Connect with us

Notizie

Mozi botnet si spegne misteriosamente dopo un kill switch

Tempo di lettura: 2 minuti. La botnet Mozi si spegne misteriosamente dopo l’attivazione di un kill switch. Scopri come è avvenuta la disattivazione

Pubblicato

il

Tempo di lettura: 2 minuti.

Il botnet malware Mozi ha visto la sua attività svanire ad agosto, dopo che una misteriosa entità sconosciuta ha inviato un payload il 27 settembre 2023, attivando un kill switch per disattivare tutti i bot. Mozi è un noto botnet malware DDoS (distributed denial of service) che è emerso nel 2019, mirando principalmente a dispositivi IoT come router, registratori video digitali e altri dispositivi connessi a Internet.

Come funziona Mozi

Il malware sfruttava vulnerabilità note o password predefinite deboli per compromettere i dispositivi e renderli parte della sua rete peer-to-peer decentralizzata, dove comunicavano utilizzando il protocollo DHT (distributed hash table) di BitTorrent.

La misteriosa disattivazione di Mozi

Oggi, ESET ha riferito che i suoi dati di telemetria hanno mostrato un netto calo dell’attività di Mozi l’8 agosto 2023, iniziando con una sospensione di tutte le operazioni in India. Questo è stato seguito da una simile cessazione improvvisa delle attività in Cina, dove ha origine il botnet, il 16 agosto 2023. Infine, il 27 settembre 2023, è stato inviato un messaggio UDP a tutti i bot di Mozi otto volte, istruendoli a scaricare un aggiornamento tramite HTTP, causando la seguente serie di eventi:

  • Terminazione del processo malware Mozi,
  • Disabilitazione di alcuni servizi di sistema (sshd e dropbear),
  • Sostituzione del file Mozi,
  • Esecuzione di comandi di configurazione del dispositivo,
  • Blocco dell’accesso a varie porte,
  • Stabilire una presa per il nuovo file.

Il fatto che chi ha premuto il kill switch abbia scelto di mantenere la persistenza per il nuovo payload, che può anche fare ping a un server remoto per aiutare nel tracciamento, suggerisce una disattivazione controllata. L’analisi del codice di ESET ha mostrato forti somiglianze tra il codice Mozi originale e i binari utilizzati nella disattivazione, che presentavano le chiavi private corrette per firmare il payload.

Ciò suggerisce il coinvolgimento dei creatori originali del botnet e/o delle forze dell’ordine cinesi nella disattivazione, ma per ora questa domanda rimane senza risposta.

Consigli per gli utenti

Nonostante la buona notizia che uno dei botnet più prolifici sia offline, ci sono, purtroppo, molti altri botnet malware DDoS che scansionano quotidianamente il web alla ricerca di IoT vulnerabili. Pertanto, gli utenti dovrebbero aggiornare i loro dispositivi con l’ultima versione del firmware, utilizzare password robuste e isolarli dalle reti critiche.

Notizie

Aeroblade: APT emergente in Asia esperto di Cyber Spionaggio

Pubblicato

il

Tempo di lettura: 2 minuti.

Un attore di minaccia precedentemente non documentato, denominato Aeroblade, è stato collegato a un attacco informatico contro un’organizzazione aerospaziale negli Stati Uniti, sospettato di essere parte di una missione di cyber spionaggio.

Dettagli dell’Attacco di Aeroblade

Il team di ricerca e intelligence di BlackBerry sta monitorando il cluster di attività di Aeroblade. L’origine dell’attore è attualmente sconosciuta e non è chiaro se l’attacco sia stato riuscito.

L’attore ha utilizzato il spear-phishing come meccanismo di consegna: un documento armato, inviato come allegato email, contiene una tecnica di iniezione di template remoto incorporata e un codice macro VBA maligno, per consegnare la fase successiva all’esecuzione del payload finale.

Infrastruttura di Rete e Fasi dell’Attacco

L’infrastruttura di rete utilizzata per l’attacco è stata attivata intorno a settembre 2022, con la fase offensiva dell’intrusione che si è verificata quasi un anno dopo, a luglio 2023. L’attacco iniziale, avvenuto a settembre 2022, è iniziato con un’email di phishing contenente un allegato di Microsoft Word che, una volta aperto, ha utilizzato una tecnica chiamata iniezione di template remoto per recuperare un payload della fase successiva che viene eseguito dopo che la vittima abilita le macro.

Capacità di Raccolta Informazioni

La catena di attacco ha infine portato al dispiegamento di una libreria a collegamento dinamico (DLL) che funziona come un reverse shell, connettendosi a un server di comando e controllo (C2) codificato e trasmettendo informazioni di sistema agli attaccanti. Le capacità di raccolta di informazioni includono anche l’enumerazione dell’elenco completo delle directory sull’host infetto, indicando che potrebbe trattarsi di uno sforzo di ricognizione effettuato per vedere se la macchina ospita dati di valore e aiutare gli operatori a pianificare i loro prossimi passi.

Tecniche Anti-Analisi e Persistenza

La DLL fortemente offuscata è dotata anche di tecniche anti-analisi e anti-disassemblaggio per renderla difficile da rilevare e smontare, evitando l’esecuzione in ambienti sandboxati. La persistenza è ottenuta tramite un Task Scheduler, in cui viene creato un task denominato “WinUpdate2” per essere eseguito ogni giorno alle 10:10.

Prosegui la lettura

Notizie

RepoJacking: rischio per15.000 repository di moduli Go su GitHub

Pubblicato

il

github
Tempo di lettura: 2 minuti.

Una nuova ricerca ha scoperto che oltre 15.000 repository di moduli Go su GitHub sono vulnerabili a un attacco chiamato repojacking. Più di 9.000 repository sono vulnerabili a repojacking a causa di cambiamenti nel nome utente di GitHub, mentre più di 6.000 sono vulnerabili a causa della cancellazione dell’account. Collettivamente, questi repository rappresentano non meno di 800.000 versioni di moduli Go.

Cos’è il RepoJacking?

Repojacking, una combinazione delle parole “repository” e “hijacking” (dirottamento), è una tecnica di attacco che consente a un malintenzionato di sfruttare i cambiamenti del nome utente dell’account e le cancellazioni per creare un repository con lo stesso nome e il precedente nome utente per organizzare attacchi alla catena di fornitura di software open-source.

Vulnerabilità dei Moduli Go

I moduli scritti nel linguaggio di programmazione Go sono particolarmente suscettibili a repojacking, poiché, a differenza di altre soluzioni di gestione dei pacchetti come npm o PyPI, sono decentralizzati in quanto vengono pubblicati su piattaforme di controllo versione come GitHub o Bitbucket. Un attaccante può registrare il nome utente non più utilizzato, duplicare il repository del modulo e pubblicare un nuovo modulo su proxy.golang.org e go.pkg.dev.

Misure di prevenzione di GitHub

Per prevenire che gli sviluppatori scarichino pacchetti potenzialmente non sicuri, GitHub ha messo in atto una contromisura chiamata “popular repository namespace retirement” che blocca i tentativi di creare repository con i nomi di spazi dei nomi ritirati che sono stati clonati più di 100 volte prima che gli account dei proprietari venissero rinominati o cancellati. Tuttavia, questa protezione non è utile per i moduli Go, poiché sono memorizzati nella cache dal modulo mirror, eliminando la necessità di interagire o clonare un repository.

Risposta e mitigazione

Jacob Baines, chief technology officer di VulnCheck, ha affermato che mitigare tutti questi repojacking è qualcosa che Go o GitHub dovranno affrontare. Fino ad allora, è importante che gli sviluppatori Go siano consapevoli dei moduli che utilizzano e dello stato del repository da cui i moduli provengono.

La divulgazione arriva anche mentre Lasso Security ha scoperto 1.681 token API esposti su Hugging Face e GitHub, inclusi quelli associati a Google, Meta, Microsoft e VMware, che potrebbero essere potenzialmente sfruttati per organizzare attacchi alla catena di fornitura, avvelenamento dei dati di addestramento e furto di modelli.

Prosegui la lettura

Notizie

Collezioni NFT a rischio vulnerabilità. Quali sono?

Pubblicato

il

Tempo di lettura: 2 minuti.

Una vulnerabilità in una libreria open source comune nello spazio Web3 impatta la sicurezza dei contratti intelligenti pre-costruiti, influenzando diverse collezioni di NFT, inclusa Coinbase.

Come Funziona l’Attacco?

La vulnerabilità è stata scoperta da ricercatori della piattaforma di sviluppo Web3 Thirdweb, che hanno rilevato che la maggior parte dei gestori di password per Android è vulnerabile ad AutoSpill, anche senza iniezione di JavaScript. Le app Android spesso utilizzano i controlli WebView per visualizzare contenuti web, come pagine di login all’interno dell’app. I gestori di password su Android utilizzano il framework WebView della piattaforma per digitare automaticamente le credenziali dell’utente quando un’app carica la pagina di login di servizi come Apple, Facebook, Microsoft o Google. È possibile sfruttare le debolezze in questo processo per catturare le credenziali compilate automaticamente sull’app che le richiama.

Contratti Smart Impattati

I seguenti contratti smart sono impattati dalla vulnerabilità:

  • AirdropERC20 (v1.0.3 e successivi), ERC721 (v1.0.4 e successivi), ERC1155 (v1.0.4 e successivi) ERC20Claimable, ERC721Claimable, ERC1155Claimable
  • BurnToClaimDropERC721 (tutte le versioni)
  • DropERC20, ERC721, ERC1155 (tutte le versioni)
  • LoyaltyCard
  • MarketplaceV3 (tutte le versioni)
  • Multiwrap, Multiwrap_OSRoyaltyFilter
  • OpenEditionERC721 (v1.0.0 e successivi)
  • Pack e Pack_OSRoyaltyFilter
  • TieredDrop (tutte le versioni)
  • TokenERC20, ECRC721, ERC1155 (tutte le versioni)
  • SignatureDrop, SignatureDrop_OSRoyaltyFilter
  • Split (basso impatto)
  • TokenStake, NFTStake, EditionStake (tutte le versioni)

Misure di Mitigazione

I proprietari di contratti smart devono adottare misure di mitigazione immediatamente per tutti i contratti pre-costruiti creati prima del 22 novembre 2023, alle 19:00 PT. Il consiglio è di bloccare i contratti vulnerabili, fare uno snapshot e poi migrarli a un nuovo contratto creato con una versione non vulnerabile della libreria. Thirdweb ha condiviso i dettagli dell’exploit con i manutentori della libreria interessata e ha affermato di non aver visto la vulnerabilità essere sfruttata in attacchi.

Risposte da Coinbase e Altri

Coinbase NFT ha annunciato che ha appreso della vulnerabilità venerdì scorso e che influisce su alcune delle sue collezioni create con Thirdweb. Mocaverse ha aggiornato i suoi utenti che i loro asset sono al sicuro e che ha “aggiornato con successo i contratti smart della collezione NFT Mocaverse, Lucky Neko e Mocaverse Relic per chiudere la rilevante vulnerabilità di sicurezza”. OpenSea ha annunciato che sta lavorando a stretto contatto con Thirdweb per mitigare i rischi coinvolti e prevede di assistere gli utenti colpiti. alcuni utenti hanno invece lamentato una mancanza di trasparenza da parte di ThirdWeb sulla scoperta da loro denunciata.

Prosegui la lettura

Facebook

CYBERSECURITY

github github
Notizie1 ora fa

RepoJacking: rischio per15.000 repository di moduli Go su GitHub

Tempo di lettura: 2 minuti. Una nuova ricerca ha scoperto che oltre 15.000 repository di moduli Go su GitHub sono...

Notizie2 ore fa

Collezioni NFT a rischio vulnerabilità. Quali sono?

Tempo di lettura: 2 minuti. Una vulnerabilità in una libreria open source comune nello spazio Web3 impatta la sicurezza dei...

Multilingua2 ore fa

AutoSpill ruba credenziali dai Gestori di Password Android

Tempo di lettura: 2 minuti. Ricercatori di sicurezza hanno sviluppato un nuovo attacco, denominato AutoSpill, per rubare credenziali di account...

Notizie3 ore fa

WordPress: Aggiornamento 6.4.2 corregge grave vulnerabilità

Tempo di lettura: < 1 minuto. WordPress ha rilasciato la versione 6.4.2, che include una patch per una grave vulnerabilità...

Notizie4 ore fa

5Ghoul, vulnerabilità nei Modem 5G: iOS e Android sono a rischio?

Tempo di lettura: 2 minuti. Recenti scoperte hanno rivelato una serie di vulnerabilità, 5Ghoul, nel firmware dei modem 5G di...

Notizie4 ore fa

Interruzione dei siti ALPHV Ransomware: cosa succede?

Tempo di lettura: 2 minuti. Si ritiene che un’operazione delle forze dell’ordine sia la causa dell’interruzione dei siti web del...

microsoft outlook microsoft outlook
Notizie4 ore fa

Problemi di invio Email in Outlook? Microsoft da una soluzione

Tempo di lettura: 2 minuti. Microsoft ha riconosciuto un nuovo problema che sta influenzando gli utenti di Outlook per Microsoft...

Notizie1 giorno fa

Krasue RAT si nasconde sui Server Linux con Rootkit integrati

Tempo di lettura: 2 minuti. I ricercatori di sicurezza hanno scoperto un trojan di accesso remoto chiamato Krasue che prende...

Notizie2 giorni fa

Attacchi informatici sfruttano DHCP di Microsoft per Spoofing DNS

Tempo di lettura: 2 minuti. Una serie di attacchi contro i domini di Microsoft Active Directory potrebbe permettere ai malintenzionati...

CISA CISA
Notizie2 giorni fa

CISA rafforza la sicurezza: vulnerabilità e consigli sui sistemi ICS

Tempo di lettura: < 1 minuto. La sicurezza informatica è un campo in costante evoluzione, con nuove minacce che emergono...

Truffe recenti

Notizie3 settimane fa

Polizia Postale: attenzione alla truffa dei biglietti ferroviari falsi

Tempo di lettura: < 1 minuto. Gli investigatori della Polizia Postale hanno recentemente individuato una nuova truffa online che prende...

app ledger falsa app ledger falsa
Notizie1 mese fa

App Falsa di Ledger Ruba Criptovalute

Tempo di lettura: 2 minuti. Un'app Ledger Live falsa nel Microsoft Store ha rubato 768.000 dollari in criptovalute, sollevando dubbi...

keepass pubblicità malevola keepass pubblicità malevola
Notizie2 mesi fa

Google: pubblicità malevole che indirizzano a falso sito di Keepass

Tempo di lettura: 2 minuti. Google ospita una pubblicità malevola che indirizza gli utenti a un falso sito di Keepass,...

Notizie2 mesi fa

Nuova tattica per la truffa dell’aggiornamento del browser

Tempo di lettura: 2 minuti. La truffa dell'aggiornamento del browser si rinnova, con i criminali che ora ospitano file dannosi...

Notizie2 mesi fa

Oltre 17.000 siti WordPress compromessi negli attacchi di Balada Injector

Tempo di lettura: 2 minuti. La campagna di hacking Balada Injector ha compromesso oltre 17.000 siti WordPress sfruttando vulnerabilità nei...

Truffe online2 mesi fa

ChatGPT cerca di ingannare cuori solitari appassionati di AI

Tempo di lettura: < 1 minuto. La truffa LoveGPT rappresenta una nuova minaccia nel mondo degli appuntamenti online, sfruttando l'AI...

Notizie2 mesi fa

Nuovo avviso della Polizia Postale: attenzione allo “Spoofing telefonico”

Tempo di lettura: 2 minuti. Attenzione ai tentativi di truffa tramite "Spoofing telefonico": la Polizia Postale avvisa e fornisce consigli...

Truffe online3 mesi fa

No, la vostra pagina Facebook non sta per scadere e non è disabilitata

Tempo di lettura: < 1 minuto. La nuova vecchia truffa è indirizzata ai proprietari delle pagine a cui si vuole...

Economia3 mesi fa

MetaMask ecco la funzione di scambio ETH in valuta fiat

Tempo di lettura: < 1 minuto. MetaMask lancia una nuova funzione che permette agli utenti di vendere Ether per valuta...

truffa PWCNU truffa PWCNU
Truffe online3 mesi fa

Allerta Truffa: segnalazione di frode online su PWCNU.com

Tempo di lettura: 2 minuti. Allerta truffa: lettore segnala frode su PWCNU.com, perdendo 800€ in schema Ponzi che utilizza numeri...

Tendenza