Notizie
Malware su Google Play Store: un mercato nero in espansione
Tempo di lettura: < 1 minuto. Criminali informatici vendono servizi per inserire app infette
Il Google Play Store è diventato noto per la presenza di app infette da malware, con criminali informatici che hanno creato un vero e proprio mercato nero basato su Telegram per offrire servizi di inserimento di app malevole sullo store.
Prezzi variabili e servizi offerti
I prezzi per questi servizi variano da 2.000 a 20.000 dollari, secondo un recente rapporto di Kaspersky. I criminali informatici sono in grado di mascherare il malware iniettandolo in app apparentemente utili, come scanner di codici QR, app di incontri e piccoli giochi per dispositivi mobili.
Vendita di account sviluppatore “puliti”
Gli account sviluppatore “puliti”, privi di segnalazioni o sospetti, vengono venduti per circa 60 dollari, permettendo ai criminali di inviare malware al Play Store attirando meno attenzione.
Criminali informatici sicuri del successo
I responsabili di questi servizi sono così fiduciosi del loro successo da promettere oltre 5.000 download prima che l’app venga rimossa dallo store. Anche se potrebbe sembrare poco, è sufficiente per facilitare il furto di grandi quantità di dati.
Google deve affrontare il problema
Google deve affrontare questi problemi per evitare che la situazione attuale del Play Store peggiori. Le app create richiedono un’ampia gamma di autorizzazioni che consentono l’accesso alla fotocamera dell’utente e alla lista dei contatti. È necessario intraprendere azioni urgenti per garantire la sicurezza di tutti gli utenti Android.
Notizie
Nuovo servizio Phishing “Darcula” mira gli utenti iPhone tramite iMessage
Tempo di lettura: 2 minuti. Il servizio di phishing Darcula rappresenta un’avanzata minaccia nel panorama della sicurezza informatica
Un servizio di phishing noto come “Darcula” sta emergendo nel panorama della cybersecurity, sfruttando oltre 20.000 domini per impersonare marchi noti e rubare credenziali sia agli utenti Android che iPhone in più di 100 paesi. Questo servizio di phishing come servizio (PhaaS) si distingue per l’utilizzo dei protocolli di Servizi di Comunicazione Ricca (RCS) per Google Messages e iMessage al posto degli SMS tradizionali per l’invio di messaggi di phishing.
Caratteristiche Distintive di Darcula
Darcula, segnalato per la prima volta dall’analista di sicurezza Oshri Kalfon, sta guadagnando popolarità nello spazio del cybercrime e la società Netcraft ha redatto una ricerca. Questo servizio offre agli utenti malintenzionati oltre 200 template tra cui scegliere, per impersonare vari servizi e organizzazioni, dalle poste ai dipartimenti governativi e finanziari, fino a telecomunicazioni, compagnie aeree e servizi pubblici.
Tecnologie e Metodi Innovativi
A differenza dei metodi di phishing tradizionali, Darcula utilizza tecnologie moderne come JavaScript, React, Docker e Harbor. Questo permette aggiornamenti continui e l’aggiunta di nuove funzionalità senza che i clienti debbano reinstallare i kit di phishing. I kit offrono 200 template che impersonano marchi e organizzazioni in più di 100 paesi, con pagine di destinazione di alta qualità che utilizzano la lingua, i loghi e i contenuti locali corretti.
Superamento delle Restrizioni di SMS
Darcula si allontana dalle tattiche basate sugli SMS e utilizza invece RCS (per Android) e iMessage (per iOS) per inviare ai destinatari messaggi con link verso l’URL di phishing. Questo approccio aumenta la probabilità che i destinatari percepiscano la comunicazione come legittima, affidandosi alle maggiori garanzie di sicurezza che non sono disponibili negli SMS.
Sfide e Limitazioni
Nonostante i vantaggi, l’utilizzo di RCS e iMessage presenta delle sfide per i cybercriminali, come il divieto da parte di Apple di account che inviano un alto volume di messaggi a più destinatari e le recenti restrizioni di Google che impediscono ai dispositivi Android con root di inviare o ricevere messaggi RCS. Per superare queste limitazioni, i criminali informatici creano più ID Apple e utilizzano farm di dispositivi per inviare un piccolo numero di messaggi da ciascun dispositivo.
Raccomandazioni per gli Utenti
Gli utenti dovrebbero trattare con sospetto tutti i messaggi in arrivo che li esortano a fare clic su URL, specialmente se il mittente non è riconosciuto. Indipendentemente dalla piattaforma o dall’app, gli attori delle minacce di phishing continueranno a sperimentare nuovi metodi di consegna. È consigliato prestare attenzione a errori grammaticali, offerte eccessivamente allettanti o richieste di azioni urgenti.
Notizie
Edge vulnerabilità consentiva installazioni occulte di estensioni dannose
Tempo di lettura: 2 minuti. Una vulnerabilità in Microsoft Edge avrebbe potuto permettere installazioni occulte di estensioni dannose, evidenziando preoccupazioni
Una vulnerabilità di sicurezza, ora corretta, in Microsoft Edge avrebbe potuto permettere l’installazione silenziosa di estensioni arbitrarie, aprire le porte a possibili azioni dannose. Questa scoperta, fatta dal ricercatore di Guardio Labs Oleg Zaytsev, sfruttava impropriamente un’API privata inizialmente destinata per fini di marketing.
Breach nella sicurezza di Edge
La falla, identificata come con un punteggio CVSS di 6.5, è stata risolta da Microsoft nella versione stabile di Edge 121.0.2277.83 rilasciata il 25 gennaio 2024. Questo bug rappresentava una significativa preoccupazione per la sicurezza, poiché avrebbe potuto consentire a un attaccante di guadagnare i privilegi necessari per installare un’estensione nel browser, potenzialmente conducendo a una fuga dalla sandbox del browser.
Il problema risiedeva nell’API edgeMarketingPagePrivate
di Edge, accessibile da un insieme di siti web autorizzati di proprietà di Microsoft. Tale API conteneva un metodo, installTheme()
, progettato per installare un tema dallo store Edge Add-ons, ma a causa di una validazione insufficiente, era possibile per un attaccante fornire un identificativo di estensione qualsiasi e farlo installare in modo occculto.
Implicazioni e scenari di attacco
In uno scenario di attacco ipotetico, un attore di minaccia avrebbe potuto pubblicare un’estensione apparentemente innocua nello store di add-on e utilizzarla per iniettare codice JavaScript dannoso in siti come bing.com, che hanno accesso all’API. L’esecuzione dell’estensione mirata sul browser Edge e la visita a bing.com avrebbero automaticamente installato l’estensione selezionata senza il permesso della vittima.
Sebbene non ci siano prove che questa vulnerabilità sia stata sfruttata attivamente, sottolinea la necessità di bilanciare comodità dell’utente e sicurezza. La personalizzazione del browser può involontariamente annullare meccanismi di sicurezza, introducendo nuovi vettori di attacco.
Riflessioni finali
Questo caso evidenzia come sia relativamente facile per gli attaccanti ingannare gli utenti a installare un’estensione che sembra innocua, senza rendersi conto che potrebbe servire come primo passo in un attacco più complesso. La vulnerabilità avrebbe potuto essere sfruttata per facilitare l’installazione di ulteriori estensioni, potenzialmente per guadagno finanziario, aumentando l’importanza di una vigilanza continua nella gestione della sicurezza dei browser.
Notizie
CISA vulnerabilità in SharePoint e Apple rilascia aggiornamenti di sicurezza
Tempo di lettura: 1 minuto. CISA segnala vulnerabilità sfruttate in SharePoint ed Apple rilascia aggiornamenti di sicurezza per riparare Safari e macOS.
La Cybersecurity and Infrastructure Security Agency (CISA) ha emesso un avviso per una vulnerabilità di SharePoint di Microsoft attivamente sfruttata che consente l’esecuzione di codice remoto (RCE), mentre Apple ha rilasciato aggiornamenti di sicurezza per una vulnerabilità in Safari e macOS che potrebbe permettere a un attaccante di prendere il controllo di un sistema.
Vulnerabilità in SharePoint di Microsoft
La vulnerabilità di SharePoint, tracciata come CVE-2023-24955, consente agli aggressori autenticati con privilegi di Proprietario del Sito di eseguire codice a distanza su server vulnerabili. Un’altra falla, CVE-2023-29357, permette agli attaccanti di ottenere privilegi di amministratore su server SharePoint vulnerabili bypassando l’autenticazione tramite token JWT falsificati. Queste due vulnerabilità possono essere combinate da aggressori non autenticati per ottenere l’esecuzione di codice remoto su server non aggiornati.
Un proof-of-concept (PoC) per CVE-2023-29357 è stato rilasciato su GitHub, rendendo questa catena di vulnerabilità più accessibile agli attaccanti, anche a quelli meno esperti. Di conseguenza, CISA ha incluso entrambe le vulnerabilità nel suo catalogo di vulnerabilità note ed è stata sfruttata, ordinando alle agenzie federali statunitensi di applicare le patch entro scadenze specifiche.
Aggiornamenti di Sicurezza per Safari e macOS
Parallelamente, Apple ha affrontato una vulnerabilità critica, identificata come CVE-2024-1580, in Safari e macOS che, se sfruttata, potrebbe consentire a un attore di minaccia di prendere il controllo di un sistema interessato. Gli utenti e gli amministratori sono incoraggiati a rivedere gli avvisi rilasciati e applicare gli aggiornamenti necessari per proteggere i loro dispositivi da potenziali compromissioni.
Significato per la sicurezza
Questi avvisi sottolineano l’importanza di mantenere i sistemi aggiornati e di implementare patch di sicurezza tempestivamente per difendersi dagli attacchi informatici. Le organizzazioni dovrebbero dare priorità a questi aggiornamenti per mitigare il rischio di compromissione dei dati e assicurarsi contro l’esposizione a vulnerabilità critica.
- L'Altra Bolla1 settimana fa
YouTube Music rivoluziona la ricerca: trova canzoni cantando!
- Economia1 settimana fa
Calo vendite smartphone: luce in fondo al tunnel
- L'Altra Bolla1 settimana fa
Con YouTube è possibile etichettare contenuti generati dall’AI
- L'Altra Bolla1 settimana fa
Telegram raccoglie $330 Milioni mentre X affronta problemi di Shadowbanning
- L'Altra Bolla1 settimana fa
Meta riduce costo abbonamento
- Inchieste6 giorni fa
Elezioni: Google finanzia il Ministero della Verità, Meta alle prese con i Watermark AI
- Economia1 settimana fa
Broadcom “ricatta” i servizi cloud europei ed interrompe i contratti. Si muove il CISPE
- Economia1 settimana fa
Svolta IA in Microsoft e Google Deep Mind: entrano Mustafa Suleyman e Liz Reid