Connect with us

Sicurezza Informatica

Campagna di malvertising porta all’esecuzione della backdoor Oyster

Tempo di lettura: 2 minuti. Rapid7 scopre campagna malvertising che distribuisce backdoor Oyster, utilizzando installatori malevoli di software come Microsoft Teams.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Rapid7 ha recentemente osservato una campagna di malvertising che induce gli utenti a scaricare installatori malevoli per software popolari come Google Chrome e Microsoft Teams che vengono utilizzati per distribuire una backdoor identificata come Oyster, nota anche come Broomstick. Una volta eseguita, questa backdoor esegue comandi di enumerazione e distribuisce ulteriori payload.

Accesso Iniziale

In tre incidenti separati, Rapid7 ha osservato utenti scaricare presunti installatori di Microsoft Teams da siti web con domini simili a quelli legittimi (typo-squatting). Gli utenti venivano indirizzati a questi siti tramite motori di ricerca come Google e Bing, credendo di scaricare software legittimo. Ad esempio, un utente ha navigato all’URL hxxps://micrsoft-teams-download[.]com/, scaricando il file MSTeamsSetup_c_l_.exe, firmato con un certificato Authenticode emesso a “Shanxi Yanghua HOME Furnishings Ltd”.

Analisi Tecnica

L’analisi del file MSTeamsSetup_c_l_.exe ha rivelato che conteneva due binari nella sezione delle risorse, che venivano caricati nella cartella Temp durante l’esecuzione. I due binari erano CleanUp30.dll e un legittimo installer di Microsoft Teams. CleanUp30.dll viene eseguito tramite rundll32.exe, creando una task pianificata ClearMngs per eseguire CleanUp30.dll ogni tre ore.

Funzionalità di Oyster/Broomstick

Oyster, noto anche come Broomstick o CleanUpLoader, è stato osservato per la prima volta nel settembre 2023. Il loader Oyster Installer mascherava il dropper della backdoor Oyster Main, responsabile della raccolta di informazioni sull’host compromesso, della comunicazione con i server C2 e dell’esecuzione remota del codice.

Decodifica dei C2

L’analisi del CleanUp30.dll ha mostrato l’uso di una funzione di decodifica unica per recuperare gli indirizzi dei server C2, utilizzando una mappa di byte hardcoded per obfuscate i dati. Rapid7 ha creato uno script Python per decodificare queste stringhe, rivelando i domini C2 utilizzati per le comunicazioni malevoli.

Attività Successive

In uno degli incidenti osservati, un PowerShell script è stato eseguito per creare un file di collegamento .lnk (DiskCleanUp.lnk) nella cartella di avvio, garantendo l’esecuzione di CleanUp.dll ad ogni accesso dell’utente. Inoltre, sono stati osservati comandi di enumerazione per raccogliere informazioni dettagliate sul sistema compromesso.

Rilevamento e prevenzione

Per proteggersi da questa campagna di malvertising, è importante verificare l’autenticità delle fonti di download e utilizzare soluzioni di sicurezza che rilevano comportamenti sospetti come l’uso di RunDLL32 per lanciare script o la creazione di task pianificate non autorizzate.

La campagna di malvertising che distribuisce la backdoor Oyster rappresenta una minaccia significativa per le organizzazioni, utilizzando tecniche di inganno e obfuscation avanzate. È essenziale per le organizzazioni rimanere vigili e adottare misure preventive per proteggere i propri sistemi da queste minacce.

Sicurezza Informatica

Donald Trump: FBI vuole accesso a smartphone dell’attentatore

Tempo di lettura: < 1 minuto. L’FBI indaga sull’attentato a Donald Trump in Pennsylvania: i dettagli dell’indagine e attività investigative e l’accesso allo smartphone dell’attentatore

Pubblicato

in data

Tempo di lettura: < 1 minuto.

L’FBI sta investigando sull’incidente di sparatoria avvenuto il 13 luglio durante un raduno a Butler, Pennsylvania, che ha provocato la morte di una persona e ferito l’ex presidente Donald Trump e altri spettatori e vuole avere accesso allo smartphone dell’attentatore essendo questo incidente considerato come un tentativo di assassinio e un potenziale atto di terrorismo domestico.

Dettagli dell’indagine

Finora, le indagini indicano che il tiratore ha agito da solo. Tuttavia, l’FBI continua a svolgere attività investigative per determinare se ci siano stati eventuali complici associati a questo attacco. Al momento, non ci sono preoccupazioni di sicurezza pubblica in corso.

Attività Investigative

  • Motivo del Tiratore: L’FBI non ha ancora identificato un motivo per le azioni del tiratore. Sono in corso attività per determinare la sequenza degli eventi e i movimenti del tiratore prima della sparatoria.
  • Raccolta di Prove: L’FBI sta raccogliendo e analizzando prove, conducendo interviste e seguendo tutte le piste disponibili.
  • Esame del Telefono del Tiratore: Il telefono del tiratore è stato acquisito per un esame approfondito.
  • Perquisizione della Casa e del Veicolo: L’FBI ha perquisito la casa e il veicolo del tiratore per raccogliere ulteriori prove. Dispositivi sospetti trovati in entrambe le località sono stati resi sicuri dai tecnici delle bombe e sono in fase di valutazione presso il Laboratorio dell’FBI.
  • Arma da fuoco: L’arma utilizzata nella sparatoria è stata acquistata legalmente.
  • Conoscenza precedente: Il tiratore non era noto all’FBI prima di questo incidente.

L’indagine dell’FBI è condotta dall’Ufficio del FBI di Pittsburgh in coordinamento con partner locali, statali e federali. I comunicati ufficiali precedenti riguardanti l’incidente possono essere trovati su sul sito dell’FBI.

Prosegui la lettura

Sicurezza Informatica

Disney violata da NullBulge: dati sensibili diffusi Online

Tempo di lettura: 2 minuti. Il gruppo NullBulge ha violato i canali Slack degli sviluppatori di Disney, diffondendo 1,1 terabyte di dati sensibili online.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Un gruppo di cybercriminali noto come NullBulge ha affermato di aver scaricato i canali Slack utilizzati dagli sviluppatori di Disney. Questa fuga di dati rappresenta una delle più significative violazioni di sicurezza per l’azienda, con un totale di 1,1 terabyte di file e messaggi chat che sono stati sottratti e successivamente diffusi online.

Dettagli della violazione

Il gruppo NullBulge ha annunciato la violazione su BreachForums, un noto sito di divulgazione di dati, fornendo screenshot delle loro scoperte. La quantità di dati rubati include progetti non ancora rilasciati, immagini grezze, codice sorgente, alcune credenziali di accesso e link a API e pagine web interne di Disney. In totale, il gruppo ha avuto accesso a quasi 10.000 canali Slack.

Elementi CompromessiDettagli
Quantità di Dati1,1 terabyte
Numero di Canali SlackQuasi 10.000
Tipi di Dati RubatiProgetti non rilasciati, immagini, codice, credenziali
Altri DatiLink a API e pagine web interne

Modalità dell’Attacco

Secondo quanto riferito dal gruppo, l’attacco è stato facilitato da un insider che ha fornito accesso ai dati interni di Disney. Tuttavia, l’informatore ha avuto un ripensamento e ha interrotto la collaborazione, costringendo NullBulge a pubblicare i dati prima del previsto. Il gruppo ha anche minacciato di diffondere ulteriori informazioni personali, come login, carte di credito e numeri di sicurezza sociale, come avvertimento per futuri collaboratori.

Motivazioni e reazioni

NullBulge si definisce un gruppo hacktivista che mira a ottenere una migliore compensazione e protezione dei diritti degli artisti. Nonostante ciò, le loro azioni hanno sollevato preoccupazioni significative riguardo alla sicurezza dei dati aziendali e alla protezione delle informazioni sensibili. Disney non ha ancora rilasciato un commento ufficiale sull’incidente procurato da Nullbulge.

Questa violazione evidenzia la crescente minaccia rappresentata dagli attacchi informatici facilitati da collaboratori interni. Le aziende devono rafforzare le loro misure di sicurezza e sensibilizzare i dipendenti sui rischi e le conseguenze di tali azioni. Continueremo a monitorare la situazione e a fornire aggiornamenti man mano che emergeranno ulteriori informazioni.

Prosegui la lettura

Sicurezza Informatica

HardBit Ransomware: analisi e mitigazione delle minacce

Tempo di lettura: 3 minuti. HardBit Ransomware 4.0 introduce protezione con passphrase e obfuscazione avanzata. Scopri come proteggerti da questa minaccia.

Pubblicato

in data

Tempo di lettura: 3 minuti.

Cybereason Security Services pubblica rapporti di analisi delle minacce per informare sui pericoli attuali e fornire raccomandazioni pratiche per la protezione contro di essi ed esamina HardBit Ransomware versione 4.0, una nuova versione osservata recentemente.

HardBit Ransomware è un gruppo emerso nell’ottobre 2022, noto per non avere siti di leak e non utilizzare metodi di doppia estorsione. La versione 4.0 di HardBit introduce diversi miglioramenti rispetto alle versioni precedenti, tra cui la protezione con passphrase e l’obfuscazione avanzata.

Miglioramenti della Versione 4.0

Offuscazione del Binario

A differenza delle versioni precedenti, HardBit 4.0 è protetto da una passphrase che deve essere fornita durante l’esecuzione. Questa misura rende più difficile l’analisi del malware da parte dei ricercatori di sicurezza.

Versioni del Binario

HardBit Ransomware è disponibile in due versioni: CLI e GUI. Questa flessibilità permette al gruppo di espandere il proprio mercato a diversi livelli di competenza degli operatori.

Metodo di Distribuzione

HardBit viene distribuito tramite il malware Neshta, noto per la sua capacità di infettare file legittimi e mantenere la persistenza. Neshta funge anche da dropper per HardBit, depositando il binario ransomware nella directory temporanea durante l’esecuzione.

Analisi Tecnica

Accesso Iniziale

Il vettore di attacco iniziale di HardBit non è confermato, ma si ipotizza che gli attaccanti ottengano un punto d’appoggio nell’ambiente della vittima tramite brute force su servizi RDP e SMB aperti.

Accesso alle Credenziali

Gli attaccanti utilizzano strumenti come Mimikatz e NLBrute per il furto di credenziali e il brute force su RDP. Il loro script include anche strumenti come LaZagne e NirSoft per il recupero delle password.

Movimento Laterale

Gli attaccanti utilizzano RDP per spostarsi lateralmente nella rete aziendale della vittima, sfruttando le credenziali rubate.

Raccolta e Esfiltrazione Dati

I metodi precisi di raccolta ed esfiltrazione dei dati non sono stati identificati, ma HardBit deploya Neshta per criptare le macchine infette.

Esecuzione del Ransomware

HardBit necessita di un ID di autorizzazione decodificato per l’esecuzione. Questo ID viene decodificato utilizzando una chiave privata fornita dagli attaccanti.

Disabilitazione di Windows Defender

HardBit disabilita diverse funzionalità di Windows Defender per assicurare il successo dell’infezione, aggiornando chiavi di registro specifiche e utilizzando comandi PowerShell.

Inibizione del Recupero di Sistema

HardBit utilizza comandi come vssadmin delete shadows e wbadmin delete catalog per eliminare le copie shadow e i cataloghi di backup, impedendo il ripristino del sistema.

Criptazione dei Dati

Durante la criptazione, HardBit aggiorna le icone dei file infetti, l’etichetta del volume e crea file di messaggio contenenti le istruzioni per il riscatto.

Analisi Comparativa delle Versioni

TatticheHardBit 2.0HardBit 3.0HardBit 4.0
Disabilitazione di Windows Defender
Inibizione del Recupero di Sistema
Pacchetto Neshta
Protezione con Passphrase
Arresto dei Servizi
Supporto GUI
Modalità Wiper
File di configurazione
Obfuscazione con Ryan-_-Borland_Protector

Raccomandazioni per la Protezione

Cybereason raccomanda di abilitare il controllo delle applicazioni, la protezione predittiva contro i ransomware e la prevenzione dei payload varianti nel Cybereason Defense Platform per prevenire infezioni da HardBit Ransomware.

Prosegui la lettura

Facebook

CYBERSECURITY

Sicurezza Informatica8 ore fa

HardBit Ransomware: analisi e mitigazione delle minacce

Tempo di lettura: 3 minuti. HardBit Ransomware 4.0 introduce protezione con passphrase e obfuscazione avanzata. Scopri come proteggerti da questa...

Sicurezza Informatica2 giorni fa

Vulnerabilità in Modern Events Calendar: migliaia di WordPress a rischio

Tempo di lettura: 2 minuti. Vulnerabilità critica nel plugin Modern Events Calendar consente il caricamento arbitrario di file da parte...

Sicurezza Informatica2 giorni fa

Attacco RADIUS: panoramica dettagliata

Tempo di lettura: 3 minuti. Il protocollo RADIUS può essere compromesso utilizzando tecniche avanzate di collisione MD5 per eseguire attacchi...

Sicurezza Informatica2 giorni fa

ViperSoftX sfrutta AutoIt e CLR per l’esecuzione Stealth di PowerShell

Tempo di lettura: 3 minuti. ViperSoftX utilizza AutoIt e CLR per eseguire comandi PowerShell in modo stealth, eludendo i meccanismi...

Sicurezza Informatica2 giorni fa

Malware Poco RAT mira vittime di lingua spagnola

Tempo di lettura: 3 minuti. Poco RAT, nuovo malware che prende di mira le vittime di lingua spagnola con campagne...

Microsoft teams Microsoft teams
Sicurezza Informatica3 giorni fa

Falso Microsoft Teams per Mac distribuisce Atomic Stealer

Tempo di lettura: 2 minuti. Un falso Microsoft Teams per Mac distribuisce il malware Atomic Stealer tramite una campagna di...

CISA logo CISA logo
Sicurezza Informatica3 giorni fa

CISA hackera Agenzia Federale USA: vulnerabilità critiche Svelate

Tempo di lettura: 2 minuti. CISA svela vulnerabilità critiche in un'agenzia federale USA attraverso un'esercitazione di red team SILENTSHIELD

Sicurezza Informatica3 giorni fa

DarkGate usa file Excel per diffondere malware

Tempo di lettura: 3 minuti. DarkGate utilizza file Excel per diffondere malware sofisticato. Scopri come funziona questa minaccia e come...

Sicurezza Informatica3 giorni fa

SSH sotto attacco a causa di bug e vulnerabilità

Tempo di lettura: 3 minuti. Scopri le nuove minacce di CRYSTALRAY e la vulnerabilità di OpenSSH in RHEL 9. Approfondisci...

Sicurezza Informatica4 giorni fa

CoreTech: accordo con TuxCare migliora sicurezza negli ambienti Linux

Tempo di lettura: 2 minuti. L'accordo migliora lo standard qualitativo dell'offerta Linux per quel che concerne la risposta alle vulnerabilità

Truffe recenti

Inchieste7 giorni fa

Idealong.com chiuso, ma attenti a marketideal.xyz e bol-it.com

Tempo di lettura: 2 minuti. Dopo aver svelato la truffa Idealong, abbiamo scoperto altri link che ospitano offerte di lavoro...

Inchieste2 settimane fa

Idealong.com spilla soldi ed assolda lavoratori per recensioni false

Tempo di lettura: 4 minuti. Il metodo Idealong ha sostituito Mazarsiu e, dalle segnalazioni dei clienti, la truffa agisce su...

Sicurezza Informatica2 settimane fa

Truffa lavoro online: Mazarsiu sparito, attenti a idealong.com

Tempo di lettura: 2 minuti. Dopo il sito Mazarsiu, abbandonato dai criminali dopo le inchieste di Matrice Digitale, emerge un...

fbi fbi
Sicurezza Informatica1 mese fa

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica2 mesi fa

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste2 mesi fa

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Inchieste2 mesi fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Pharmapiuit.com Pharmapiuit.com
Inchieste2 mesi fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste2 mesi fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste2 mesi fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Tech

Tech2 ore fa

Aggiornamento di Linux 6.10: le novità del kernel

Tempo di lettura: < 1 minuto. Novità Kernel Linux 6.10, inclusi miglioramenti per bcachefs, netfs e driver cruciali: i dettagli...

Xiaomi Mix Flip Xiaomi Mix Flip
Smartphone2 ore fa

Xiaomi MIX Flip avvistato su Geekbench: specifiche e dettagli

Tempo di lettura: 2 minuti. Xiaomi MIX Flip avvistato su Geekbench con Snapdragon 8 Gen 3 SoC, 12GB di RAM...

Smartphone5 ore fa

CMF Phone 1 ha una riparabilità complessa e scadente

Tempo di lettura: 2 minuti. CMF Phone 1, con il suo design modulare, presenta sfide significative per la riparabilità: dettagli...

Smartphone5 ore fa

HMD Skyline: ritorna al design iconico del Nokia Lumia 920

Tempo di lettura: 2 minuti. Scopri l'HMD Skyline, il nuovo smartphone di HMD Global con un design ispirato al Nokia...

Smartphone6 ore fa

iQOO Z9 Lite 5G disponibile in India: prezzo e specifiche tecniche

Tempo di lettura: 3 minuti. iQOO Z9 Lite 5G è stato lanciato in India con specifiche competitive : Scopri il...

Tech7 ore fa

Qualcomm: innovazione nei processori con Snapdragon X e 8 Gen 4

Tempo di lettura: 2 minuti. Qualcomm continua a ridefinire il panorama dei processori con il lancio di nuove serie di...

Samsung visore XR oledos Samsung visore XR oledos
Smartphone7 ore fa

Samsung inarrestabile: visore e foto astrali per l’S23 e S24

Tempo di lettura: 3 minuti. Scopri il lancio del Samsung XR headset, gli aggiornamenti della fotocamera per Galaxy S23 e...

Tech7 ore fa

Apple HomePod Mini in colore Midnight

Tempo di lettura: < 1 minuto. Apple ha lanciato una nuova variante di colore "Midnight" per l'HomePod mini, sostituendo l'opzione...

Tech8 ore fa

Galaxy Buds 3: maggiore resistenza e comfort superiore

Tempo di lettura: 2 minuti. Miglioramenti delle Galaxy Buds 3 e Galaxy Buds 3 Pro, con una maggiore resistenza a...

Antutu logo Antutu logo
Smartphone14 ore fa

I migliori 10 smartphone Android su AnTuTu per Giugno 2024

Tempo di lettura: 5 minuti. I migliori 10 smartphone Android su AnTuTu per giugno 2024, con modelli di ASUS, nubia,...

Tendenza