare account email governativi hackerati per prendere di mira colleghi o altri governi con email di spear-phishing.

Risultati e implicazioni

Questi email contengono allegati dannosi che rilasciano backdoor nei computer delle vittime, diffondendo l’infezione e ottenendo ridondanza in caso di rilevamento e pulizia. Trend Micro sottolinea che gli attaccanti utilizzano account Outlook compromessi per forzare le credenziali di Exchange, mentre sono stati rilevati anche script Python specializzati nell’esfiltrazione di email dai server Zimbra.

Stabilendo la loro presenza sulla rete, “Earth Krahang” dispiega malware e strumenti come Cobalt Strike, RESHELL e XDealer, che forniscono capacità di esecuzione di comandi e raccolta dati. XDealer è il backdoor più sofisticato e complesso, supportando Linux e Windows e in grado di acquisire screenshot, registrare battiture e intercettare dati dagli appunti.

Attribuzione e condivisione degli strumenti

Trend Micro ha inizialmente trovato legami tra “Earth Krahang” e l’attore connesso alla Cina “Earth Lusca” sulla base di sovrapposizioni dei comandi e controllo (C2), ma ha determinato che si tratta di un cluster separato. È possibile che entrambi i gruppi di minaccia operino sotto l’azienda cinese I-Soon, lavorando come task force dedicata al cyberspionaggio contro entità governative.

La completa lista degli indicatori di compromissione (IoC) per questa campagna di “Earth Krahang” è stata pubblicata separatamente.

Prosegui la lettura

Facebook

CYBERSECURITY

Mini Orange Plugin Wordpress Logo Mini Orange Plugin Wordpress Logo
Notizie21 ore fa

Allarme vulnerabilità WordPress: rimuovere Plugin miniOrange

Tempo di lettura: 2 minuti. Critica falla di sicurezza CVE-2024-2172 nei plugin miniOrange di WordPress: amministratori invitati a rimuoverli per...

Aiohttp Aiohttp
Notizie2 giorni fa

Aiohttp sotto attacco: scoperte reti con vulnerabilità

Tempo di lettura: 3 minuti. Hacker sfruttano la falla aiohttp (CVE-2024-23334) per individuare reti vulnerabili, con ShadowSyndicate in prima linea...

Esim Sim Swapping Esim Sim Swapping
Notizie3 giorni fa

SIM Swapping: anche le eSIM sono in pericolo

Tempo di lettura: 2 minuti. Gli attacchi SIM swapping ora mirano alle eSIM, permettendo ai malintenzionati di dirottare numeri telefonici...

Tech3 giorni fa

SweetAlert: Il Plugin JavaScript Protestware che suona l’Inno Nazionale Ucraino sui Siti Russi

Tempo di lettura: 2 minuti. Negli ultimi anni, il mondo della programmazione ha visto la nascita e la crescita di...

Notizie4 giorni fa

Malvertising colpisce utenti Cinesi con falsi Notepad++ e VNote

Tempo di lettura: 2 minuti. Pubblicità malevole prendono di mira utenti cinesi con falsi installatori di Notepad++ e VNote, distribuendo...

CISA CISA
Notizie5 giorni fa

CISA rilascia aggiornamenti di sicurezza Cisco e avvisi su 12 ICS

Tempo di lettura: 2 minuti. Cisco aggiorna la sicurezza per IOS XR mentre CISA emette avvisi sui sistemi di controllo...

Notizie5 giorni fa

La Francia paga lo scotto di 43 milioni di cittadini violati

Tempo di lettura: 2 minuti. France Travail subisce un attacco informatico esponendo dati di 43 milioni di persone, la più...

Notizie5 giorni fa

DarkGate, Microsoft risolve vulnerabilità SmartScreen

Tempo di lettura: 2 minuti. Microsoft ha risolto la vulnerabilità CVE-2024-21412 in SmartScreen, sfruttata da DarkGate per infiltrare malware.

Security Copilot Security Copilot
Notizie6 giorni fa

Microsoft Copilot for Security: svolta per la sicurezza aziendale?

Tempo di lettura: 2 minuti. Microsoft Copilot for Security, basato su IA, promette di rivoluzionare la sicurezza informatica aziendale, migliorando...

CISA CISA
Notizie6 giorni fa

CISA Budget a 3 miliardi di dollari e rilascia nuovi avvisi

Tempo di lettura: 2 minuti. L'aumento del budget di CISA a 3 miliardi di dollari e gli aggiornamenti di sicurezza...

Truffe recenti

OSINT4 giorni fa

USA interviene per recuperare 2,3 Milioni dai “Pig Butchers” su Binance

Tempo di lettura: 2 minuti. Il Dipartimento di Giustizia degli USA interviene per recuperare 2,3 milioni di dollari in criptovalute...

dimarcoutletfirenze sito truffa dimarcoutletfirenze sito truffa
Inchieste4 settimane fa

Truffa dimarcoutletfirenze.com: merce contraffatta e diversi dalle prenotazioni

Tempo di lettura: 2 minuti. La segnalazione alla redazione di dimarcoutletfirenze.com si è rivelata puntuale perchè dalle analisi svolte è...

sec etf bitcoin sec etf bitcoin
Economia2 mesi fa

No, la SEC non ha approvato ETF del Bitcoin. Ecco perchè

Tempo di lettura: 3 minuti. Il mondo delle criptovalute ha recentemente assistito a un evento senza precedenti: l’account Twitter ufficiale...

Notizie3 mesi fa

Europol mostra gli schemi di fronde online nel suo rapporto

Tempo di lettura: 2 minuti. Europol’s spotlight report on online fraud evidenzia che i sistemi di frode online rappresentano una grave...

Notizie4 mesi fa

Polizia Postale: attenzione alla truffa dei biglietti ferroviari falsi

Tempo di lettura: < 1 minuto. Gli investigatori della Polizia Postale hanno recentemente individuato una nuova truffa online che prende...

app ledger falsa app ledger falsa
Notizie4 mesi fa

App Falsa di Ledger Ruba Criptovalute

Tempo di lettura: 2 minuti. Un'app Ledger Live falsa nel Microsoft Store ha rubato 768.000 dollari in criptovalute, sollevando dubbi...

keepass pubblicità malevola keepass pubblicità malevola
Notizie5 mesi fa

Google: pubblicità malevole che indirizzano a falso sito di Keepass

Tempo di lettura: 2 minuti. Google ospita una pubblicità malevola che indirizza gli utenti a un falso sito di Keepass,...

Notizie5 mesi fa

Nuova tattica per la truffa dell’aggiornamento del browser

Tempo di lettura: 2 minuti. La truffa dell'aggiornamento del browser si rinnova, con i criminali che ora ospitano file dannosi...

Notizie5 mesi fa

Oltre 17.000 siti WordPress compromessi negli attacchi di Balada Injector

Tempo di lettura: 2 minuti. La campagna di hacking Balada Injector ha compromesso oltre 17.000 siti WordPress sfruttando vulnerabilità nei...

Truffe online5 mesi fa

ChatGPT cerca di ingannare cuori solitari appassionati di AI

Tempo di lettura: < 1 minuto. La truffa LoveGPT rappresenta una nuova minaccia nel mondo degli appuntamenti online, sfruttando l'AI...

Tendenza