Sicurezza Informatica
Ecco il malware che eluce i blocchi impostati da Microsoft sulle VBA
Tempo di lettura: 3 minuti. FormBook si diffonde tramite malvertising utilizzando MalVirt Loader per eludere il rilevamento
Una campagna di malvertising in corso viene utilizzata per distribuire loader .NET virtualizzati progettati per distribuire il malware FormBook che ruba informazioni. “I loader, denominati MalVirt, utilizzano la virtualizzazione offuscata per l’anti-analisi e l’evasione insieme al driver Windows Process Explorer per la terminazione dei processi”, hanno dichiarato i ricercatori di SentinelOne Aleksandar Milenkoski e Tom Hegel in un documento tecnico.
Il passaggio al malvertising di Google è l’ultimo esempio di come gli attori del crimine stiano escogitando vie di distribuzione alternative per distribuire malware da quando Microsoft ha annunciato l’intenzione di bloccare l’esecuzione di macro in Office per impostazione predefinita da file scaricati da Internet. Il malvertising consiste nell’inserire annunci pubblicitari illeciti sui motori di ricerca nella speranza di indurre gli utenti che cercano software popolari come Blender a scaricare il software troianizzato.
I caricatori MalVirt, implementati in .NET, utilizzano il legittimo protettore di virtualizzazione KoiVM per le applicazioni .NET nel tentativo di nascondere il proprio comportamento e hanno il compito di distribuire la famiglia di malware FormBook. Oltre a incorporare tecniche di anti-analisi e anti-rilevamento per eludere l’esecuzione all’interno di una macchina virtuale o di un ambiente sandbox per applicazioni, è stato scoperto che i caricatori utilizzano una versione modificata di KoiVM che integra ulteriori livelli di offuscamento per rendere la decifrazione ancora più difficile.
I caricatori distribuiscono e caricano anche un driver firmato di Microsoft Process Explorer con l’obiettivo di eseguire azioni con permessi elevati. I privilegi, ad esempio, possono essere usati come arma per terminare i processi associati al software di sicurezza per evitare di essere segnalati. Sia FormBook che il suo successore, XLoader, implementano un’ampia gamma di funzionalità, come il keylogging, il furto di screenshot, la raccolta di credenziali web e di altro tipo e l’installazione di ulteriore malware. I ceppi di malware si distinguono anche per il fatto di camuffare il loro traffico di comando e controllo (C2) tra le richieste HTTP con contenuti codificati a più domini esca, come già rivelato da Zscaler e Check Point lo scorso anno.
“In risposta al blocco predefinito delle macro di Office da parte di Microsoft nei documenti provenienti da Internet, gli attori delle minacce si sono rivolti a metodi alternativi di distribuzione del malware – più recentemente, il malvertising”, hanno dichiarato i ricercatori.
“I caricatori di MalVirt […] dimostrano quanto impegno gli attori delle minacce stiano investendo per eludere il rilevamento e vanificare l’analisi”.
È pertinente che il metodo stia già registrando un picco a causa del suo utilizzo da parte di altri attori criminali per spingere gli stealers IcedID, Raccoon, Rhadamanthys e Vidar negli ultimi mesi. “È probabile che un attore di minacce abbia iniziato a vendere malvertising come servizio sul dark web e che ci sia una grande richiesta”, ha dichiarato Abuse.ch in un rapporto, indicando una possibile ragione per l'”escalation”.
Le scoperte arrivano due mesi dopo che K7 Security Labs, con sede in India, ha descritto una campagna di phishing che sfrutta un loader .NET per rilasciare Remcos RAT e Agent Tesla tramite un binario virtualizzato KoiVM.
Tuttavia, non si tratta solo di annunci dannosi, poiché gli avversari stanno sperimentando anche altri tipi di file, come gli add-in di Excel (XLL) e gli allegati e-mail di OneNote, per eludere i perimetri di sicurezza. A questo elenco si è aggiunto di recente l’uso dei componenti aggiuntivi di Visual Studio Tools for Office (VSTO) come veicolo di attacco.
“I componenti aggiuntivi VSTO possono essere inseriti nei documenti di Office (VSTO locale) o, in alternativa, recuperati da una posizione remota quando viene aperto un documento di Office con VSTO (VSTO remoto)”, ha rivelato Deep Instinct la scorsa settimana. “Questo, tuttavia, potrebbe richiedere l’aggiramento dei meccanismi di sicurezza legati alla fiducia”.
Sicurezza Informatica
Microsoft: più sicurezza in Office 2024 e Bing rimuove revenge porn
Tempo di lettura: 3 minuti. Microsoft disabilita i controlli ActiveX in Office 2024 e rimuove il revenge porn dai risultati di ricerca Bing grazie a un nuovo strumento di protezione.
Microsoft continua a rafforzare la sicurezza dei suoi prodotti con due importanti aggiornamenti. Da un lato, con il lancio di Office 2024, la società ha deciso di disabilitare per impostazione predefinita i controlli ActiveX, riducendo così i rischi di attacchi malware attraverso vulnerabilità conosciute e, dall’altro, sta intensificando gli sforzi per combattere la diffusione di revenge porn e immagini intime non consensuali su Bing, grazie alla partnership con StopNCII. Entrambe le iniziative riflettono l’impegno di Microsoft nel proteggere la sicurezza e la privacy dei propri utenti, sia a livello aziendale che personale.
Microsoft Office 2024 disabiliterà i controlli ActiveX per migliorare la sicurezza
Con l’uscita di Microsoft Office 2024 prevista per ottobre, la società disabiliterà per impostazione predefinita i controlli ActiveX su Word, Excel, PowerPoint e Visio, segnando un’importante svolta nella sicurezza dei suoi applicativi. ActiveX, introdotto nel 1996, è un framework software che consente agli sviluppatori di creare oggetti interattivi integrabili nei documenti di Office. Tuttavia, a causa delle sue ben note vulnerabilità di sicurezza, Microsoft ha deciso di limitarne l’uso.
A partire da ottobre 2024, i documenti aperti nelle versioni desktop di Office Win32 disabiliteranno automaticamente i controlli ActiveX, con l’espansione di questa modifica anche alle app di Microsoft 365 entro aprile 2025. Secondo un annuncio nel centro messaggi di Microsoft 365, la nuova configurazione predefinita passerà da “chiedere prima di abilitare tutti i controlli con restrizioni minime” a “disabilitare tutti i controlli” senza alcuna notifica.
Gli utenti non potranno più creare o interagire con oggetti ActiveX nei documenti di Office. Alcuni oggetti esistenti appariranno come immagini statiche, ma non saranno più interattivi. Questa mossa fa parte di un più ampio sforzo da parte di Microsoft per disabilitare funzionalità che sono state frequentemente sfruttate per attacchi malware, come l’uso di ActiveX da parte di hacker per diffondere malware come TrickBot e Cobalt Strike.
La disabilitazione di ActiveX segue altre modifiche simili di Microsoft negli ultimi anni, come il blocco dei macro Excel 4.0 (XLM) e delle macro VBA. Queste misure riflettono la crescente attenzione dell’azienda per la sicurezza dei suoi utenti, in un contesto in cui i cybercriminali continuano a sfruttare vulnerabilità di vecchia data per attacchi su larga scala.
Per gli utenti che necessitano ancora di utilizzare i controlli ActiveX, è possibile riabilitarli modificando le impostazioni nel Trust Center o nel registro di sistema. Tuttavia, considerando i rischi associati a questi controlli, la scelta di disabilitarli di default rappresenta una significativa misura di prevenzione contro potenziali attacchi informatici.
Microsoft rimuove il Revenge Porn da Bing con un nuovo strumento di sicurezza
Microsoft ha annunciato una nuova partnership con StopNCII per la rimozione proattiva di immagini intime non consensuali da Bing. Grazie a questa collaborazione, le persone possono creare hash digitali dei loro contenuti sensibili senza dover caricare immagini o video sui server. Questi hash vengono poi aggiunti a un database globale utilizzato da piattaforme come Facebook, TikTok, Instagram e altre, per identificare e rimuovere rapidamente immagini non consensuali.
StopNCII, gestito dalla Revenge Porn Helpline, permette di prevenire la diffusione di materiale intimo senza richiedere la condivisione diretta dei contenuti. Microsoft ha iniziato a utilizzare questa tecnologia su Bing e ha già agito su oltre 268.899 immagini fino alla fine di agosto 2024. La collaborazione include anche l’uso della tecnologia PhotoDNA di Microsoft, che crea impronte digitali dei contenuti per identificare e rimuovere efficacemente immagini intime non consensuali.
Con l’aumento delle immagini generate da intelligenza artificiale, come i deepfake, il problema della diffusione di materiale intimo non consensuale è diventato più complesso. Microsoft ha sviluppato una procedura per consentire alle vittime di segnalare manualmente immagini false o autentiche per la rimozione dai risultati di ricerca di Bing tramite la pagina “Report a Concern”.
Questa iniziativa è parte di un più ampio sforzo globale per proteggere la privacy degli individui e limitare l’impatto devastante del revenge porn e delle immagini intime non consensuali. Mentre Microsoft è all’avanguardia in questo campo, altre aziende, come Google, offrono strumenti simili per la rimozione di contenuti sensibili, sebbene non abbiano ancora adottato StopNCII.
Le recenti iniziative di Microsoft dimostrano un chiaro impegno per migliorare la sicurezza delle proprie piattaforme, riducendo i rischi per gli utenti, sia nelle applicazioni aziendali come Office 2024, sia negli ambienti di ricerca online come Bing. Disabilitando ActiveX e rimuovendo contenuti sensibili tramite hash digitali, Microsoft sta puntando a un futuro digitale più sicuro e rispettoso della privacy degli individui.
Sicurezza Informatica
Vulnerabilità di sicurezza nei token YubiKey 5: attacco EUCLEAK
Tempo di lettura: 2 minuti. Vulnerabilità nei dispositivi YubiKey 5 sfrutta un attacco canale laterale, permettendo di clonare i token FIDO
Nel settembre 2024, è stata scoperta una vulnerabilità critica nei token di autenticazione hardware della serie YubiKey 5, basati su microcontrollori di sicurezza prodotti da Infineon. Questa vulnerabilità, denominata EUCLEAK, è stata rivelata attraverso uno studio condotto dal team di ricerca NinjaLab. L’attacco sfrutta un canale laterale per compromettere la chiave segreta del protocollo ECDSA implementato nei microcontrollori di sicurezza Infineon SLE78, utilizzati nei dispositivi di autenticazione FIDO, come la serie YubiKey 5.
I token hardware FIDO, come la serie YubiKey 5, sono ampiamente utilizzati per l’autenticazione sicura degli utenti, soprattutto per la protezione contro attacchi di phishing. Tuttavia, la sicurezza di questi dispositivi si basa su una corretta implementazione delle primitive crittografiche, in particolare l’algoritmo di firma digitale a curva ellittica (ECDSA), che gestisce chiavi crittografiche sensibili.
La ricerca di NinjaLab si è concentrata sul microcontrollore Infineon SLE78, integrato nei dispositivi YubiKey. Grazie all’analisi su un dispositivo simile, la JavaCard Feitian A22, i ricercatori sono riusciti a comprendere il funzionamento dell’implementazione crittografica di Infineon e a identificare una vulnerabilità nel processo di inversione modulare dell’algoritmo ECDSA.
Attacco canale laterale e vulnerabilità individuata
L’attacco EUCLEAK si basa su misurazioni elettromagnetiche (EM) del dispositivo target. L’attacco richiede un breve accesso fisico al dispositivo, durante il quale l’aggressore può acquisire tracce elettromagnetiche delle operazioni crittografiche eseguite dal dispositivo durante il calcolo della firma ECDSA. In particolare, è stato rilevato che l’implementazione di Infineon non è costante nel tempo durante l’inversione modulare, lasciando una finestra per l’estrazione della chiave privata.
Dopo l’acquisizione delle tracce, i ricercatori sono riusciti a recuperare la chiave segreta utilizzata dal dispositivo per firmare le richieste di autenticazione. Ciò consente di clonare il dispositivo FIDO, rendendo possibile l’accesso a tutti gli account associati al token senza che l’utente legittimo ne sia a conoscenza.
Impatto e prodotti vulnerabili
Secondo NinjaLab, tutte le versioni di firmware della serie YubiKey 5 precedenti alla versione 5.7 sono vulnerabili a questo attacco. Questo include non solo i token di autenticazione FIDO, ma anche altri dispositivi basati su microcontrollori Infineon, come i TPM (Trusted Platform Module) e altri sistemi di sicurezza critici.
La vulnerabilità interessa un’ampia gamma di dispositivi che utilizzano la libreria crittografica di Infineon, tra cui portafogli hardware per criptovalute, smart card, passaporti elettronici e dispositivi IoT connessi alla sicurezza.
Mitigazioni e conclusioni
Infineon ha confermato di aver sviluppato una patch che risolve la vulnerabilità, e un aggiornamento del firmware è stato rilasciato per i dispositivi YubiKey 5. Tuttavia, l’attacco dimostra che anche i dispositivi altamente certificati, come quelli sottoposti a valutazioni AVA VAN 5, possono presentare vulnerabilità critiche se sottoposti a metodi di attacco avanzati.
Sicurezza Informatica
Vende vulnerabilità per OnlyFans e infetta criminali
Tempo di lettura: 2 minuti. Un attacco hacker a OnlyFans si ritorce contro i criminali, trasformandoli in vittime di un sofisticato malware. Scopri come si evolve il crimine informatico.
Un’operazione sofisticata ha trasformato i criminali informatici intenzionati a sfruttare le vulnerabilità di OnlyFans in vittime. Questo episodio dimostra che anche nel mondo del cybercrimine, chi cerca di sfruttare le falle altrui può facilmente diventare una vittima.
Il fenomeno dei “Checker” di OnlyFans
Un utente di un forum di hacking, Bilalkhanicom, ha proposto un presunto strumento per “controllare” gli account di OnlyFans. Questo strumento, chiamato checker, prometteva di verificare combinazioni di credenziali rubate e di accedere a informazioni sensibili sugli account, come i metodi di pagamento o i privilegi di creatore. Tuttavia, dietro questo strumento si nascondeva un malware sofisticato, noto come Lummac Stealer.
Lummac Stealer: il malware che colpisce i criminali
Lummac Stealer è un malware pericoloso, emerso nel 2022, creato da un attore noto come Lumma. Sfrutta un modello di Malware-as-a-Service (MaaS), che lo rende accessibile a una vasta gamma di cybercriminali. Questo malware è progettato per rubare dati sensibili, inclusi portafogli di criptovalute e informazioni legate all’autenticazione a due fattori (2FA), inviando i dati rubati a un server di comando e controllo tramite richieste HTTP POST.
Inganno nel mondo del crimine informatico
Bilalkhanicom ha esteso questa trappola a diverse piattaforme, tra cui Disney+, Instagram e reti botnet, con strumenti come DisneyChecker.exe e InstaCheck.exe e quindi ha una vulnerabilità per ogni cliente non interessato necessariamente da OnlyFans. Ogni eseguibile è una bomba digitale pronta a colpire gli stessi hacker che cercano di usarli per scopi malevoli.
- L'Altra Bolla1 settimana fa
Apple e Google rivoluzionano l’AI per il 2024
- Economia1 settimana fa
Huawei: forte crescita nel 2024 che impoverisce Apple
- Tech1 settimana fa
Aggiornamento Windows 10 KB5041582: novità e correzioni
- Economia1 settimana fa
Xiaomi produce i chip, Samsung compra Nokia
- Sicurezza Informatica1 settimana fa
Pavel Durov incriminato e rilasciato
- Economia1 settimana fa
Buoni pasto elettronici: cosa sono e quali vantaggi offrono
- Sicurezza Informatica1 settimana fa
Campagna di spionaggio contro la Cina SLOW#TEMPEST
- Sicurezza Informatica1 settimana fa
TrenMicro, vulnerabilità CVE-2023-22527 e attacchi in Medio Oriente