Un nuovo attacco di esecuzione speculativa chiamato TIKTAG e un malware Linux controllato tramite Discord utilizzando emoji, soprannominato DISGOMOJI, stanno creando preoccupazioni nel campo della sicurezza informatica. Questi due sviluppi mettono in evidenza le vulnerabilità dei sistemi Linux e dei browser come Google Chrome, rendendo ancora più urgente l’adozione di misure di sicurezza avanzate.

Nuovo attacco TIKTAG colpisce Google Chrome e sistemi Linux

Un nuovo attacco di esecuzione speculativa chiamato “TIKTAG” prende di mira l’estensione Memory Tagging Extension (MTE) di ARM, consentendo agli hacker di aggirare questa funzione di sicurezza con una probabilità di successo superiore al 95%. Questo attacco, dimostrato da un team di ricercatori coreani di Samsung, Seoul National University e Georgia Institute of Technology, ha mostrato la sua efficacia contro Google Chrome e il kernel Linux.

MTE è una funzione introdotta nell’architettura ARM v8.5-A e successive, progettata per rilevare e prevenire la corruzione della memoria. Utilizza etichette a basso overhead, assegnando tag a blocchi di memoria da 16 byte, per garantire che il tag nel puntatore corrisponda alla regione di memoria accessibile.

Modalità Operative di MTE e Vulnerabilità

MTE ha tre modalità operative: sincrona, asincrona e asimmetrica, bilanciando sicurezza e prestazioni. I ricercatori hanno scoperto che utilizzando due gadget, TIKTAG-v1 e TIKTAG-v2, possono sfruttare l’esecuzione speculativa per far trapelare i tag di memoria MTE con un alto tasso di successo e in breve tempo.

L’attacco TIKTAG-v1 sfrutta il restringimento della speculazione nella predizione dei rami e nei comportamenti di prefetching dei dati della CPU per far trapelare i tag MTE. TIKTAG-v2, invece, sfrutta il comportamento di forwarding store-to-load nell’esecuzione speculativa.

Impatto e mitigazioni

Le aziende coinvolte sono state informate delle scoperte tra novembre e dicembre 2023. Le mitigazioni proposte includono la modifica del design hardware per impedire all’esecuzione speculativa di modificare gli stati della cache basati sui risultati del controllo dei tag, l’inserimento di barriere di speculazione e il miglioramento dei meccanismi di sandboxing.

ARM ha riconosciuto la gravità della situazione, ma non considera questo un compromesso della funzionalità. Anche il team di sicurezza di Chrome ha riconosciuto i problemi ma ha deciso di non risolvere le vulnerabilità immediatamente.

Nuovo Malware Linux Controllato Tramite Emoji su Discord

Un nuovo malware per Linux, soprannominato ‘DISGOMOJI’, utilizza un approccio innovativo sfruttando le emoji per eseguire comandi sui dispositivi infetti in attacchi contro le agenzie governative in India. Scoperto dalla società di cybersecurity Volexity, il malware è attribuito a un attore di minacce con base in Pakistan noto come ‘UTA0137’.

DISGOMOJI utilizza Discord e le emoji come piattaforma di comando e controllo (C2), consentendo di bypassare i software di sicurezza che cercano comandi basati su testo. Il malware è stato scoperto in un eseguibile ELF impacchettato in un archivio ZIP, probabilmente distribuito tramite email di phishing.

Funzionamento del Malware DISGOMOJI

Quando eseguito, il malware scarica e visualizza un PDF esca mentre scarica ulteriori payload in background. Utilizza un progetto open-source di comando e controllo chiamato discord-c2 per comunicare con i dispositivi infetti e eseguire comandi utilizzando emoji.

Gli attori della minaccia inviano comandi tramite emoji su un server Discord controllato. DISGOMOJI ascolta i nuovi messaggi nel canale di comando e utilizza un protocollo basato su emoji per eseguire i comandi, confermando l’esecuzione con una serie di reazioni emoji.

Il malware mantiene la persistenza sul dispositivo Linux utilizzando il comando cron @reboot per eseguirsi all’avvio.

Le recenti scoperte riguardanti il malware Linux DISGOMOJI, controllato tramite Discord con l’uso di emoji, e l’attacco TIKTAG che colpisce Google Chrome e sistemi Linux, sottolineano la necessità di rafforzare la sicurezza informatica. È cruciale che sviluppatori e utenti rimangano vigili e adottino pratiche di sicurezza per proteggere i propri sistemi da queste minacce emergenti.

Le autorità statunitensi e spagnole hanno collaborato per arrestare un hacker britannico di 22 anni a Palma de Mallorca, Spagna e questo individuo è sospettato di essere un membro chiave del gruppo di cybercriminali noto come Scattered Spider, noto per i suoi sofisticati attacchi di social engineering e SIM swapping. L’arresto è avvenuto mentre l’hacker, noto con l’alias “Tyler” e identificato come Tyler Buchanan, stava tentando di imbarcarsi su un volo per l’Italia.

Dettagli dell’Operazione

L’operazione, condotta dall’FBI in collaborazione con la polizia spagnola, ha seguito un’indagine approfondita su diversi attacchi ransomware ad alto profilo attribuiti a Scattered Spider. Questo gruppo è noto anche con altri nomi, tra cui 0ktapus, Octo Tempest e UNC3944, ed è coinvolto in attività di credential harvesting e ransomware, utilizzando tecniche avanzate di phishing e abuso dei permessi di Okta per compromettere le infrastrutture cloud e SaaS.

Metodologie di Attacco

Scattered Spider è noto per l’uso di attacchi SIM swapping, in cui l’hacker convince il provider di telecomunicazioni a trasferire il numero di telefono della vittima su una SIM sotto il suo controllo. Questo permette agli attaccanti di intercettare i messaggi e prendere il controllo degli account online della vittima. Inoltre, il gruppo ha adattato le sue tecniche per eseguire attacchi di estorsione senza crittografia, mirati a rubare dati dalle applicazioni SaaS e utilizzarli per ricattare le vittime.

Coinvolgimento nel ransomware RansomHub

Il coinvolgimento di Tyler Buchanan non si limita solo a Scattered Spider. È anche sospettato di essere affiliato con l’operazione ransomware-as-a-service (RaaS) nota come RansomHub. Questo gruppo utilizza strumenti di sincronizzazione cloud come Airbyte e Fivetran per esportare dati verso cloud storage controllati dagli attaccanti. Le tattiche includono la creazione di macchine virtuali per mantenere la persistenza e l’utilizzo di moduli PowerShell per interagire con le istanze di CyberArk delle vittime.

Implicazioni e misure di sicurezza

L’arresto di Tyler Buchanan rappresenta un colpo significativo per Scattered Spider e per le operazioni di ransomware globali ed il fatto che sia avvenuto in spagna lascia intendere come i criminali informatici non presidiano i loro luoghi di origine. Le autorità continuano a lavorare per identificare e perseguire altri membri del gruppo, che ha già colpito oltre 100 organizzazioni dal suo inizio nel 2022. Questo caso mette in evidenza l’importanza di robusti sistemi di sicurezza informatica e della cooperazione internazionale nella lotta contro il cybercrimine.

Il Xiaomi 14 Civi e il OnePlus 12R competono nella stessa fascia di prezzo, offrendo specifiche hardware impressionanti a partire da 420 euro circa. Con entrambi i dispositivi dotati di 8GB di RAM e 256GB di storage, la scelta tra i due potrebbe dipendere dalle preferenze personali e dalle esigenze specifiche degli utenti.

Specifiche a colpo d’occhio

Design

Il Xiaomi 14 Civi presenta un design coerente in tutte le varianti di colore, ognuna con materiali unici. La versione Cruise Blue ha una finitura bicolore, il modello Shadow Black ha una finitura opaca nera, e la variante Match Green ha uno stile bicolore con finitura in pelle vegana. Include una tripla fotocamera con marchio LEICA in un alloggiamento circolare.

Il OnePlus 12R ha un design premium con vetro curvo su fronte e retro e un telaio in alluminio opaco. Viene fornito in due tonalità: Cool Blue e Iron Gray. Un cambiamento di design notevole è la rilocazione dell’Alert Slider sul lato sinistro, rendendolo più accessibile con il pulsante di accensione e i tasti del volume sullo stesso lato. Include anche un sensore IR per il controllo di vari elettrodomestici.

Display

Il OnePlus 12R si distingue con il suo display più grande, una risoluzione leggermente superiore e una luminosità di picco significativamente maggiore, rendendolo più adatto all’uso in ambienti esterni luminosi. Il Xiaomi 14 Civi, con la sua densità di pixel più alta, offre una nitidezza marginalmente migliore. Entrambi i dispositivi offrono display di alta qualità che non deluderanno gli utenti.

Prestazioni

Il Xiaomi 14 Civi, con il suo chipset Snapdragon 8s Gen 3, offre prestazioni superiori rispetto al OnePlus 12R, almeno sulla carta. Fornisce anche una maggiore capacità di storage, ideale per chi ha esigenze di dati estese. Tuttavia, il OnePlus 12R compensa con una maggiore capacità di RAM, rendendolo adatto al multitasking.

Fotocamere

Il Xiaomi 14 Civi offre una configurazione della fotocamera più versatile e di maggiore risoluzione sia frontalmente che posteriormente, specialmente con l’inclusione di un obiettivo teleobiettivo e doppie fotocamere frontali. Il OnePlus 12R ha una configurazione decente, ma manca delle capacità teleobiettivo aggiuntive e delle doppie fotocamere frontali.

Batteria e ricarica

Il OnePlus 12R supera il Xiaomi 14 Civi sia in termini di capacità della batteria che di velocità di ricarica. La sua batteria da 5,500mAh offre un tempo di utilizzo più lungo, e la ricarica da 100W garantisce ricariche rapide. Il Xiaomi 14 Civi, con una batteria da 4,700mAh e una ricarica rapida da 67W, è comunque rispettabile, ma inferiore in confronto.

Software

Il OnePlus 12R, con il suo OxygenOS 14, offre un’interfaccia utente più pulita e snella con meno app preinstallate e ampie opzioni di personalizzazione. Il Xiaomi 14 Civi, con HyperOS, offre un’esperienza software decente ma include più app preinstallate che potrebbero rendere l’interfaccia più affollata.

Verdetto

Entrambi gli smartphone offrono caratteristiche impressionanti. La scelta tra i due potrebbe dipendere dalle preferenze personali e dalle esigenze specifiche. Se desideri un display più grande e di qualità superiore, una batteria più grande per un uso prolungato, più RAM per il multitasking e una ricarica più veloce, il OnePlus 12R, scopri su Amazon, è la scelta migliore. Tuttavia, se preferisci un SoC più potente, una configurazione della fotocamera anteriore e posteriore migliore e più storage, opta per il Xiaomi 14 Civi.