Notizie
Truffa AnyDesk, interviene la CISA
La Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) e il Multi-State Information Sharing and Analysis Center (MS-ISAC) (di seguito denominate “organizzazioni autrici”) pubblicano questo Cybersecurity Advisory (CSA) congiunto per mettere in guardia i difensori delle reti dall’uso malevolo di software legittimi di monitoraggio e gestione remota (RMM). Nell’ottobre del 2022, il CISA ha identificato una campagna informatica diffusa che prevedeva l’uso dannoso di software RMM legittimi. In particolare, i criminali informatici hanno inviato e-mail di phishing che portavano al download di software RMM legittimi – ScreenConnect (ora ConnectWise Control) e AnyDesk – che gli attori hanno utilizzato in una truffa di rimborso per rubare denaro dai conti bancari delle vittime.
Truffa finto Anydesk: Odisseus invita all’attenzione sulle pubblicità di Google Adwords
Oltre 1.300 falsi siti AnyDesk spingono il malware Vidar per rubare informazioni
Sebbene questa campagna appaia finanziariamente motivata, le organizzazioni autrici ritengono che possa portare a ulteriori tipi di attività dannose. Ad esempio, gli attori potrebbero vendere l’accesso agli account delle vittime ad altri criminali informatici o ad attori di minacce persistenti avanzate (APT). Questa campagna mette in evidenza la minaccia di attività informatiche dannose associate al software RMM legittimo: dopo aver ottenuto l’accesso alla rete di destinazione tramite phishing o altre tecniche, è noto che i criminali informatici malintenzionati – dai criminali informatici alle APT sponsorizzate dagli Stati nazionali – utilizzano il software RMM legittimo come backdoor per la persistenza e/o il comando e il controllo (C2).
L’utilizzo di eseguibili portatili del software RMM offre agli attori un modo per stabilire l’accesso locale dell’utente senza la necessità di privilegi amministrativi e di installazione completa del software, aggirando di fatto i comuni controlli sul software e le ipotesi di gestione del rischio.
Le organizzazioni autrici incoraggiano vivamente i difensori della rete a esaminare le sezioni Indicatori di compromissione (IOC) e Mitigazioni di questa CSA e ad applicare le raccomandazioni per proteggersi dall’uso malevolo di software RMM legittimi. Nell’ottobre 2022, il CISA si è avvalso della segnalazione di terze parti fidate per condurre un’analisi retrospettiva di EINSTEIN, un sistema di rilevamento delle intrusioni (IDS) gestito e monitorato dal CISA, e ha identificato sospette attività dannose su due reti del FCEB:
A metà giugno 2022, alcuni malintenzionati hanno inviato un’e-mail di phishing contenente un numero di telefono all’indirizzo e-mail governativo di un dipendente della FCEB. Il dipendente ha chiamato il numero, che lo ha portato a visitare il dominio dannoso myhelpcare[.]online.
A metà settembre 2022, è stato registrato un traffico bidirezionale tra una rete FCEB e myhelpcare[.]cc.
Sulla base di ulteriori analisi EINSTEIN e del supporto alla risposta agli incidenti, la CISA ha identificato attività correlate su molte altre reti FCEB. Le organizzazioni autrici ritengono che questa attività faccia parte di una campagna di phishing diffusa e finanziariamente motivata e che sia correlata all’attività di typosquatting dannoso segnalata da Silent Push nel post Silent Push scopre una vasta operazione di trojan con domini Amazon, Microsoft, Geek Squad, McAfee, Norton e Paypal.
Attività informatica dannosa
Secondo le organizzazioni autrici, almeno dal giugno 2022, i criminali informatici hanno inviato e-mail di phishing a tema help desk agli indirizzi e-mail personali e governativi del personale federale della FCEB. Le e-mail contengono un link a un dominio dannoso di “primo livello” oppure invitano i destinatari a chiamare i criminali informatici, che poi cercano di convincere i destinatari a visitare il dominio dannoso di primo livello. La figura 1 mostra un esempio di e-mail di phishing ottenuto da una rete FCEB.
Il destinatario che visita il dominio dannoso di primo livello attiva il download di un eseguibile. L’eseguibile si collega quindi a un dominio dannoso di “seconda fase”, da cui scarica altro software RMM.
La CISA ha notato che gli attori non hanno installato i client RMM scaricati sull’host compromesso. Al contrario, gli attori hanno scaricato AnyDesk e ScreenConnect come eseguibili portatili autonomi, configurati per connettersi al server RMM dell’attore.
La CISA ha osservato che diversi nomi di dominio di primo livello seguono schemi di denominazione utilizzati per l’aiuto/supporto IT a tema social-engineering, ad esempio, hservice[.]live, gscare[.]live, nhelpcare[.]info, deskcareme[.]live, nhelpcare[.]cc). Secondo Silent Push, alcuni di questi domini dannosi impersonano marchi noti come Norton, GeekSupport, Geek Squad, Amazon, Microsoft, McAfee e PayPal.[1] Il CISA ha inoltre osservato che il dominio dannoso di primo livello collegato all’e-mail di phishing iniziale reindirizza periodicamente ad altri siti per ulteriori reindirizzamenti e download di software RMM.
Notizie
Nuovo Codice di Condotta per il telemarketing
Tempo di lettura: 2 minuti. Il nuovo Codice di condotta per il telemarketing mira a proteggere gli utenti dalle chiamate indesiderate, imponendo regole e controlli rigorosi.
Il mondo del telemarketing sta per vivere una svolta significativa grazie all’introduzione di un nuovo Codice di condotta, finalizzato a tutelare gli utenti dalle incessanti chiamate indesiderate. Con l’accreditamento dell’Organismo di monitoraggio (OdM), si completa l’iter per l’attuazione delle nuove regole che promettono di regolamentare in maniera più efficace le attività di teleselling e telemarketing.
Dettagli del Codice
Codice di condotta, la cui piena efficacia è prevista dal giorno successivo alla sua pubblicazione nella Gazzetta Ufficiale, si propone di elevare gli standard di tutela degli utenti, imponendo alle società del settore obblighi precisi e misure di controllo stringenti. Tra i principali requisiti vi sono la raccolta di consensi specifici per le diverse finalità di marketing, l’obbligo di fornire informazioni chiare sull’utilizzo dei dati personali e la garanzia dei diritti degli utenti in linea con la normativa sulla privacy.
Ruolo dell’Organismo di Monitoraggio
L’OdM, proposto da una varietà di stakeholder tra cui associazioni di consumatori, call center e teleseller, è stato riconosciuto dall’Autorità per le sue competenze, indipendenza e imparzialità. Questo organo avrà il compito di vigilare sull’aderenza delle società al Codice, garantendo l’effettiva applicazione delle regole e intervenendo in caso di violazioni.
Implicazioni per le Società
Le società che aderiranno al Codice dovranno non solo conformarsi alle direttive per la protezione dei dati, ma anche affrontare conseguenze specifiche in caso di mancato rispetto. Ciò include la previsione di penalità o la revoca delle provvigioni per contratti ottenuti senza il necessario consenso. Queste misure mirano a disincentivare le pratiche abusive e a promuovere un ambiente di telemarketing più rispettoso e trasparente.
L’introduzione del nuovo Codice di condotta rappresenta un passo avanti significativo nella regolamentazione del telemarketing, offrendo una maggiore protezione agli utenti e imponendo standard più elevati alle società operanti nel settore. Questa iniziativa sottolinea l’importanza di un approccio equilibrato che tuteli i diritti degli individui pur consentendo alle aziende di continuare le loro attività di marketing in modo responsabile.
Notizie
Malware DEEP#GOSU di Kimsuky prende di mira gli utenti Windows
Tempo di lettura: 2 minuti. La campagna DEEP#GOSU utilizza PowerShell e VBScript per infettare sistemi Windows, sfruttando servizi come Dropbox per il comando e controllo.
Una nuova e sofisticata campagna di attacco, denominata DEEP#GOSU, utilizza malware in PowerShell e VBScript per infettare sistemi Windows e raccogliere informazioni sensibili e Securonix associa questa campagna al gruppo nordcoreano sponsorizzato dallo stato conosciuto come Kimsuky.
Tattiche avanzate e uso di Servizi Legittimi
La campagna si distingue per l’impiego di servizi legittimi come Dropbox o Google Docs per il comando e controllo (C2), consentendo agli attaccanti di mimetizzarsi nel traffico di rete regolare. Questa tecnica consente anche di aggiornare le funzionalità del malware o di consegnare moduli aggiuntivi senza essere rilevati.
Procedura di infezione e strumenti impiegati
Il punto di partenza è un’email malevola che contiene un archivio ZIP con un file collegamento fasullo (.LNK) che si spaccia per un file PDF. Questo file .LNK incorpora uno script PowerShell e un documento PDF finto, con lo script che recupera ed esegue un altro script PowerShell da un’infrastruttura Dropbox controllata dall’attore.
Il secondo script PowerShell scarica un nuovo file da Dropbox, un file di assemblaggio .NET sotto forma binaria che è in realtà un RAT (Remote Access Trojan) open-source conosciuto come TruRat, dotato di funzionalità per registrare i tasti premuti, gestire file e facilitare il controllo remoto.
Un aspetto notevole dello script VBScript è l’uso di Google Docs per recuperare dinamicamente i dati di configurazione per la connessione a Dropbox, consentendo all’attore della minaccia di cambiare le informazioni dell’account senza dover modificare lo script stesso.
Implicazioni per la Sicurezza e Consigli
La capacità del malware di agire come una backdoor per controllare i sistemi compromessi e mantenere un registro continuo delle attività degli utenti sottolinea l’importanza di adottare misure di sicurezza robuste e di mantenere aggiornati i sistemi per proteggersi da tali minacce sofisticate.
L’uso di servizi cloud legittimi per il comando e controllo evidenzia inoltre la necessità per le organizzazioni di monitorare il traffico di rete per rilevare comportamenti sospetti, anche quando il traffico sembra essere associato a servizi affidabili.
Notizie
Gruppo Hacker “Earth Krahang” Compromette 70 Organizzazioni in 23 Paesi
Tempo di lettura: 2 minuti. Il gruppo hacker “Earth Krahang” ha compromesso decine di organizzazioni governative in una campagna globale, sfruttando vulnerabilità e tecniche di spear-phishing.
Una sofisticata campagna di hacking attribuita all’Advanced Persistent Threat (APT) cinese noto come “Earth Krahang” ha compromesso 70 organizzazioni e ne ha prese di mira almeno 116 in 45 paesi. Il focus principale di questa campagna, iniziata all’inizio del 2022, sono le organizzazioni governative.
Tattiche di intrusione e bersagli
I ricercatori di Trend Micro, che hanno monitorato l’attività, rivelano che gli hacker hanno compromesso 48 organizzazioni governative, di cui 10 ministeri degli Affari Esteri, e preso di mira altre 49 agenzie governative. Gli attacchi sfruttano server vulnerabili esposti su Internet e usano email di spear-phishing per distribuire backdoor personalizzate per la cyberspionaggio.
“Earth Krahang” abusa della sua presenza nelle infrastrutture governative violate per attaccare altri governi, costruisce server VPN sui sistemi compromessi e utilizza tecniche di brute-force per decifrare le password degli account email di valore.
Tecniche e strumenti impiegati
Gli attori della minaccia utilizzano strumenti open-source per scansionare i server pubblici alla ricerca di vulnerabilità specifiche, come CVE-2023-32315 (Openfire) e CVE-2022-21587 (Control Web Panel), per poi distribuire webshell e ottenere accesso non autorizzato e stabilire persistenza nelle reti delle vittime.
Una volta all’interno della rete, “Earth Krahang” usa l’infrastruttura compromessa per ospitare payload dannosi, indirizzare il traffico degli attacchi e usare account email governativi hackerati per prendere di mira colleghi o altri governi con email di spear-phishing.
Risultati e implicazioni
Questi email contengono allegati dannosi che rilasciano backdoor nei computer delle vittime, diffondendo l’infezione e ottenendo ridondanza in caso di rilevamento e pulizia. Trend Micro sottolinea che gli attaccanti utilizzano account Outlook compromessi per forzare le credenziali di Exchange, mentre sono stati rilevati anche script Python specializzati nell’esfiltrazione di email dai server Zimbra.
Stabilendo la loro presenza sulla rete, “Earth Krahang” dispiega malware e strumenti come Cobalt Strike, RESHELL e XDealer, che forniscono capacità di esecuzione di comandi e raccolta dati. XDealer è il backdoor più sofisticato e complesso, supportando Linux e Windows e in grado di acquisire screenshot, registrare battiture e intercettare dati dagli appunti.
Attribuzione e condivisione degli strumenti
Trend Micro ha inizialmente trovato legami tra “Earth Krahang” e l’attore connesso alla Cina “Earth Lusca” sulla base di sovrapposizioni dei comandi e controllo (C2), ma ha determinato che si tratta di un cluster separato. È possibile che entrambi i gruppi di minaccia operino sotto l’azienda cinese I-Soon, lavorando come task force dedicata al cyberspionaggio contro entità governative.
La completa lista degli indicatori di compromissione (IoC) per questa campagna di “Earth Krahang” è stata pubblicata separatamente.
- Tech1 settimana fa
Aggiornamenti Galaxy S24 e S23: One UI 6.1 e fotografia migliorata
- Inchieste1 settimana fa
Sangue e propaganda: storie di due ingegneri di generazioni diverse
- L'Altra Bolla1 settimana fa
Reddit: modello AI contro le molestie
- Economia1 settimana fa
Reddit mira a una valutazione di 6,4 Miliardi per l’IPO
- Economia1 settimana fa
Worldcoin sconfitta: continua la sospensione per Privacy in Spagna
- Economia1 settimana fa
El Salvador Registra un Profitto Non Realizzato di 84 Milioni di Dollari dalle Sue Riserve di Bitcoin
- Economia1 settimana fa
Investimenti in criptovalute raggiungono nuovi Record
- Economia6 giorni fa
Apple avvia la produzione dell’iPhone 15 in Brasile