Sicurezza Informatica
Criminali vietnamiti usano Facebook ADS per diffondere malware
Tempo di lettura: 3 minuti. Scopri come i cybercriminali vietnamiti utilizzano Facebook per lanciare attacchi sofisticati, sfruttando tecniche ingegnose per compromettere gli account aziendali.
Recentemente, è stato rivelato che attori malevoli associati all’ecosistema di cybercriminalità vietnamita stanno sfruttando la pubblicità come vettore su piattaforme di social media come Facebook, di proprietà di Meta, per distribuire malware. Mohammad Kazem Hassan Nejad, ricercatore di WithSecure, ha dichiarato: “Gli attori delle minacce hanno da tempo utilizzato annunci fraudolenti come vettore per prendere di mira le vittime con truffe, malvertising e altro. E con le aziende che ora sfruttano la portata dei social media per la pubblicità, gli aggressori hanno un nuovo tipo di attacco altamente redditizio da aggiungere al loro arsenale: l’assalto agli account aziendali.”
Attacchi mirati agli account Meta Business e Facebook
Gli attacchi informatici mirati agli account Meta Business e Facebook sono diventati popolari nell’ultimo anno, grazie a cluster di attività come Ducktail e NodeStealer, noti per attaccare aziende e individui che operano su Facebook. Tra i metodi utilizzati dai cybercriminali per ottenere accesso non autorizzato agli account degli utenti, l’ingegneria sociale gioca un ruolo significativo. Le vittime vengono contattate attraverso diverse piattaforme, da Facebook e LinkedIn a WhatsApp e portali di lavoro freelance come Upwork. Un altro meccanismo di distribuzione noto è l’uso del “search engine poisoning” per promuovere software fasulli come CapCut, Notepad++, OpenAI ChatGPT, Google Bard e Meta Threads.
Un elemento comune a questi gruppi è l’abuso di servizi di abbreviazione degli URL, Telegram per il comando e il controllo (C2) e servizi cloud legittimi come Trello, Discord, Dropbox, iCloud, OneDrive e Mediafire per ospitare i payload malevoli.
Il modus operandi di Ducktail
Gli attori dietro Ducktail, ad esempio, utilizzano esche legate a progetti di marca e marketing per infiltrarsi in individui e aziende che operano sulla piattaforma Business di Meta. In questi attacchi, i potenziali bersagli vengono indirizzati a post fasulli su Upwork e Freelancer tramite annunci su Facebook o LinkedIn InMail. Questi post contengono un link a un file di descrizione del lavoro trappola ospitato su uno dei fornitori di storage cloud sopra menzionati, che porta infine al dispiegamento del malware stealer Ducktail.
Il malware Ducktail ruba i cookie di sessione salvati dai browser, con un codice specificamente progettato per prendere il controllo degli account aziendali di Facebook. I ricercatori di Zscaler ThreatLabz, Sudeep Singh e Naveen Selvan, hanno notato in un’analisi parallela che gli account vengono venduti per un prezzo compreso tra $15 e $340.
L’evoluzione degli attacchi
Alcune sequenze di infezione osservate tra febbraio e marzo 2023 hanno coinvolto l’uso di file di collegamento e PowerShell per scaricare e avviare il malware finale, illustrando la continua evoluzione delle tattiche degli aggressori. L’esperimentazione si estende anche allo stealer, che è stato aggiornato per raccogliere le informazioni personali dell’utente da X (precedentemente Twitter), TikTok Business e Google Ads.
Ducktail è solo uno dei molti attori della minaccia vietnamita che sfruttano strumenti e tattiche condivisi per realizzare tali schemi fraudolenti. Questo include anche un imitatore di Ducktail chiamato Duckport, attivo da marzo 2023, che svolge attività di furto di informazioni insieme all’assalto all’account Meta Business. È essenziale che gli utenti siano consapevoli di tali minacce e adottino misure preventive per proteggere i loro account e dati.
Sicurezza Informatica
Microsoft risolve problemi di prestazioni su Windows Server e corregge una vulnerabilità zero-day sfruttata dal 2018
Tempo di lettura: 2 minuti. Microsoft risolve i problemi di prestazioni di Windows Server e una vulnerabilità zero-day in Smart App Control attivamente sfruttata dal 2018.
Negli ultimi aggiornamenti, Microsoft ha risolto importanti problemi legati a Windows Server e una vulnerabilità zero-day che era stata sfruttata da attori malevoli dal 2018.
Problemi di prestazioni su Windows Server risolti con aggiornamento di settembre 2024
Microsoft ha rilasciato l’aggiornamento cumulativo KB5043050 per risolvere i problemi di prestazioni e blocchi che affliggevano Windows Server 2019 in seguito agli aggiornamenti di sicurezza di agosto 2024. Questi problemi includevano il rallentamento del sistema, utilizzo eccessivo della CPU e blocchi durante il boot del server, specialmente in presenza di software antivirus che eseguivano scansioni su file di sistema. Gli amministratori di sistema avevano segnalato che il processo di Antimalware Service Executable era collegato a questi problemi, causando un utilizzo anomalo delle risorse.
Microsoft ha risolto il problema con l’aggiornamento rilasciato a settembre, raccomandando l’installazione del pacchetto cumulativo più recente. Per gli amministratori che non possono implementare immediatamente l’aggiornamento, è stato reso disponibile un criterio di rollback tramite Group Policy, che può essere applicato per mitigare temporaneamente il problema.
Vulnerabilità zero-day in Windows Smart App Control sfruttata dal 2018
Microsoft ha anche risolto una vulnerabilità critica, tracciata come CVE-2024-38217, che permetteva agli attaccanti di bypassare le protezioni di Smart App Control e SmartScreen. Questa vulnerabilità consentiva di eseguire file dannosi senza attivare avvisi di sicurezza come il Mark of the Web (MotW), una protezione essenziale per bloccare esecuzioni di file sospetti.
Sfruttata attraverso una tecnica nota come LNK stomping, la vulnerabilità consentiva agli attori malevoli di manipolare i file LNK (scorciatoie di Windows) in modo che Windows Explorer aggiornasse automaticamente il file, rimuovendo il marchio di sicurezza MotW e consentendo l’esecuzione del file dannoso. Elastic Security Labs ha rivelato che questa vulnerabilità è stata sfruttata attivamente dal 2018 e ha fornito esempi di attacchi documentati su VirusTotal.
La correzione di Microsoft per questa vulnerabilità è stata inclusa negli aggiornamenti di settembre, garantendo che Windows Smart App Control e SmartScreen funzionino correttamente per bloccare l’esecuzione di file potenzialmente pericolosi.
Gli aggiornamenti di settembre di Microsoft non solo risolvono gravi problemi di prestazioni sui Windows Server, ma proteggono anche i sistemi da una vulnerabilità zero-day sfruttata per anni. Gli amministratori di sistema sono incoraggiati a implementare immediatamente gli aggiornamenti per evitare ulteriori problemi di sicurezza e prestazioni.
Sicurezza Informatica
Truffa “Il tuo partner ti tradisce”: chiedono di pagare per vedere le prove
Tempo di lettura: < 1 minuto. Una nuova truffa “Il tuo partner ti tradisce” chiede il pagamento per vedere prove false. Scopri come proteggerti dalle frodi online.
Una nuova truffa di sextortion sta circolando via email, sfruttando tattiche manipolative per ingannare le vittime, dove i truffatori inviano un messaggio affermando che il partner del destinatario sta tradendo, e offrono “prove” a pagamento. L’obiettivo è convincere le persone a pagare circa 2.500 dollari in Bitcoin per ottenere l’accesso ai presunti dati del partner.
Il messaggio tipico è formulato così:
“Il tuo partner sta tradendo. Abbiamo fatto un backup completo del suo dispositivo e abbiamo accesso a tutti i suoi contatti, messaggi e account sui social media. Pagando, ti daremo accesso a tutte le prove.”
I link presenti nel messaggio conducono spesso a siti che chiedono un pagamento in criptovaluta o presentano una schermata di login, che potrebbe rubare ulteriori informazioni personali.
Come agiscono i truffatori?
Gli attaccanti sfruttano dati personali provenienti da fughe di informazioni o violazioni di database per rendere i messaggi più credibili. In alcuni casi, usano nomi reali del partner della vittima, ottenuti attraverso social media o dati esposti in precedenti violazioni. Ad esempio, alcuni utenti di un sito di pianificazione matrimoniale, The Knot, hanno riportato di aver ricevuto queste email truffaldine, suggerendo che gli scammer potrebbero aver utilizzato credenziali compromesse da tale piattaforma.
Cosa fare in caso di email truffaldine?
- Non rispondere: rispondere conferma al truffatore che l’indirizzo email è attivo.
- Cambia la password: se l’email contiene una password che utilizzi ancora, assicurati di cambiarla immediatamente.
- Evita di cliccare sui link o aprire allegati: potrebbero installare malware o sottrarre ulteriori informazioni personali.
Per verificare quali dati personali potrebbero essere esposti, è possibile utilizzare strumenti come il Digital Footprint Scan offerto da Malwarebytes.
Sicurezza Informatica
Meta risolve vulnerabilità in WhatsApp e migliora l’interoperabilità tra Messenger e altre app
Tempo di lettura: 3 minuti. Meta risolve una vulnerabilità nella funzione View Once di WhatsApp e annuncia nuove funzionalità di interoperabilità per Messenger e WhatsApp.
Negli ultimi giorni, Meta ha annunciato una serie di aggiornamenti per le sue piattaforme di messaggistica, tra cui WhatsApp e Messenger. Mentre WhatsApp ha affrontato una vulnerabilità legata alla funzione View Once, Meta ha svelato nuove funzionalità che permetteranno l’interoperabilità tra Messenger, WhatsApp e altre app di messaggistica. Questo si colloca nell’ambito della normativa europea Digital Markets Act, che obbliga i colossi digitali a garantire una maggiore compatibilità tra servizi di messaggistica.
Vulnerabilità della funzione View Once di WhatsApp risolta
WhatsApp, utilizzata da oltre 2 miliardi di persone in tutto il mondo, ha recentemente corretto una vulnerabilità legata alla funzione View Once, che permette agli utenti di inviare foto, video o messaggi vocali visualizzabili solo una volta. Questa funzione, introdotta tre anni fa, dovrebbe impedire che i contenuti vengano salvati, inoltrati o copiati dai destinatari. Tuttavia, un gruppo di ricercatori di sicurezza della Zengo X ha scoperto che questa protezione era facilmente aggirabile, consentendo agli attaccanti di salvare i contenuti visualizzati una sola volta.
Il problema era legato al modo in cui i messaggi venivano gestiti su dispositivi desktop e web, che non bloccavano gli screenshot come sui dispositivi mobili. Inoltre, la gestione del flag “View Once” risultava insufficiente, consentendo a utenti malevoli di manipolare il flag per permettere la visualizzazione e la condivisione del contenuto più di una volta. Questo ha creato una falsa sensazione di privacy per gli utenti, che credevano di avere un maggiore controllo sui loro contenuti.
Meta ha confermato di aver risolto il problema, implementando una serie di aggiornamenti per migliorare la sicurezza della funzione View Once sui dispositivi web e desktop. Tuttavia, i ricercatori di Zengo hanno avvisato che la vulnerabilità è stata sfruttata per oltre un anno, con strumenti come estensioni di Chrome che facilitavano l’aggiramento della protezione.
WhatsApp e Messenger migliorano l’interoperabilità con altre app di messaggistica
Con l’entrata in vigore del Digital Markets Act dell’Unione Europea, Meta ha iniziato a implementare cambiamenti che migliorano l’interoperabilità tra le sue piattaforme di messaggistica, come Messenger e WhatsApp, e app di terze parti. Secondo un recente aggiornamento, gli utenti di Messenger e WhatsApp saranno presto notificati quando una nuova app di messaggistica diventa compatibile con il loro servizio, consentendo di connettersi con persone su altre piattaforme in modo più agevole.
Meta ha anche confermato che gli utenti potranno scegliere se tenere le chat con app di terze parti in una cartella separata o nella stessa cartella delle chat interne a WhatsApp e Messenger. Inoltre, le due piattaforme offriranno funzionalità avanzate, come ricevute di lettura, indicatori di scrittura, risposte e reazioni, anche per le chat con app esterne. Nel 2025, sarà possibile creare gruppi multi-piattaforma e, nel 2027, verrà introdotta la possibilità di effettuare chiamate vocali e video tra app diverse.
Con queste nuove funzionalità, Meta non solo affronta le problematiche legate alla privacy e alla sicurezza su WhatsApp, ma si allinea anche ai requisiti normativi europei, migliorando l’interoperabilità tra le sue piattaforme e le app di messaggistica di terze parti. Questi aggiornamenti offrono agli utenti una maggiore flessibilità nella gestione delle comunicazioni e una protezione più solida per i loro dati personali.
- Inchieste1 settimana fa
La narrazione su Moussa Sangare uccide ancora Sharon Verzeni
- Tech3 giorni fa
IFA 2024: tutte le novità in questo speciale
- Economia1 settimana fa
IdentifAI chiude un round di investimento da 2,2 milioni di euro
- Tech1 settimana fa
Meta Quest 3S VR in arrivo, c’è la certificazione FCC
- Smartphone1 giorno fa
Huawei Mate XT: il primo smartphone pieghevole tri-fold
- Inchieste5 giorni fa
Stretta contro la disinformazione russa e WhisperGate
- Tech3 giorni fa
iPhone 16 Pro Max e Galaxy Tab S10: novità tra 4K, 8K e tasto AI
- Tech1 settimana fa
OnePlus 13 e OnePlus Nord Buds 3: lancio atteso