Connect with us

Notizie

Raccoon malware: ritorna la una minaccia informatica

Tempo di lettura: 2 minuti. Il noto malware Raccoon Stealer ritorna con nuove funzionalità, rappresentando una minaccia crescente per la sicurezza informatica.

Pubblicato

il

Tempo di lettura: 2 minuti.

Dopo un periodo di silenzio durato sei mesi, gli individui responsabili dello sviluppo e della distribuzione del noto malware Raccoon Stealer sono tornati sui forum online degli hacker. Questo malware è progettato per rubare informazioni sensibili dalle vittime ignare, rendendo questa notizia motivo di preoccupazione sia per i professionisti della cybersecurity che per il pubblico in generale.

Storia notevole di Raccoon Stealer

Raccoon Stealer ha fatto la sua comparsa nel 2019 ed è diventato famoso per il suo uso diffuso come malware ruba-informazioni. Era disponibile per l’acquisto attraverso un modello di abbonamento, con prezzi che partivano da $200 al mese e che sono aumentati a $275 al mese dal 21 agosto 2023. Il malware è stato utilizzato per compromettere oltre 60 applicazioni, facilitando il furto di dati sensibili come credenziali di accesso, informazioni sulla carta di credito, cronologia di navigazione, cookie e persino dettagli dei portafogli di criptovalute. Nel 2022, il progetto ha subito una battuta d’arresto quando il suo principale creatore, Mark Sokolovsky, è stato arrestato nei Paesi Bassi. Tuttavia, gli sviluppatori di Raccoon Stealer sono rimasti determinati a proseguire le loro attività malevole.

L’ultima versione e le nuove funzionalità

Gli sviluppatori di Raccoon Stealer hanno recentemente annunciato il rilascio della versione 2.3.0 del malware. Questo aggiornamento offre varie migliorie progettate per migliorare l’esperienza dell’utente e ampliare le sue capacità. Tra le funzionalità più notevoli troviamo:

  • Ricerca rapida di cookie e password: Blocco automatico dei bot per identificare e contrastare l’attività dei bot automatizzati.
  • Statistiche e grafici dei log: Fornisce una panoramica dettagliata delle attività del malware.
  • Output aumentato: Il limite per la dimensione dei dati per richiesta è stato aumentato, permettendo al malware di gestire quantità di dati più grandi.

Un campione recente caricato su Malware Bazaar il 16 agosto fornisce informazioni sulle funzionalità della versione più recente di Raccoon Stealer. Con queste funzionalità avanzate, Raccoon Stealer rimane una minaccia significativa per individui e aziende.

Notizie

Gcore neutralizza potenti attacchi DDoS

Pubblicato

il

Tempo di lettura: 2 minuti.

L’ultimo rapporto Gcore Radar e i suoi sviluppi hanno evidenziato un drammatico aumento degli attacchi DDoS in molteplici settori. All’inizio del 2023, la forza media degli attacchi ha raggiunto gli 800 Gbps, ma ora picchi anche superiori a 1,5+ Tbps non sorprendono più. Per cercare di sfondare le difese di Gcore, i perpetratori hanno effettuato due tentativi con due diverse strategie. Scopriamo cosa è successo e come il provider di sicurezza ha fermato gli attaccanti senza influenzare l’esperienza degli utenti finali.

Attacchi DDoS potenti

Nel novembre 2023, uno dei clienti di Gcore dell’industria dei giochi è stato preso di mira da due massicci attacchi DDoS, con picchi rispettivamente di 1,1 e 1,6 Tbps. Gli aggressori hanno impiegato varie tecniche in un tentativo infruttuoso di compromettere i meccanismi protettivi di Gcore.

Attacco #1: DDoS basato su UDP da 1,1 TBPS

Nel primo assalto informatico, gli aggressori hanno inviato una raffica di traffico UDP a un server target, con un picco di 1,1 Tbps. Sono stati impiegati due metodi:

  • Utilizzando porte sorgente UDP casuali, speravano di eludere i meccanismi di filtraggio convenzionali.
  • Gli aggressori hanno nascosto la loro vera identità falsificando gli indirizzi IP sorgente.

Attacco #2: DDoS basato su TCP da 1,6 TBPS

Questa volta, gli aggressori hanno tentato di sfruttare il protocollo TCP con un mix di traffico SYN flood, PSH e ACK. In un attacco SYN flood, diversi pacchetti SYN vengono inviati al server target senza pacchetti ACK. Ciò significa che il server genera una connessione semi-aperta per ogni pacchetto SYN. Se riuscito, il server alla fine esaurirà le risorse e smetterà di accettare connessioni.

Strategie difensive di Gcore

Le difese DDoS di Gcore hanno neutralizzato efficacemente entrambi gli attacchi preservando il servizio regolare per gli utenti finali del cliente. L’approccio generale per respingere le minacce di sicurezza DDoS include diverse tecniche, come le difese di prima linea di Gcore:

  • Modellazione dinamica del traffico: tassi di traffico regolati dinamicamente per mitigare l’impatto dell’attacco garantendo la continuità dei servizi critici.
  • Rilevamento delle anomalie e quarantena: modelli basati su machine learning analizzano il comportamento per identificare anomalie.
  • Filtri basati su espressioni regolari: per bloccare i payload dannosi senza interrompere il traffico legittimo.
  • Intelligence collaborativa sulle minacce: Gcore partecipa attivamente allo scambio di intelligence sulle minacce con i colleghi del settore.

Impatto e tendenze degli Attacchi DDoS

Gli attacchi DDoS con un volume di 1,5+ Tbps rappresentano un pericolo crescente in vari settori, con gli aggressori che utilizzano tecniche fantasiose per cercare di eludere i servizi di protezione. Nel corso del 2023, Gcore ha registrato aumenti sia nel volume medio che massimo degli attacchi, e questi due attacchi collegati dimostrano questa tendenza.

Prosegui la lettura

Notizie

Oltre 20.000 server Microsoft Exchange vulnerabili

Pubblicato

il

Tempo di lettura: 2 minuti.

Decine di migliaia di server email Microsoft Exchange in Europa, Stati Uniti e Asia, esposti su internet pubblico, sono vulnerabili a difetti di esecuzione di codice remoto. Questi sistemi di posta elettronica eseguono una versione del software attualmente non supportata e non ricevono più alcun tipo di aggiornamenti, rendendoli vulnerabili a molteplici problemi di sicurezza, alcuni con una valutazione di gravità critica.

Server Exchange 2007 ancora in funzione

Scansioni Internet di The ShadowServer Foundation mostrano che ci sono circa 20.000 server Microsoft Exchange attualmente raggiungibili su internet pubblico che hanno raggiunto la fase di fine vita (EoL). Venerdì, più della metà dei sistemi si trovava in Europa. In Nord America, c’erano 6.038 server Exchange, e in Asia 2.241 istanze. Tuttavia, le statistiche di ShadowServer potrebbero non mostrare l’intero quadro poiché il ricercatore di sicurezza di Macnica, Yutaka Sejiyama, ha scoperto poco più di 30.000 server Microsoft Exchange che hanno raggiunto la fine del supporto.

Rischio di esecuzione di Codice Remoto

Il ricercatore ha anche confrontato il tasso di aggiornamento e osservato che dal mese di aprile di quest’anno, il numero globale di server Exchange EoL è diminuito solo del 18% da 43.656, una diminuzione che Sejiyama ritiene insufficiente. The ShadowServer Foundation evidenzia che le macchine Exchange obsolete scoperte su internet pubblico erano vulnerabili a molteplici difetti di esecuzione di codice remoto.

Vulnerabilità note

Alcune delle macchine che eseguono versioni più vecchie del server di posta Exchange sono vulnerabili a ProxyLogon, un problema di sicurezza critico tracciato come CVE-2021-26855, che può essere concatenato con un bug meno grave identificato come CVE-2021-27065 per ottenere l’esecuzione di codice remoto. Secondo Sejiyama, basandosi sui numeri di build ottenuti dai sistemi durante la scansione, ci sono circa 1.800 sistemi Exchange vulnerabili a ProxyLogon, ProxyShell o vulnerabilità ProxyToken.

Vulnerabilità rilevate da ShadowServer

ShadowServer nota che le macchine nelle loro scansioni sono vulnerabili ai seguenti difetti di sicurezza:

  • CVE-2020-0688
  • CVE-2021-26855 – ProxyLogon
  • CVE-2021-27065 – parte della catena di exploit ProxyLogon
  • CVE-2022-41082 – parte della catena di exploit ProxyNotShell
  • CVE-2023-21529
  • CVE-2023-36745
  • CVE-2023-36439

Sebbene la maggior parte delle vulnerabilità sopra menzionate non abbia un punteggio di gravità critico, Microsoft le ha contrassegnate come “importanti”. Inoltre, eccetto per la catena ProxyLogon – che è stata sfruttata in attacchi, tutte sono state etichettate come “più probabili” da sfruttare.

Raccomandazioni per le aziende

Anche se le aziende che eseguono ancora server Exchange obsoleti hanno implementato mitigazioni disponibili, la misura non è sufficiente poiché Microsoft raccomanda di dare priorità all’installazione degli aggiornamenti sui server che sono rivolti all’esterno e che sono ancora vulnerabili. Nel caso di istanze che hanno raggiunto la fine del supporto, l’unica opzione rimanente è aggiornare a una versione che riceve ancora almeno aggiornamenti di sicurezza.

Prosegui la lettura

Notizie

FjordPhantom: malware Android che svuota i conti correnti

Pubblicato

il

Tempo di lettura: 2 minuti.

Un nuovo malware Android chiamato FjordPhantom è stato scoperto mentre utilizza la virtualizzazione per eseguire codice malevolo in un contenitore e sfuggire al rilevamento. Il malware, scoperto da Promon, si diffonde attualmente tramite email, SMS e app di messaggistica, prendendo di mira app bancarie in Indonesia, Thailandia, Vietnam, Singapore e Malesia.

Modalità di attacco e obiettivi

Le vittime vengono ingannate nel scaricare quelle che sembrano essere app bancarie legittime, ma contengono codice malevolo che opera in un ambiente virtuale per attaccare la vera app bancaria. FjordPhantom mira a rubare le credenziali degli account bancari online e manipolare le transazioni eseguendo frodi direttamente sul dispositivo. Un caso evidenziato nel rapporto di Promon mostra FjordPhantom che ruba $280.000 da una singola vittima, combinando la natura evasiva del malware con l’ingegneria sociale, come chiamate presumibilmente dagli agenti del servizio clienti delle banche.

Virtualizzazione come evasione su Android

Su Android, più app possono essere eseguite in ambienti isolati noti come “contenitori” per motivi legittimi, come l’esecuzione di più istanze della stessa app utilizzando account diversi. FjordPhantom incorpora una soluzione di virtualizzazione da progetti open-source per creare un contenitore virtuale sul dispositivo senza che l’utente lo sappia. Al lancio, il malware installa l’APK dell’app bancaria che l’utente intendeva scaricare ed esegue codice malevolo all’interno dello stesso contenitore, rendendolo parte del processo fidato.

Iniezione di Codice e manipolazione delle Transazioni

Con l’app bancaria in esecuzione all’interno del suo contenitore virtuale, FjordPhantom può iniettare il suo codice per agganciare API chiave che gli permettono di catturare credenziali, manipolare transazioni, intercettare informazioni sensibili, ecc. In alcune app, il framework di agganciamento del malware manipola anche elementi dell’interfaccia utente per chiudere automaticamente i dialoghi di avviso e mantenere la vittima all’oscuro del compromesso.

Rompere ‘Sandbox di Android’ e rischio di espansione

Promon osserva che questo trucco di virtualizzazione rompe il concetto di sicurezza del ‘Sandbox di Android’, che impedisce alle app di accedere ai dati l’una dell’altra o interferire con le loro operazioni, poiché le app all’interno di un contenitore condividono lo stesso sandbox. Questo è un attacco particolarmente subdolo perché l’app bancaria stessa non viene modificata, quindi il rilevamento della manipolazione del codice non aiuta a catturare la minaccia.

Prosegui la lettura

Facebook

CYBERSECURITY

Notizie4 ore fa

Gcore neutralizza potenti attacchi DDoS

Tempo di lettura: 2 minuti. L’ultimo rapporto Gcore Radar e i suoi sviluppi hanno evidenziato un drammatico aumento degli attacchi...

Notizie4 ore fa

Oltre 20.000 server Microsoft Exchange vulnerabili

Tempo di lettura: 2 minuti. Decine di migliaia di server email Microsoft Exchange in Europa, Stati Uniti e Asia, esposti...

Notizie5 ore fa

FjordPhantom: malware Android che svuota i conti correnti

Tempo di lettura: 2 minuti. Un nuovo malware Android chiamato FjordPhantom è stato scoperto mentre utilizza la virtualizzazione per eseguire...

Notizie1 giorno fa

Qakbot: strategie di Mitigazione e Prevenzione

Tempo di lettura: 2 minuti. Il Dipartimento di Giustizia degli Stati Uniti (DOJ) e l’FBI hanno recentemente collaborato in un’operazione...

Notizie1 giorno fa

SugarGh0st RAT: nuova minaccia cibernetica dalla Cina

Tempo di lettura: 2 minuti. Introduzione: Un gruppo di hacker di lingua cinese è stato collegato a una campagna malevola...

Notizie1 giorno fa

Agent Raccoon: nuovo Malware utilizzato per attacchi backdoor

Tempo di lettura: 2 minuti. Un nuovo malware chiamato ‘Agent Raccoon’ (o Agent Racoon) è stato identificato come strumento utilizzato...

Bluetooth Bluetooth
Notizie1 giorno fa

Bluetooth: scoperta una grave vulnerabilità di sicurezza

Tempo di lettura: 2 minuti. Un team di ricerca francese di EURECOM ha scoperto una preoccupante vulnerabilità di sicurezza nel...

Notizie2 giorni fa

Avviso di Sicurezza CISA: IRGC mira ai PLC in diversi settori

Tempo di lettura: 2 minuti. La Cybersecurity and Infrastructure Security Agency (CISA), insieme a FBI, NSA, EPA e Israel National...

Notizie2 giorni fa

Apple risolti due Zero-Day. Fate l’aggiornamento d’emergenza

Tempo di lettura: 2 minuti. Apple ha rilasciato l’aggiornamento di sicurezza d’emergenza per risolvere due vulnerabilità zero-day che sono state...

CISA CISA
Tech3 giorni fa

CISA avvisa vulnerabilità, ICS e Gestione Documentale Giudiziaria

Tempo di lettura: 2 minuti. La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha emesso avvisi critici riguardanti...

Truffe recenti

Notizie2 settimane fa

Polizia Postale: attenzione alla truffa dei biglietti ferroviari falsi

Tempo di lettura: < 1 minuto. Gli investigatori della Polizia Postale hanno recentemente individuato una nuova truffa online che prende...

app ledger falsa app ledger falsa
Notizie4 settimane fa

App Falsa di Ledger Ruba Criptovalute

Tempo di lettura: 2 minuti. Un'app Ledger Live falsa nel Microsoft Store ha rubato 768.000 dollari in criptovalute, sollevando dubbi...

keepass pubblicità malevola keepass pubblicità malevola
Notizie2 mesi fa

Google: pubblicità malevole che indirizzano a falso sito di Keepass

Tempo di lettura: 2 minuti. Google ospita una pubblicità malevola che indirizza gli utenti a un falso sito di Keepass,...

Notizie2 mesi fa

Nuova tattica per la truffa dell’aggiornamento del browser

Tempo di lettura: 2 minuti. La truffa dell'aggiornamento del browser si rinnova, con i criminali che ora ospitano file dannosi...

Notizie2 mesi fa

Oltre 17.000 siti WordPress compromessi negli attacchi di Balada Injector

Tempo di lettura: 2 minuti. La campagna di hacking Balada Injector ha compromesso oltre 17.000 siti WordPress sfruttando vulnerabilità nei...

Truffe online2 mesi fa

ChatGPT cerca di ingannare cuori solitari appassionati di AI

Tempo di lettura: < 1 minuto. La truffa LoveGPT rappresenta una nuova minaccia nel mondo degli appuntamenti online, sfruttando l'AI...

Notizie2 mesi fa

Nuovo avviso della Polizia Postale: attenzione allo “Spoofing telefonico”

Tempo di lettura: 2 minuti. Attenzione ai tentativi di truffa tramite "Spoofing telefonico": la Polizia Postale avvisa e fornisce consigli...

Truffe online3 mesi fa

No, la vostra pagina Facebook non sta per scadere e non è disabilitata

Tempo di lettura: < 1 minuto. La nuova vecchia truffa è indirizzata ai proprietari delle pagine a cui si vuole...

Economia3 mesi fa

MetaMask ecco la funzione di scambio ETH in valuta fiat

Tempo di lettura: < 1 minuto. MetaMask lancia una nuova funzione che permette agli utenti di vendere Ether per valuta...

truffa PWCNU truffa PWCNU
Truffe online3 mesi fa

Allerta Truffa: segnalazione di frode online su PWCNU.com

Tempo di lettura: 2 minuti. Allerta truffa: lettore segnala frode su PWCNU.com, perdendo 800€ in schema Ponzi che utilizza numeri...

Tendenza