Connect with us

Sicurezza Informatica

CoralRaider mira ai dati e agli account social

Tempo di lettura: 2 minuti. Cisco Talos svela “CoralRaider”, un attore di minaccia vietnamita che mira a rubare credenziali e dati da account social in Asia e Sud-est asiatico.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Cisco Talos ha identificato un nuovo attore di minaccia denominato “CoralRaider”, presumibilmente di origine vietnamita e motivato finanziariamente. Operativo dal 2023, CoralRaider si concentra sul furto di credenziali, dati finanziari e account social, inclusi account aziendali e pubblicitari, in diversi paesi asiatici e del Sud-est asiatico.

Tattiche e payload

CoralRaider utilizza un’arma personalizzata di QuasarRAT chiamata RotBot e il malware XClient stealer nelle sue campagne. Impiega tecniche di dead drop per ospitare il file di configurazione C2 su un servizio legittimo e utilizza binari di terra meno comuni (LoLBins) come Windows Forfiles.exe e FoDHelper.exe.

Origine e analisi

L’analisi di Talos suggerisce con alta confidenza che CoralRaider sia basato in Vietnam, dedotto dalla lingua utilizzata nei canali bot C2 di Telegram e da elementi come stringhe PDB e altri termini vietnamiti nei payload binari. Indirizzi IP associati sono stati rintracciati a Hanoi, Vietnam.

Tecnica di Comando e Controllo

CoralRaider utilizza bot di Telegram come canale C2 per esfiltrare i dati delle vittime. Le immagini analizzate dai desktop degli attaccanti hanno rivelato gruppi Telegram in vietnamita legati a mercati sotterranei dove vengono scambiati dati di vittime.

Impatto e Distribuzione

La campagna di CoralRaider prende di mira vittime in vari paesi asiatici, tra cui India, Cina, Corea del Sud, Bangladesh, Pakistan, Indonesia e Vietnam. Il vettore iniziale della campagna è il file di scelta rapida di Windows, ma la tecnica di consegna precisa rimane incerta.

Analisi del Payload

L’analisi del payload XClient stealer ha rivelato l’uso di parole vietnamite codificate duramente nelle funzioni di ruberia, indicando ulteriormente l’origine vietnamita dell’attore.

Il malware mira a rubare dati di navigazione, informazioni finanziarie, e dati da account social come Facebook, Instagram, TikTok e YouTube.

Implicazioni per la Sicurezza

La scoperta di CoralRaider da parte di Talos mette in luce una nuova minaccia significativa nel panorama della sicurezza informatica, sottolineando l’importanza della vigilanza e della protezione contro tali attori di minaccia sofisticati.

Sicurezza Informatica

Phishing con Cloudflare Workers: Phishing Trasparente e HTML Smuggling

Tempo di lettura: 2 minuti. Phishing con Cloudflare Workers: tecniche di evasione e phishing trasparente. Scopri le raccomandazioni di sicurezza di Netskope.

Pubblicato

in data

Cloudflare Workers
Tempo di lettura: 2 minuti.

Netskope Threat Labs sta monitorando diverse campagne di phishing che abusano di Cloudflare Workers. Queste campagne, probabilmente condotte da diversi attaccanti, utilizzano due tecniche molto differenti: HTML smuggling e phishing trasparente. Cloudflare Workers è una piattaforma di calcolo serverless che consente la distribuzione di applicazioni, inclusa la visualizzazione di pagine HTML per i visitatori. Questa piattaforma è disponibile anche per gli utenti del livello gratuito, il che la rende suscettibile all’abuso da parte degli attaccanti. Netskope Threat Labs ha osservato un aumento del traffico verso le pagine di phishing ospitate su Cloudflare Workers nel 2023, con un picco nel quarto trimestre dello stesso anno. Questo trend continua nel 2024, con un numero crescente di utenti mirati e di applicazioni maligne create.

HTML Smuggling

Una delle tecniche utilizzate dagli attaccanti è l’HTML smuggling, una tecnica di evasione delle difese che tenta di bypassare i controlli di rete assemblando i payload malevoli lato client. Gli attaccanti incorporano la pagina di phishing reale come un blob all’interno di una pagina web innocua. La pagina di phishing viene inizialmente codificata in base64 e poi ulteriormente codificata per offuscare il codice e evitare la rilevazione statica. Una volta che il blob è accessibile, viene creato un URL blob e simulato un clic su di esso per visualizzare la pagina di phishing nel browser della vittima.

Phishing Trasparente

Il phishing trasparente, noto anche come phishing con avversario-in-mezzo, è una forma relativamente nuova di phishing in cui l’attaccante crea un server che agisce da intermediario tra il servizio di autenticazione e la vittima. Questo metodo consente agli attaccanti di intercettare le credenziali di login e i codici di autenticazione a due fattori, raccogliendoli e inoltrandoli all’applicazione legittima. In questo modo, la vittima viene autenticata con successo mentre l’attaccante raccoglie credenziali, cookie e token. A differenza del phishing tradizionale, che copia la pagina di login, il phishing trasparente mostra il contenuto esatto della pagina di login legittima.

Raccomandazioni

Per proteggersi da queste minacce, Netskope Threat Labs raccomanda alle organizzazioni di rivedere le proprie politiche di sicurezza e di adottare misure come:

  • Ispezionare tutto il traffico HTTP e HTTPS, inclusi i siti web e il traffico cloud, per prevenire l’accesso a siti web malevoli.
  • Utilizzare tecnologie di isolamento del browser remoto (Remote Browser Isolation – RBI) per fornire protezione aggiuntiva quando è necessario visitare siti web che presentano un rischio elevato.
  • Configurare una policy di filtraggio URL per bloccare siti di phishing e truffe noti e una policy di protezione dalle minacce per ispezionare tutti i contenuti web utilizzando una combinazione di firme, intelligence sulle minacce e apprendimento automatico.

L’abuso di Cloudflare Workers da parte degli attaccanti per ospitare pagine di phishing è una tendenza preoccupante che continua a crescere. Netskope Threat Labs continuerà a monitorare il traffico malevolo verso le applicazioni Cloudflare Worker e a segnalare i contenuti malevoli a Cloudflare per la rimozione.

Prosegui la lettura

Sicurezza Informatica

Transparent Tribe spia l’India nei settori della difesa e dell’aerospazio

Tempo di lettura: 2 minuti. Transparent Tribe prende di mira il governo indiano e i settori della difesa e dell’aerospazio in India con strumenti avanzati di spionaggio

Pubblicato

in data

APT36
Tempo di lettura: 2 minuti.

BlackBerry ha recentemente scoperto che il gruppo di minacce persistenti avanzate (APT) noto come Transparent Tribe (APT36) sta prendendo di mira i settori del governo, della difesa e dell’aerospazio in India. Questa campagna di attacchi, iniziata alla fine del 2023, continua fino ad aprile 2024 e si prevede che persisterà. Transparent Tribe, operante dal Pakistan, ha adattato il proprio arsenale di strumenti e tecniche per colpire obiettivi strategici in India. Utilizzando linguaggi di programmazione multipiattaforma come Python, Golang e Rust, il gruppo ha sviluppato una serie di strumenti malevoli per condurre operazioni di spionaggio contro settori critici per la sicurezza nazionale indiana.

Tecniche e Strumenti Utilizzati

Il gruppo ha utilizzato una varietà di strumenti malevoli, inclusi document stealers basati su Python, script shell offuscati e agenti Poseidon. Una delle nuove aggiunte al loro arsenale è uno strumento di spionaggio “all-in-one” compilato in Golang, capace di trovare ed esfiltrare file, scattare screenshot e eseguire comandi.

Vectore di Attacco

Il vettore di attacco principale utilizzato da Transparent Tribe è il phishing mirato, impiegando archivi ZIP e immagini ISO malevoli. Questi vettori sono stati usati per distribuire file eseguibili dannosi che rubano credenziali e altri dati sensibili.

Infrastruttura di Rete

Transparent Tribe sfrutta vari servizi web per le proprie operazioni, tra cui Telegram, Google Drive e Discord, per il comando e controllo (C2) e l’esfiltrazione di dati. I domini utilizzati per queste operazioni includono piattaforme come Hostinger International Limited, Contabo GmbH e NameCheap, Inc.

Analisi Tecnica

Durante le indagini, sono stati trovati numerosi artefatti che confermano l’attribuzione degli attacchi a Transparent Tribe. Per esempio, un file servito dall’infrastruttura del gruppo impostava la variabile di fuso orario (TZ) su “Asia/Karachi,” indicativa del fuso orario pakistano. Inoltre, è stato scoperto un indirizzo IP remoto associato a un operatore di rete mobile pakistano all’interno di un’email di spear-phishing.

Contesto Geopolitico

Le tensioni tra India e Pakistan sono aumentate negli ultimi anni, con frequenti scontri al confine. La continua evoluzione delle capacità di difesa aerospaziale dell’India ha probabilmente motivato Transparent Tribe a intensificare le operazioni di spionaggio, mirando a guadagnare un vantaggio strategico.

Le attività di Transparent Tribe evidenziano l’importanza di rafforzare le misure di sicurezza informatica nei settori governativi e della difesa come suggerisce nell’analisi BlackBerry. Il gruppo continua a evolversi, utilizzando linguaggi di programmazione multipiattaforma e strumenti offensivi open source per condurre operazioni di spionaggio. Questa attività è destinata a continuare, specialmente in un contesto di crescenti tensioni geopolitiche.

Prosegui la lettura

Sicurezza Informatica

Void Manticore crea malware Bibi per colpire Israele

Tempo di lettura: 2 minuti. Void Manticore, un gruppo di minacce iraniano, intensifica gli attacchi distruttivi contro Israele utilizzando il BiBi wiper.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Void Manticore, un attore di minacce iraniano affiliato al Ministero dell’Intelligence e della Sicurezza (MOIS), è noto per eseguire attacchi di wiping distruttivi combinati con operazioni di influenza. Operando attraverso vari personaggi online, Void Manticore ha condotto attacchi significativi in Israele sotto l’alias “Karma”. Questa analisi esplora le tattiche, le tecniche e le procedure (TTP) utilizzate da Void Manticore e il loro impatto sulle organizzazioni israeliane.

Attività di Void Manticore

Dal novembre 2023, Void Manticore ha intensificato le sue operazioni in Israele, sfruttando un wiping personalizzato chiamato BiBi wiper, nome ispirato al primo ministro israeliano Benjamin Netanyahu. Il gruppo ha mirato a oltre 40 organizzazioni israeliane, utilizzando attacchi di wiping, furto e pubblicazione di dati.

Collaborazione con Scarred Manticore

Le attività di Void Manticore sono strettamente legate a quelle di Scarred Manticore, un altro gruppo iraniano. L’indagine ha rivelato una procedura di passaggio dei bersagli tra i due gruppi, evidenziando una cooperazione coordinata. Scarred Manticore, noto anche come Storm-861, esegue l’accesso iniziale e l’esfiltrazione dei dati, mentre Void Manticore (Storm-842) conduce attacchi distruttivi successivi.

Tecniche e strumenti utilizzati

Void Manticore utilizza metodi relativamente semplici ma efficaci:

  1. Movimenti Laterali: Utilizzano Remote Desktop Protocol (RDP) e altri strumenti pubblicamente disponibili.
  2. Web Shells: Impiegano strumenti come “Karma Shell” per eseguire varie funzioni, tra cui l’elenco delle directory, la creazione di processi, il caricamento di file e l’avvio/arresto dei servizi.
  3. Wipers Personalizzati: Implementano wipers che eliminano file specifici o distruggono le tabelle delle partizioni, causando danni significativi ai sistemi colpiti.

Esempi di Wipers

  • Cl Wiper: Utilizzato in Albania nel 2022, sfrutta un driver legittimo chiamato ElRawDisk per interagire con dischi e partizioni.
  • Partition Wipers: Rimuovono informazioni sulle partizioni, causando crash dei sistemi e inaccessibilità dei dati.
  • BiBi Wiper: Varianti per Linux e Windows, corrompono file con dati casuali e rinominano i file infetti.

Attacchi in Israele

Durante il conflitto Israele-Hamas, Void Manticore ha lanciato vari attacchi contro entità israeliane, utilizzando il BiBi wiper per cancellare dati e causare danni significativi. Le varianti del wiper includono funzioni per cancellare copie shadow, disabilitare il recupero degli errori e corrompere le partizioni del disco.

Implicazioni

Le attività di Void Manticore rappresentano una minaccia significativa per le organizzazioni israeliane, combinando distruzione di dati e guerra psicologica. La collaborazione con Scarred Manticore amplifica l’efficacia degli attacchi, consentendo l’accesso a bersagli di alto valore. La risposta delle organizzazioni di sicurezza deve essere coordinata e proattiva per mitigare tali minacce.

Prosegui la lettura

Facebook

CYBERSECURITY

Cloudflare Workers Cloudflare Workers
Sicurezza Informatica8 ore fa

Phishing con Cloudflare Workers: Phishing Trasparente e HTML Smuggling

Tempo di lettura: 2 minuti. Phishing con Cloudflare Workers: tecniche di evasione e phishing trasparente. Scopri le raccomandazioni di sicurezza...

Arc Browser Arc Browser
Sicurezza Informatica1 giorno fa

Attenzione al “falso” Browser Arc: malvertising in corso

Tempo di lettura: 2 minuti. Il browser Arc, sviluppato da The Browser Company, ha recentemente guadagnato popolarità grazie alle recensioni...

GitLab logo GitLab logo
Sicurezza Informatica3 giorni fa

Vulnerabilità ad alta gravità in GitLab permette controllo Account

Tempo di lettura: 2 minuti. GitLab corregge una vulnerabilità XSS ad alta gravità che permette agli attaccanti di prendere il...

Sicurezza Informatica3 giorni fa

Shrinklocker abusa di BitLocker per la cifratura dei dati

Tempo di lettura: 2 minuti. Il ransomware ShrinkLocker sta abusando di BitLocker per cifrare i dati e chiedere riscatti, e...

Sicurezza Informatica3 giorni fa

Google risolve l’ottavo Zero-Day di Chrome nel 2024

Tempo di lettura: 3 minuti. Google risolve l'ottavo zero-day di Chrome del 2024 con una patch di sicurezza: scopri l'importanza...

Sicurezza Informatica5 giorni fa

GHOSTENGINE: nuova minaccia cryptomining invisibile

Tempo di lettura: 2 minuti. Elastic Security Labs rivela GHOSTENGINE, un set di intrusioni sofisticato progettato per eseguire attività di...

Sicurezza Informatica6 giorni fa

Zoom avrà la crittografia Post-Quantum End-to-End

Tempo di lettura: 2 minuti. Zoom introduce la crittografia end-to-end post-quantum per Zoom Meetings, migliorando la sicurezza contro le minacce...

Sicurezza Informatica6 giorni fa

SolarMarker minaccia informatica costante dal 2021

Tempo di lettura: 2 minuti. SolarMarker utilizza un'infrastruttura multi-tier e tecniche di elusione avanzate per evitare il rilevamento e colpire...

Sicurezza Informatica6 giorni fa

Chrome risolve problema e CISA pubblica Avvisi ICS e vulnerabilità

Tempo di lettura: 2 minuti. Google rilascia una correzione per Chrome per risolvere il problema delle pagine vuote. CISA pubblica...

Sicurezza Informatica6 giorni fa

CLOUD#REVERSER: Attacco Malware sofisticato basato su Cloud

Tempo di lettura: 2 minuti. CLOUD#REVERSER: malware distribuito attraverso i servizi cloud sfrutta il trucco dell'Unicode per ingannare gli utenti

Truffe recenti

Inchieste5 giorni fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Pharmapiuit.com Pharmapiuit.com
Inchieste1 settimana fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste1 settimana fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste1 settimana fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Sicurezza Informatica3 settimane fa

BogusBazaar falsi e-commerce usati per una truffa da 50 milioni

Tempo di lettura: 2 minuti. Oltre 850,000 persone sono state ingannate da una rete di 75,000 falsi negozi online, con...

Sicurezza Informatica3 settimane fa

Truffatori austriaci scappano dagli investitori, ma non dalla legge

Tempo di lettura: 2 minuti. Le forze dell'ordine hanno smascherato e arrestato un gruppo di truffatori austriaci dietro una frode...

Shein Shein
Truffe online2 mesi fa

Truffa dei buoni SHEIN da 300 euro, scopri come proteggerti

Tempo di lettura: < 1 minuto. La truffa dei buoni SHEIN da 300 euro sta facendo nuovamente vittime in Italia,...

OSINT2 mesi fa

USA interviene per recuperare 2,3 Milioni dai “Pig Butchers” su Binance

Tempo di lettura: 2 minuti. Il Dipartimento di Giustizia degli USA interviene per recuperare 2,3 milioni di dollari in criptovalute...

dimarcoutletfirenze sito truffa dimarcoutletfirenze sito truffa
Inchieste3 mesi fa

Truffa dimarcoutletfirenze.com: merce contraffatta e diversi dalle prenotazioni

Tempo di lettura: 2 minuti. La segnalazione alla redazione di dimarcoutletfirenze.com si è rivelata puntuale perchè dalle analisi svolte è...

sec etf bitcoin sec etf bitcoin
Economia5 mesi fa

No, la SEC non ha approvato ETF del Bitcoin. Ecco perchè

Tempo di lettura: 3 minuti. Il mondo delle criptovalute ha recentemente assistito a un evento senza precedenti: l’account Twitter ufficiale...

Tech

Schmidt Pichai Schmidt Pichai
Intelligenza Artificiale18 minuti fa

IA e l’illusione della coscienza secondo Sundar Pichai

Tempo di lettura: 2 minuti. Sundar Pichai discute il futuro dell'IA e la possibilità della coscienza artificiale, prevedendo illusioni di...

OnePlus Nord N30 5G: Snapdragon 695, Fotocamera da 108MP e Batteria da 5000mAh OnePlus Nord N30 5G: Snapdragon 695, Fotocamera da 108MP e Batteria da 5000mAh
Smartphone22 minuti fa

Oppo Find X8, Realme GT6 Pro e OnePlus 13 con Batteria da 6000 mAh

Tempo di lettura: 3 minuti. Oppo Find X8, Realme GT6 Pro e OnePlus 13 con batteria da 6000 mAh per...

honor 200 pro honor 200 pro
Smartphone29 minuti fa

Honor 200 e 200 Pro: Design, Specifiche e Prezzi

Tempo di lettura: 3 minuti. Honor 200 e 200 Pro lanciati in Cina con design elegante, fotocamere avanzate e potenti...

Samsung A54 Samsung A54
Smartphone7 ore fa

Samsung patch di Maggio 2024 per Galaxy A53, A54, Z Fold e Flip 3

Tempo di lettura: 2 minuti. Samsung distribuisce la patch di sicurezza di maggio 2024 per Galaxy A53, A54, Z Fold...

Galaxy S21 FE Galaxy S21 FE
Smartphone8 ore fa

Samsung Galaxy S21 FE: Patch di Sicurezza di Maggio 2024

Tempo di lettura: < 1 minuto. Samsung rilascia la patch di sicurezza di maggio 2024 per Galaxy S21 FE negli...

dummy iPhone 16 Pro dummy iPhone 16 Pro
Smartphone9 ore fa

iPhone 16 Pro: unità dummy rivela schermo più grande

Tempo di lettura: 2 minuti. L'unità dummy dell'iPhone 16 Pro mostra un display più grande e un nuovo pulsante per...

Caviar Galaxy S24 Ultra Caviar Galaxy S24 Ultra
Smartphone9 ore fa

Samsung Galaxy S24 e S22: aggiornamento per fotocamera e sicurezza

Tempo di lettura: 2 minuti. Samsung Galaxy S24 Ultra aggiornamento alla fotocamera con One UI 6.1.1, risolven problemi di ritardo...

Redmi Note 13R Pro Redmi Note 13R Pro
Smartphone10 ore fa

Redmi Note 14 Series: prime anticipazioni su display e chipset

Tempo di lettura: < 1 minuto. Prime indiscrezioni sulla serie Redmi Note 14: display AMOLED 1.5K e chipset Snapdragon 7s...

Smartphone11 ore fa

Samsung Galaxy S25 Ultra: anticipazioni su fotocamere

Tempo di lettura: 2 minuti. Trapelate le specifiche della fotocamera del Samsung Galaxy S25 Ultra: 200MP principale, 50MP ultrawide e...

Motorola Razr 50 Ultra Motorola Razr 50 Ultra
Smartphone11 ore fa

Motorola Razr 2024: Design e Specifiche tecniche rivelate su TENAA

Tempo di lettura: 2 minuti. Scopri design e specifiche tecniche del Motorola Razr 2024 rivelate su TENAA. Innovazioni nel display...

Tendenza