Sicurezza Informatica
La nuova ondata di malware sfrutta i servizi di AI come esca
Tempo di lettura: 2 minuti. Le pubblicità Google Search maliziose rappresentano una nuova minaccia per gli utenti alla ricerca di servizi di AI
Il mondo dell’intelligenza artificiale è affascinante e in continuo sviluppo, ma recenti ricerche mostrano come esso possa essere sfruttato da attori minacciosi per diffondere malware. I servizi di AI come OpenAI ChatGPT e Midjourney sono diventati bersagli di campagne di malware BATLOADER che utilizzano annunci Google Search maliziosi per indirizzare gli utenti verso siti web discutibili e distribuire il malware RedLine Stealer【17†source】.
Il malware BATLOADER
BATLOADER è un malware loader che viene diffuso tramite download drive-by. Gli utenti che cercano determinate parole chiave sui motori di ricerca visualizzano annunci falsi che, se cliccati, li reindirizzano a pagine di destinazione pericolose che ospitano malware.
Il file di installazione, come riferito da eSentire, è dotato di un file eseguibile (ChatGPT.exe o midjourney.exe) e uno script PowerShell (Chat.ps1 o Chat-Ready.ps1) che scarica e carica RedLine Stealer da un server remoto.
Camuffamento del malware
Una volta completata l’installazione, il file binario utilizza Microsoft Edge WebView2 per caricare chat.openai[.]com o www.midjourney[.]com – gli URL legittimi di ChatGPT e Midjourney – in una finestra pop-up, in modo da non sollevare sospetti【23†source】.
L’uso di esche tematiche ChatGPT e Midjourney da parte dell’avversario per servire annunci pubblicitari malevoli e in definitiva rilasciare il malware RedLine Stealer è stato evidenziato anche la scorsa settimana da Trend Micro【25†source】.
Non è la prima volta
Questa non è la prima volta che gli operatori dietro BATLOADER sfruttano la mania dell’AI per distribuire malware. Nel marzo 2023, eSentire ha dettagliato un insieme simile di attacchi che sfruttavano le esche ChatGPT per distribuire i malware Vidar Stealer e Ursnif.
La società di cybersecurity ha inoltre sottolineato che l’abuso di annunci pubblicitari Google Search è diminuito rispetto al picco iniziale del 2023, suggerendo che il gigante tecnologico sta prendendo provvedimenti attivi per limitare il suo sfruttamento.
Ultime scoperte
Queste scoperte arrivano poche settimane dopo che Securonix ha scoperto una campagna di phishing denominata OCX#HARVESTER che ha preso di mira il settore delle criptovalute tra dicembre 2022 e marzo 2023 con More_eggs (noto anche come Golden Chickens), un downloader JavaScript utilizzato per servire payload aggiuntivi.
A gennaio, eSentire ha rintracciato l’identità di uno deiprincipali operatori del malware-as-a-service (MaaS) a un individuo situato a Montreal, Canada. Il secondo attore minaccioso associato al gruppo è stato da allora identificato come un cittadino rumeno che si fa chiamare Jack.
Sicurezza Informatica
Llama Drama: vulnerabilità critica minaccia catena software AI
Tempo di lettura: 2 minuti. La vulnerabilità CVE-2024-34359 nel pacchetto “llama_cpp_python” mette a rischio la sicurezza della catena di approvvigionamento del software AI. Aggiornare subito per mitigare.
La vulnerabilità critica CVE-2024-34359, Llama Drama, recentemente scoperta nel pacchetto Python “llama_cpp_python”, mette in luce gravi rischi per la sicurezza della catena di approvvigionamento del software, in particolare nelle applicazioni AI. Questa vulnerabilità consente agli attaccanti di eseguire codice arbitrario attraverso l’uso improprio del motore di template Jinja2.
Dettagli della vulnerabilità
La vulnerabilità CVE-2024-34359, identificata dall’utente GitHub “retr0reg”, colpisce il popolare pacchetto Python “llama_cpp_python”, utilizzato per l’integrazione di modelli AI con Python. Questo pacchetto, integrando le capacità di Python con le prestazioni del C++, viene utilizzato in oltre 6.000 modelli su Hugging Face, rendendo potenzialmente vulnerabili numerose applicazioni.
Il problema principale risiede nel modo in cui Jinja2, un motore di template per la generazione di contenuti dinamici, viene utilizzato per elaborare i dati dei modelli senza le dovute misure di sicurezza come il sandboxing. Questo errore consente agli attaccanti di iniettare template malevoli che possono eseguire codice arbitrario sul sistema ospite, compromettendo dati e operazioni.
Implicazioni della Vulnerabilità SSTI
La vulnerabilità SSTI (Server-Side Template Injection) può portare a una serie di azioni non autorizzate, tra cui il furto di dati, la compromissione del sistema e l’interruzione delle operazioni. Considerando il ruolo critico dei sistemi AI nel trattamento di dati sensibili, le conseguenze di tali vulnerabilità possono essere ampie, influenzando la privacy degli individui e l’integrità operativa delle organizzazioni.
Rischi nella Sicurezza dell’AI e della Catena di Approvvigionamento
Questa vulnerabilità mette in evidenza un problema cruciale: la sicurezza dei sistemi AI è strettamente legata alla sicurezza delle loro catene di approvvigionamento. Le dipendenze da librerie e framework di terze parti possono introdurre vulnerabilità che compromettono interi sistemi. I principali rischi includono:
- Superficie di Attacco Estesa: Le integrazioni tra sistemi significano che una vulnerabilità in un componente può influenzare i sistemi connessi.
- Sensibilità dei Dati: I sistemi AI spesso gestiscono dati particolarmente sensibili, rendendo le violazioni molto impattanti.
- Rischio di Terze Parti: La dipendenza da librerie o framework esterni può introdurre vulnerabilità inattese se questi componenti non sono gestiti in modo sicuro.
Misure di Mitigazione
La vulnerabilità è stata affrontata nella versione 0.2.72 del pacchetto “llama_cpp_python”, che include un miglioramento delle misure di sandboxing e di validazione dell’input. Le organizzazioni sono invitate ad aggiornare prontamente a questa versione per proteggere i propri sistemi.
La scoperta della vulnerabilità CVE-2024-34359, Llama Drama, sottolinea l’importanza di pratiche di sicurezza vigili durante tutto il ciclo di vita dei sistemi AI e dei loro componenti. Man mano che la tecnologia AI diventa più integrata nelle applicazioni critiche, garantire che questi sistemi siano costruiti e mantenuti con un approccio orientato alla sicurezza è vitale per proteggere contro potenziali minacce che potrebbero minare i benefici della tecnologia.
Sicurezza Informatica
Nuove funzionalità di Windows 11 rafforzano la sicurezza
Tempo di lettura: 2 minuti. Nuove funzionalità di sicurezza in Windows 11 rafforzano la protezione contro le minacce informatiche, inclusi Copilot+ PC, VBS e Smart App Control,
In vista della conferenza Microsoft Build 2024, Microsoft ha annunciato una nuova classe di computer Windows, i Copilot+ PC, insieme a importanti aggiornamenti di sicurezza per Windows 11. Questi miglioramenti mirano a rendere il sistema operativo più sicuro per utenti e organizzazioni, offrendo agli sviluppatori strumenti per dare priorità alla sicurezza.
Sicurezza al centro di Windows 11
Negli ultimi anni, gli attacchi informatici sono aumentati in velocità, scala e sofisticazione. Nel 2015, i sistemi di identità di Microsoft rilevavano circa 115 attacchi di password al secondo. Oggi, questo numero è aumentato del 3.378% a oltre 4.000 attacchi al secondo. Per affrontare questo panorama, Microsoft ha introdotto nuove funzionalità di sicurezza in Windows 11.
Principali aggiornamenti di sicurezza
Protezione avanzata con i Copilot+ PC
Tutti i Copilot+ PC saranno dispositivi Secured-core, offrendo protezioni avanzate dal chip al cloud. Questi dispositivi includeranno il processore di sicurezza Microsoft Pluton, abilitato di default, progettato per proteggere credenziali, identità, dati personali e chiavi di crittografia. Inoltre, tutti i Copilot+ PC includeranno la sicurezza di accesso biometrico migliorata di Windows Hello Enhanced Sign-in Security (ESS), che utilizza componenti hardware e software specializzati per proteggere i dati di autenticazione.
Local Security Authority (LSA) Protection
Questa protezione, precedentemente attiva di default per tutti i nuovi dispositivi commerciali, sarà ora abilitata anche per i nuovi dispositivi consumer. LSA autentica gli utenti e verifica gli accessi a Windows, gestendo token e credenziali come password utilizzate per l’accesso singolo agli account Microsoft e ai servizi Microsoft Azure.
Deprecazione di NT LAN Manager (NTLM)
La dismissione di NTLM rafforzerà l’autenticazione degli utenti e sarà attuata nella seconda metà del 2024.
Protezione delle chiavi con Virtualization-Based Security (VBS)
Disponibile in anteprima pubblica per i Windows Insider, questa funzionalità offre un livello di sicurezza più alto rispetto all’isolamento software e migliori prestazioni rispetto alle soluzioni basate su hardware.
Rafforzamento di Windows Hello
Con la protezione delle chiavi di accesso, Windows Hello è stato ulteriormente rafforzato per isolare le credenziali utilizzando VBS, proteggendole dagli attacchi a livello amministrativo.
Nuove funzionalità per gli sviluppatori
Smart App Control: Ora disponibile di default su sistemi selezionati, questa funzione utilizza un modello AI per prevedere se un’app è sicura, bloccando le app sconosciute collegate a malware.
Trusted Signing: Questa nuova funzionalità rende più semplice il processo di firma delle app, gestendo ogni aspetto del ciclo di vita del certificato e integrandosi con strumenti di sviluppo come Azure DevOps e GitHub.
Win32 App Isolation: Attualmente in anteprima, questa funzione aiuta gli sviluppatori di app Windows a contenere i danni e a salvaguardare la privacy degli utenti in caso di compromesso dell’applicazione.
Accesso amministrativo temporaneo: Windows richiederà l’accesso amministrativo solo quando necessario, rendendo più difficile per le app abusare dei privilegi di amministratore e installare malware.
Microsoft continua a migliorare la sicurezza di Windows 11, collaborando con OEM, sviluppatori di app e altri partner dell’ecosistema per offrire un sistema operativo più sicuro per impostazione predefinita. Con queste nuove funzionalità e aggiornamenti, Windows 11 è progettato per aiutare gli utenti a rimanere protetti contro le minacce informatiche in continua evoluzione.
Sicurezza Informatica
Arrestato a New York il proprietario dell’Incognito Black Market
Tempo di lettura: 2 minuti. Arrestato il proprietario di Incognito Market a New York per la vendita di oltre 100 milioni di dollari in narcotici sul dark web.
Il proprietario e operatore del noto mercato della droga sul dark web, Incognito Market, è stato arrestato il 18 maggio all’aeroporto John F. Kennedy di New York. Rui-Siang Lin, conosciuto anche con gli pseudonimi Ruisiang Lin, Pharoah e faro, è accusato di aver gestito una piattaforma che ha facilitato la vendita di oltre 100 milioni di dollari in narcotici illegali, inclusi metanfetamine, cocaina, anfetamine ed ecstasy (MDMA).
Incognito Market è emerso nell’ottobre 2020 e ha operato fino a marzo 2024, quando le forze dell’ordine hanno chiuso il sito. Durante questo periodo, Lin, ventitreenne, avrebbe supervisionato tutte le operazioni del mercato, inclusi i dipendenti, i fornitori e i clienti. Il Dipartimento di Giustizia ha dichiarato che Lin “aveva l’autorità decisionale finale su ogni aspetto dell’operazione multimilionaria.”
Funzionamento di Incognito Market
Lin controllava più di mille fornitori, oltre 200.000 clienti e almeno un altro dipendente che lo assisteva nella gestione del sito. I clienti registrati potevano selezionare quali narcotici acquistare e pagare tramite criptovalute, utilizzando una piattaforma di pagamento descritta come “Incognito Bank.”
Le forze dell’ordine, eseguendo mandati di perquisizione nel luglio 2022 e nell’agosto 2023, hanno ottenuto accesso a tre server utilizzati per operare il mercato e contenenti dati delle transazioni. Un server ospitava il sistema di prevenzione DDoS di Incognito, un altro gestiva i dati del mercato, comprese tutte le transazioni di narcotici completate, mentre il terzo agiva come banca del mercato per elaborare tutte le transazioni in criptovaluta.
Prove e analisi
Le forze dell’ordine hanno trovato dozzine di database su questi server contenenti informazioni su almeno 1.312 account di fornitori, 255.519 account di clienti e 224.791 transazioni legate agli ordini di mercato. Analizzando i dati delle transazioni, è stato possibile mappare l’aumento del volume delle vendite del mercato nel tempo. Il mercato ha generato 83.624.577 dollari di entrate durante la sua operazione, producendo per Lin almeno 4.181.228 dollari dalla commissione del 5%.
Nel marzo 2024, Lin ha chiuso bruscamente il mercato, rifiutandosi di restituire i fondi ai fornitori e ai clienti e minacciando di pubblicare la cronologia delle transazioni di tutti gli utenti di Incognito Market a meno che non gli pagassero una tassa aggiuntiva. Questo comportamento ha evidenziato ulteriormente la sua cupidigia e il disprezzo per gli altri, come affermato dall’agente speciale delle indagini sulla sicurezza interna, Ivan J. Arvelo.
Conseguenze legali
Se riconosciuto colpevole, Lin potrebbe affrontare una pena minima obbligatoria di ergastolo per partecipazione a un’impresa criminale continuata, una pena massima di ergastolo per cospirazione di narcotici, fino a 20 anni di carcere per riciclaggio di denaro e fino a 5 anni per cospirazione per vendere farmaci adulterati e mal etichettati. Lin comparirà oggi davanti al giudice magistrato statunitense Willis presso il tribunale federale di Manhattan.
- Inchieste1 settimana fa
Melinda lascia la Bill Gates Foundation e ritira 12,5 Miliardi di Dollari
- L'Altra Bolla1 settimana fa
Discord celebra il nono compleanno con aggiornamenti e Giveaway
- Inchieste7 giorni fa
Terrore in Campania: dati sanitari di SynLab nel dark web
- Economia1 settimana fa
Ban in Germania per alcuni prodotti Motorola e Lenovo
- Smartphone5 giorni fa
Samsung Galaxy S25 Ultra: Quattro fotocamere in Arrivo
- Economia5 giorni fa
Temu accusata di violare il DSA dell’UE: reclami dei consumatori
- Economia5 giorni fa
40 Milioni di persone si abbonano al piano con Pubblicità di Netflix
- Smartphone1 settimana fa
Samsung Galaxy S25 Ultra avrà una Fotocamera rispetto all’S24