Connect with us

Sicurezza Informatica

Cybercriminali sfruttano DocuSign per Phishing personalizzati e frodi

Tempo di lettura: 2 minuti. Cybercriminali sfruttano gli account DocuSign rubati per phishing personalizzati

Pubblicato

in data

Tempo di lettura: 2 minuti.

Recentemente, è emerso che i cybercriminali stanno sfruttando gli account DocuSign rubati per condurre sofisticate campagne di phishing e frodi finanziarie. Questo nuovo metodo di attacco sfrutta la fiducia e la legittimità di DocuSign, una piattaforma ampiamente utilizzata per la gestione dei documenti e delle firme digitali.

Metodo di Attacco

Prima di tutto, i criminali informatici acquistano le credenziali rubate di DocuSign su forum e reti di cybercrimine per cifre modeste, a partire da soli 10 dollari. Con queste credenziali, ottengono l’accesso agli account aziendali, dove esaminano attentamente tutti i file archiviati, cercando contratti, accordi con fornitori e informazioni sui pagamenti imminenti. Questo li aiuta a identificare chi prendere di mira e come rendere i loro tentativi di truffa più credibili.

Utilizzando le informazioni raccolte, i truffatori impersonano l’azienda compromessa e inviano email false ai partner commerciali dell’azienda, chiedendo di trasferire fondi a un conto diverso controllato dai criminali. Per rendere queste email ancora più legittime, i truffatori allegano falsi contratti tramite l’account DocuSign compromesso, sincronizzando questi invii con le scadenze dei pagamenti reali per rendere la frode più difficile da rilevare.

Impatti delle Frodi

Se la truffa ha successo, i pagamenti destinati ai fornitori legittimi vengono dirottati ai criminali informatici, potenzialmente fruttando loro centinaia di migliaia di dollari da una singola truffa business-to-business (B2B). Gli account DocuSign compromessi sono anche una miniera d’oro per lo spionaggio aziendale, poiché i cybercriminali possono guadagnare vendendo informazioni su fusioni imminenti, record finanziari, liste di clienti e altri dati sensibili a terze parti oltre al phishing.

Ricatto e Dati Sensibili

Molti documenti archiviati in DocuSign contengono informazioni sensibili e confidenziali. Se i criminali informatici scoprono questo tipo di dati durante le loro attività di snooping, potrebbero ricattare l’azienda, minacciando di divulgare pubblicamente le informazioni a meno che non venga pagato un grande riscatto. Questo mette le aziende in una situazione difficile, costringendole a scegliere tra pagare il riscatto o rischiare danni alla reputazione e problemi legali.

Misure di Difesa

Per difendersi da questi attacchi, secondo Abnormal Security le aziende devono adottare diverse misure di sicurezza:

  • Implementare l’autenticazione a due fattori (2FA) per proteggere gli account DocuSign.
  • Educare i dipendenti sui rischi delle email di phishing e su come identificare i tentativi di truffa.
  • Monitorare regolarmente gli account DocuSign per attività sospette.
  • Utilizzare soluzioni di sicurezza avanzate per rilevare e bloccare accessi non autorizzati e email false.

Sicurezza Informatica

EU blocca il progetto “Scansione CSAM”

Tempo di lettura: 2 minuti. La proposta dell’UE per la scansione CSAM su app di messaggistica è bloccata: le critiche e le implicazioni per la privacy e la sicurezza.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Una proposta legislativa controversa nell’Unione Europea mira a richiedere agli utenti di app di messaggistica di accettare la scansione delle loro foto e video da parte dell’IA per rilevare materiale pedopornografico (CSAM). Tuttavia, questa proposta ha incontrato una forte opposizione da parte di aziende tecnologiche, esperti di sicurezza e gruppi per i diritti digitali, preoccupati che possa compromettere la crittografia e la privacy degli utenti.

La proposta e le critiche

La proposta della Commissione Europea prevede l’obbligo per le piattaforme di messaggistica di implementare sistemi di scansione per rilevare e segnalare CSAM. Tra i principali critici ci sono giganti della messaggistica come WhatsApp e Signal, oltre a esperti di sicurezza e protezione dei dati, che avvertono che tale misura potrebbe compromettere la crittografia end-to-end (E2EE), considerata fondamentale per la privacy e la sicurezza delle comunicazioni digitali.

Critici della proposta sostengono che potrebbe fallire nel suo obiettivo dichiarato di proteggere i bambini, generando milioni di falsi positivi che potrebbero sopraffare le forze dell’ordine. Meredith Whittaker, presidente di Signal, ha denunciato la proposta, affermando che “imporre la scansione di massa delle comunicazioni private mina fondamentalmente la crittografia”.

Stato della Proposta

Il 20 giugno 2024, una riunione degli ambasciatori dei 27 Stati membri dell’UE, convocata per discutere la proposta, non è riuscita a raggiungere una posizione comune per avviare i negoziati con il Parlamento Europeo. Un portavoce del rappresentante permanente del Belgio ha confermato che l’argomento è stato rimosso dall’ordine del giorno a causa delle divisioni persistenti tra i governi.

Questa impasse è significativa, poiché il processo legislativo dell’UE richiede l’accordo tra la Commissione, il Parlamento e il Consiglio. Senza una posizione concordata del Consiglio, i negoziati non possono iniziare, lasciando il file bloccato.

Reazioni e Prospettive Future

Patrick Breyer, eurodeputato del Partito Pirata, ha accolto con favore il mancato raggiungimento di un accordo, avvertendo che la sorveglianza di massa minaccia le libertà democratiche e i diritti fondamentali come la privacy. Anche Andy Yen, fondatore di Proton, ha sottolineato la necessità di rimanere vigili contro proposte anti-crittografia che potrebbero essere ripresentate.

La proposta dell’UE di richiedere la scansione delle comunicazioni per CSAM rimane altamente controversa. Sebbene temporaneamente bloccata, la possibilità che venga ripresentata suggerisce che la battaglia per la privacy e la sicurezza delle comunicazioni digitali in Europa è tutt’altro che conclusa.

Prosegui la lettura

Sicurezza Informatica

Rafel RAT: dallo spionaggio alle operazioni ransomware su Android

Tempo di lettura: 3 minuti. Scopri come Rafel RAT sta trasformando il panorama della sicurezza Android con tecniche avanzate di spionaggio e ransomware.

Pubblicato

in data

Tempo di lettura: 3 minuti.

Rafel RAT, un potente malware Android, sta emergendo come una minaccia significativa nel panorama della sicurezza mobile. Utilizzato da diversi attori malevoli, questo strumento open-source consente una vasta gamma di attività dannose, dal furto di dati allo spionaggio, fino alle operazioni di ransomware. Questo articolo esplora le caratteristiche, le campagne e le tecniche di Rafel RAT, evidenziando l’importanza di misure di sicurezza proattive per proteggere i dispositivi Android.

Caratteristiche di Rafel RAT

Rafel RAT è stato identificato da Check Point Research come un potente strumento di amministrazione remota utilizzato in numerose campagne malevoli. Le sue caratteristiche includono accesso remoto, sorveglianza, esfiltrazione di dati e meccanismi di persistenza, rendendolo ideale per operazioni clandestine e infiltrazioni in obiettivi di alto valore.

Campagne e analisi delle vittime

Distribuzione geografica e dispositivi coinvolti

Le campagne di Rafel RAT hanno colpito principalmente utenti negli Stati Uniti, Cina e Indonesia, con un numero significativo di vittime che utilizzavano dispositivi Samsung, seguiti da Xiaomi, Vivo e Huawei. Questo riflette la popolarità di questi dispositivi in vari mercati.


Figura 2 – Dispositivi infetti per paese


Figura 3 – Dispositivi delle vittime

La maggior parte delle vittime utilizzava versioni di Android non più supportate, esponendole a rischi maggiori a causa della mancanza di aggiornamenti di sicurezza.

Android VersioneData di RilascioUltima Patch di Sicurezza
4Ottobre 2011Ottobre 2017
5Novembre 2014Marzo 2018
6Ottobre 2015Agosto 2018
7Agosto 2016Ottobre 2019
8Agosto 2017Ottobre 2021
9Agosto 2018Gennaio 2022
10Settembre 2019Febbraio 2023
11Settembre 2020Febbraio 2024

Figura 5 – Versioni di Android delle vittime

Tecniche e comandi

Rafel RAT viene utilizzato principalmente in campagne di phishing, mascherandosi da app legittime come Instagram, WhatsApp e altre piattaforme di e-commerce. Richiede permessi sensibili come SMS, registri chiamate e contatti, iniziando le sue operazioni in background subito dopo l’attivazione. Comunica con i server di comando e controllo (C&C) utilizzando protocolli HTTP(S), inviando informazioni sul dispositivo e richiedendo comandi da eseguire.

ComandoDescrizione
rehber_okuLegge la rubrica telefonica e la invia al C&C
sms_okuLegge tutti gli SMS e li invia al C&C
send_smsInvia SMS al numero fornito
device_infoInvia informazioni sul dispositivo al C&C
location_trackerTraccia la posizione in tempo reale
arama_gecmisiLegge i registri delle chiamate e li invia al C&C
ransomwareAvvia la cifratura dei file
changewallpaperCambia lo sfondo del dispositivo

Figura 22 – Comandi supportati da Rafel RAT

Operazioni di Ransomware

Rafel RAT può ottenere privilegi di amministratore del dispositivo, modificare la password della schermata di blocco e impedire la disinstallazione del malware. Può anche criptare file utilizzando la crittografia AES o cancellarli dal dispositivo.

Rafel RAT rappresenta un esempio significativo dell’evoluzione del malware Android, caratterizzato dalla sua natura open-source e dalla vasta gamma di funzionalità. La prevalenza di Rafel RAT sottolinea la necessità di misure di sicurezza proattive per proteggere i dispositivi Android dalle sfruttamenti malevoli.

Prosegui la lettura

Sicurezza Informatica

CosmicSting: minaccia grave per i negozi Magento e Adobe Commerce

Tempo di lettura: 2 minuti. Scopri la minaccia di CosmicSting per i negozi Magento e Adobe Commerce, inclusi dettagli sulla vulnerabilità, misure di emergenza e suggerimenti per la sicurezza.

Pubblicato

in data

Tempo di lettura: 2 minuti.

CosmicSting (CVE-2024-34102) è considerato il peggior bug che ha colpito i negozi Magento e Adobe Commerce negli ultimi due anni. Questa vulnerabilità permette agli attaccanti di leggere file privati (come quelli contenenti password) e, in combinazione con il recente bug iconv in Linux, può portare all’esecuzione di codice remoto (RCE), dando pieno controllo agli avversari. Questo attacco può essere automatizzato, potenzialmente portando a massicce compromissioni a livello globale.

Dettagli della Vulnerabilità

  • CVE: 2024-34102
  • Tipo: XXE non autorizzato, RCE insieme a CVE-2024-2961
  • Severità: CVSS 9.8
  • Automatizzabile: Sì, senza interazione necessaria
  • Exploit: Verificato da Sansec, non ancora pubblico
  • Crediti: Scoperto da spacewasp

Contesto Storico

Nella storia di Magento, solo tre problemi di sicurezza di simile gravità sono stati riscontrati, e in ciascuna di queste occasioni, decine di migliaia di negozi sono stati compromessi nel giro di poche ore. Adobe ha rilasciato una patch per gli attacchi CosmicSting, ma solo il 25% dei negozi ha eseguito l’aggiornamento sin dal rilascio della sicurezza la settimana scorsa.

Problemi con l’aggiornamento

L’aggiornamento di sicurezza potrebbe causare problemi con la funzionalità di checkout esistente. Adobe ha retrodatato l’implementazione CSP/SRI imposta dal PCI dalla versione 2.4.7, che potrebbe rompere JavaScript di terze parti e script inline nel flusso di checkout. Sansec raccomanda di passare alla modalità ‘Report-Only’ prima di aggiornare, in modo che il checkout continui a funzionare e si abbia tempo sufficiente per verificare moduli incompatibili prima che i nuovi requisiti PCI entrino in vigore nell’aprile 2025. Si consiglia inoltre di abilitare il monitoraggio CSP, disponibile gratuitamente da Sansec.

Misure di emergenza

Se non è possibile eseguire l’aggiornamento nei prossimi giorni, ci sono due misure di emergenza che possono essere implementate immediatamente:

  1. Aggiornamento del Server Linux: Assicurarsi che le versioni del server Linux siano aggiornate per mitigare parte del rischio (test disponibile qui).
  2. Fix di Emergenza: Aggiungere il seguente codice all’inizio di app/bootstrap.php per bloccare la maggior parte degli attacchi CosmicSting:phpCopia codiceif (strpos(file_get_contents('php://input'), 'dataIsURL') !== false) { header('HTTP/1.1 503 Service Temporarily Unavailable'); header('Status: 503 Service Temporarily Unavailable'); exit; }

CosmicSting rappresenta una seria minaccia per i negozi Magento e Adobe Commerce. Gli amministratori devono agire rapidamente per applicare le patch di sicurezza e considerare misure di emergenza per proteggere i loro sistemi. La vigilanza e l’aggiornamento continuo sono cruciali per prevenire compromissioni e garantire la sicurezza delle informazioni sensibili.

Prosegui la lettura

Facebook

CYBERSECURITY

Sicurezza Informatica9 ore fa

Rafel RAT: dallo spionaggio alle operazioni ransomware su Android

Tempo di lettura: 3 minuti. Scopri come Rafel RAT sta trasformando il panorama della sicurezza Android con tecniche avanzate di...

Sicurezza Informatica11 ore fa

CosmicSting: minaccia grave per i negozi Magento e Adobe Commerce

Tempo di lettura: 2 minuti. Scopri la minaccia di CosmicSting per i negozi Magento e Adobe Commerce, inclusi dettagli sulla...

Sicurezza Informatica13 ore fa

Project Naptime: gli LLM migliorano la difesa informatica?

Tempo di lettura: 2 minuti. Project Naptime di Google Project Zero esplora come i modelli di linguaggio possono migliorare la...

Sicurezza Informatica1 giorno fa

SquidLoader: malware evasivo che colpisce la Cina

Tempo di lettura: 2 minuti. SquidLoader, un malware altamente evasivo, prende di mira le organizzazioni cinesi con tecniche avanzate di...

Sicurezza Informatica2 giorni fa

Operazione di Probing DNS su scala globale: il caso Secshow

Tempo di lettura: 3 minuti. L'operazione Secshow rivela un probing DNS globale che sfrutta resolver aperti e amplificazione Cortex Xpanse

Sicurezza Informatica2 giorni fa

Morris II: malware auto-replicante che compromette assistenti Email con AI

Tempo di lettura: 2 minuti. Morris II, il malware auto-replicante che minaccia gli assistenti email GenAI, richiede misure di sicurezza...

Sicurezza Informatica3 giorni fa

Bug in Windows 10 e ONNX Phishing: ultime novità e minacce

Tempo di lettura: 2 minuti. Scopri il bug di Windows 10 che causa dialoghi "Apri con" e la nuova minaccia...

Sicurezza Informatica3 giorni fa

Compromissione PowerShell: nuove tecniche di attacco

Tempo di lettura: 2 minuti. Meta descrizione: Una nuova tecnica di attacco utilizza ingegneria sociale per indurre gli utenti a...

Sicurezza Informatica4 giorni fa

ASUS risolve vulnerabilità critica su 7 modelli di router

Tempo di lettura: 2 minuti. ASUS risolve una vulnerabilità critica di bypass dell'autenticazione su sette modelli di router, invitando gli...

Sicurezza Informatica4 giorni fa

Linux in sofferenza con due malware: TIKTAG e DISGOMOJI

Tempo di lettura: 3 minuti. Nuovi attacchi TIKTAG e malware DISGOMOJI minacciano la sicurezza di Google Chrome, sistemi Linux e...

Truffe recenti

fbi fbi
Sicurezza Informatica2 settimane fa

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica3 settimane fa

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste3 settimane fa

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Inchieste1 mese fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Pharmapiuit.com Pharmapiuit.com
Inchieste1 mese fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste1 mese fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste1 mese fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Sicurezza Informatica1 mese fa

BogusBazaar falsi e-commerce usati per una truffa da 50 milioni

Tempo di lettura: 2 minuti. Oltre 850,000 persone sono state ingannate da una rete di 75,000 falsi negozi online, con...

Sicurezza Informatica1 mese fa

Truffatori austriaci scappano dagli investitori, ma non dalla legge

Tempo di lettura: 2 minuti. Le forze dell'ordine hanno smascherato e arrestato un gruppo di truffatori austriaci dietro una frode...

Shein Shein
Truffe online2 mesi fa

Truffa dei buoni SHEIN da 300 euro, scopri come proteggerti

Tempo di lettura: < 1 minuto. La truffa dei buoni SHEIN da 300 euro sta facendo nuovamente vittime in Italia,...

Tech

Smartphone6 ore fa

Samsung Galaxy S24 Ultra Titanium Yellow disponibile in India

Tempo di lettura: 2 minuti. Samsung Galaxy S24 Ultra in Titanium Yellow ora in India con specifiche avanzate e prezzo...

HarmonyOS Next HarmonyOS Next
Tech8 ore fa

Huawei Developer Conference 2024: novità e HarmonyOS NEXT Beta

Tempo di lettura: 3 minuti. Huawei annuncia HarmonyOS NEXT e le applicazioni native Hongmeng alla Developer Conference 2024: più sicurezza...

Smartphone10 ore fa

Oppo Reno 11A: lancio e specifiche

Tempo di lettura: 2 minuti. Oppo Reno 11A con chipset Dimensity 7050, fotocamera da 64MP e batteria da 5000mAh. Specifiche...

Smartphone10 ore fa

Serie Redmi K80: aggiornamenti chiave visibili

Tempo di lettura: 3 minuti. Xiaomi Redmi K80, novità dai processori avanzati agli schermi 2K, alla batteria migliorata e alle...

Smartphone11 ore fa

Ulefone Armor 26 Ultra: test della batteria e ricarica veloce

Tempo di lettura: 2 minuti. Scopri il nuovo Ulefone Armor 26 Ultra con batteria da 15600mAh e ricarica flash da...

Smartphone11 ore fa

Redmi 14C e 13 5G: lancio globale imminente

Tempo di lettura: 4 minuti. Scopri le specifiche e la data di lancio del Xiaomi Redmi 13 5G, con dettagli...

Smartphone12 ore fa

Samsung Galaxy S25: ultime su Snapdragon e Fotocamera Ultra

Tempo di lettura: 2 minuti. Samsung Galaxy S25 potrebbe utilizzare solo processori Snapdragon, e nuovi sensori ultrawide e teleobiettivo fotocamere...

Tech13 ore fa

Tor Browser 13.5: novità Android, Desktop e Bridges

Tempo di lettura: 3 minuti. Tor Browser 13.5: miglioramenti per Android e desktop, nuova esperienza di connessione e aggiornamenti delle...

Tech13 ore fa

Come bloccare e nascondere App su iPhone con iOS 18?

Tempo di lettura: 2 minuti. Scopri come bloccare e nascondere app su iPhone con iOS 18 utilizzando Face ID e...

Smartphone13 ore fa

Aggiornamenti di sicurezza Galaxy S21 FE e A55

Tempo di lettura: 2 minuti. Samsung rilascia gli aggiornamenti di sicurezza di giugno 2024 per Galaxy S21 FE e di...

Tendenza