Connect with us

Sicurezza Informatica

HUI Loader: scoperto dopo 7 anni lo spyware di un APT cinese

Tempo di lettura: 2 minuti. Un noto malware di spionaggio sottolinea la minaccia che le aziende straniere devono affrontare da parte di gruppi di hacker sponsorizzati dallo Stato cinese.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Conosciuto come HUI Loader, il malware è attivo da oltre sette anni, ma solo di recente è stato collegato a più gruppi sponsorizzati dallo Stato provenienti dalla Cina.

Secondo i ricercatori della Counter Threat Unit (CTU) di Secureworks, il malware HUI Loader può ora essere collegato a un paio di operazioni di malware che utilizzano la minaccia del ransomware come facciata per rubare la proprietà intellettuale agli obiettivi.

Operando come un attacco DLL loader, HUI Loader si nasconde all’interno di un file eseguibile altrimenti innocuo, diffuso tramite spam, phishing o exploit di vulnerabilità software. Il malware risale al 2015 ed è stato collegato a diverse campagne di hacking attribuite a gruppi con sede in Cina.

Una volta installato ed eseguito in memoria, lo strumento HUI Loader estrae il malware responsabile di fare il lavoro sporco di copiare, caricare e crittografare i dati sul sistema host. Una parte di questo lavoro viene svolta tramite un payload Cobalt Strike, mentre il resto viene svolto tramite pacchetti malware proprietari, ha riferito il CTU di Secureworks.

In definitiva, l’obiettivo dell’attacco è sottrarre la proprietà intellettuale all’obiettivo con la scusa di un attacco malware. Ciò offrirebbe al governo cinese un certo grado di negabilità per il furto di dati sensibili, in quanto gli amministratori vengono lasciati credere di essere bersaglio di comuni criminali informatici.

Per la maggior parte degli amministratori e dei difensori di rete, questo non è nulla di nuovo o degno di nota. Tuttavia, allontanandosi un po’ dagli attacchi, i ricercatori di Secureworks hanno notato uno schema che potrebbe collegare gli attacchi alla proprietà intellettuale a gruppi organizzati e gestiti da Pechino.

Una delle campagne più importanti che ha utilizzato lo strumento HUI-Loader è stata A41APT, un attacco che può essere ricondotto a una banda di hacker denominata Bronze Starlight. Questa operazione ha legami diretti con il Ministero della Sicurezza di Stato cinese (MSS).

I gruppi di minaccia con sede in Cina sono noti per adottare strumenti di sicurezza offensivi sviluppati da ricercatori indipendenti sia all’interno che all’esterno del Paese, ha dichiarato Burnard.

A volte questi strumenti vengono condivisi solo all’interno di forum chiusi“, ha dichiarato Burnard. “Tuttavia, dato che i primi utilizzi di HUI Loader sono legati esclusivamente a gruppi di spionaggio cinesi sponsorizzati dallo Stato, come ‘Bronze Riverside’, è plausibile che HUI Loader possa essere stato sviluppato da individui che lavorano per un’unità di intelligence del PLA [People’s Liberation Army] o dell’MSS“.

Sebbene la maggior parte degli attacchi sia stata limitata alle aziende giapponesi, le imprese statunitensi ed europee dovrebbero aggiornare il proprio software e assicurarsi che gli utenti siano attenti agli attacchi e ai metodi di phishing e social engineering più comuni, secondo le migliori pratiche.

Sicurezza Informatica

Trojan bancario Grandoreiro: nuove campagne globali

Tempo di lettura: 4 minuti. Grandoreiro, il trojan bancario gestito come MaaS, espande le sue campagne di phishing globali con aggiornamenti tecnici significativi. Scopri come proteggerti.

Pubblicato

in data

Tempo di lettura: 4 minuti.

Dal marzo 2024, IBM X-Force ha monitorato diverse campagne di phishing su larga scala che distribuiscono il trojan bancario Grandoreiro, probabilmente gestito come un servizio di malware (MaaS). L’analisi del malware ha rivelato importanti aggiornamenti nell’algoritmo di decodifica delle stringhe e nella generazione dei domini (DGA), nonché la capacità di utilizzare i client Microsoft Outlook su host infetti per diffondere ulteriori email di phishing.

Principali scoperte

  • Grandoreiro è un trojan bancario multi-componente, probabilmente gestito come un MaaS.
  • Viene distribuito attivamente in campagne di phishing che impersonano enti governativi in Messico, Argentina e Sud Africa.
  • Il trojan bancario prende di mira specificamente oltre 1500 applicazioni e siti bancari globali in più di 60 paesi, incluse regioni dell’America Centrale/Sud, Africa, Europa e Indo-Pacifico.
  • L’ultima variante contiene importanti aggiornamenti, inclusi la decodifica delle stringhe e il calcolo del DGA, permettendo almeno 12 domini C2 differenti al giorno.
  • Grandoreiro supporta la raccolta di indirizzi email dagli host infetti e l’utilizzo del client Microsoft Outlook per inviare ulteriori campagne di phishing.

Espansione delle campagne di Grandoreiro

Campagne focalizzate in LATAM

Dalla fine di marzo 2024, X-Force ha osservato campagne di phishing che impersonano il Servizio di Amministrazione Fiscale del Messico (SAT), la Commissione Federale dell’Elettricità (CFE), la Segreteria di Amministrazione e Finanze di Città del Messico e il Servizio Fiscale di Argentina. Le email prendono di mira utenti in America Latina, inclusi i domini di primo livello (TLD) di Messico, Colombia e Cile.

Le campagne cercano di apparire ufficiali e urgenti, informando i destinatari che stanno ricevendo un avviso finale riguardante un debito fiscale non pagato, con potenziali conseguenze come multe e blocco del numero di identificazione fiscale. Altre campagne ricordano agli utenti l’iscrizione a servizi come CFEMail, fornendo accesso alle dichiarazioni di conto tramite link. Un’altra campagna imita la Segreteria di Amministrazione e Finanze, chiedendo ai destinatari di cliccare su un PDF per leggere i dettagli di un avviso di conformità. In ogni campagna, i destinatari sono istruiti a cliccare su un link per visualizzare una fattura o fare un pagamento. Se il destinatario è in un paese specifico, viene scaricato un file ZIP contenente un eseguibile mascherato da PDF.

Campagna che impersona il Servizio Fiscale del Sud Africa

Recentemente, X-Force ha osservato una campagna di phishing che impersona il Servizio Fiscale del Sud Africa (SARS), purporting to be from the Taxpayer Assistance Services Division. Queste campagne raggiungono anche utenti in Spagna, Giappone, Paesi Bassi e Italia, indicando un’espansione oltre LATAM. Le email riferiscono un numero fiscale e informano il destinatario che sta ricevendo una fattura fiscale elettronica in conformità con le normative di SARS.

Analisi: Loader di Grandoreiro

Il loader di Grandoreiro esegue tre compiti principali:

  1. Verifica se il client è una vittima legittima.
  2. Raccoglie dati di base della vittima e li invia al C2.
  3. Scarica, decrittografa ed esegue il trojan bancario Grandoreiro.

Decodifica delle stringhe

Il loader genera una chiave di grandi dimensioni, codificata in tripla Base64, e utilizza una decodifica personalizzata per convertirla in una serie di caratteri esadecimali interpretati come byte. Il risultato viene decrittografato con un algoritmo personalizzato di Grandoreiro, seguito da una decrittografia AES CBC a 256 bit per recuperare la stringa in chiaro.

Verifica e profilazione della vittima

Il loader raccoglie informazioni come nome del computer, nome utente, versione del sistema operativo, antivirus installato e indirizzo IP pubblico. Utilizza queste informazioni per verificare che la vittima non sia un ricercatore o un ambiente sandbox, e per profilare la vittima inviando i dati al C2.

  • Public IP country
  • Public IP region
  • Public IP city
  • Computer name
  • Username
  • OS Version information
  • Installed AV solution
  • Check in the registry subkey “Software\Clients\Mail” if the Outlook mail client is installed. If true, the value is set to “SIM”, which means “Yes” in Portuguese
  • Check if crypto-wallets exist: Binance, Electrum, Coinomi, Bitbox, OPOLODesk, Bitcoin
  • Check if special banking security software is installed: IBM Trusteer, Topaz OFD, Diebold
  • Number of Desktop monitors
  • Volume Serial Number
  • Date of infection
  • Time of infection

Comunicazione C2 e caricamento di Grandoreiro

Il loader invia una richiesta HTTP GET crittografata al server C2, richiedendo il payload finale di Grandoreiro. Se la richiesta ha successo, il server risponde con un URL di download, un nome di directory e altre informazioni necessarie. Il file scaricato viene decrittografato e decompresso, pronto per l’esecuzione.

Le recenti campagne di phishing che distribuiscono il trojan bancario Grandoreiro dimostrano una notevole espansione geografica e sofisticazione tecnica. Le organizzazioni devono rimanere vigili, monitorare il traffico di rete per rilevare potenziali infezioni e adottare misure di sicurezza proattive per proteggere i propri sistemi.

Prosegui la lettura

Sicurezza Informatica

Vulnerabilità RCE zero-day nei router D-Link EXO AX4800

Pubblicato

in data

D-Link EXO AX4800
Tempo di lettura: 2 minuti.

Un gruppo di ricercatori di SSD Secure Disclosure ha scoperto una vulnerabilità critica nei router D-Link EXO AX4800 (DIR-X4860), che consente l’esecuzione di comandi remoti non autenticati (RCE). Questa falla può portare a compromissioni complete dei dispositivi da parte di aggressori con accesso alla porta HNAP (Home Network Administration Protocol).

Dettagli sulla vulnerabilità

Il router D-Link DIR-X4860 è un dispositivo Wi-Fi 6 ad alte prestazioni, capace di raggiungere velocità fino a 4800 Mbps e dotato di funzionalità avanzate come OFDMA, MU-MIMO e BSS Coloring. Nonostante sia molto popolare in Canada e venduto a livello globale, il dispositivo presenta una vulnerabilità che può essere sfruttata per ottenere privilegi elevati e eseguire comandi come root.

La vulnerabilità è presente nella versione firmware DIRX4860A1_FWV1.04B03. Gli aggressori possono combinare un bypass di autenticazione con l’esecuzione di comandi per compromettere completamente il dispositivo.

Processo di sfruttamento

Il team di SSD ha pubblicato un proof-of-concept (PoC) dettagliato che illustra il processo di sfruttamento della vulnerabilità:

  1. Accesso alla porta HNAP: Solitamente accessibile tramite HTTP (porta 80) o HTTPS (porta 443) attraverso l’interfaccia di gestione remota del router.
  2. Richiesta di login HNAP: Un attacco inizia con una richiesta di login HNAP appositamente creata, che include un parametro chiamato ‘PrivateLogin’ impostato su “Username” e un nome utente “Admin”.
  3. Risposta del router: Il router risponde con una sfida, un cookie e una chiave pubblica, utilizzati per generare una password di login valida per l’account “Admin”.
  4. Bypass dell’autenticazione: Una successiva richiesta di login con l’header HNAP_AUTH e la password generata consente di bypassare l’autenticazione.
  5. Iniezione di comandi: Una vulnerabilità nella funzione ‘SetVirtualServerSettings’ permette l’iniezione di comandi tramite il parametro ‘LocalIPAddress’, eseguendo il comando nel contesto del sistema operativo del router.

Richiesta di login che bypassa l'autenticazione Fonte: SSD Secure Disclosure

Nel frattempo, è consigliato agli utenti del DIR-X4860 di disabilitare l’interfaccia di gestione remota del dispositivo per prevenire possibili sfruttamenti.

Prosegui la lettura

Sicurezza Informatica

SEC: “notificare la violazione dei dati entro 30 giorni”

Tempo di lettura: 2 minuti. La SEC richiede alle istituzioni finanziarie di notificare le violazioni dei dati agli individui interessati entro 30 giorni

Pubblicato

in data

SEC logo
Tempo di lettura: 2 minuti.

La Securities and Exchange Commission (SEC) ha adottato emendamenti al Regolamento S-P, obbligando le istituzioni finanziarie a divulgare gli incidenti di violazione dei dati agli individui interessati entro 30 giorni dalla scoperta. Questi emendamenti mirano a modernizzare e migliorare la protezione delle informazioni finanziarie individuali dalle violazioni dei dati e dall’esposizione a parti non affiliate.

Dettagli delle modifiche al Regolamento S-P

Il Regolamento S-P, introdotto nel 2000, stabilisce come alcune entità finanziarie devono trattare le informazioni personali non pubbliche dei consumatori, includendo lo sviluppo e l’implementazione di politiche di protezione dei dati, garanzie di riservatezza e sicurezza, e protezione contro minacce anticipate. Gli emendamenti adottati questa settimana coinvolgono vari tipi di aziende finanziarie, tra cui broker-dealer, società di investimento, consulenti per gli investimenti registrati e agenti di trasferimento.

Principali cambiamenti introdotti

  1. Notifica agli individui interessati entro 30 giorni: Le organizzazioni devono notificare agli individui se le loro informazioni sensibili sono state o potrebbero essere state accessibili o utilizzate senza autorizzazione, fornendo dettagli sull’incidente, sui dati violati e sulle misure protettive adottate. L’esenzione si applica se le informazioni non sono previste causare danni sostanziali o inconvenienti agli individui esposti.
  2. Sviluppo di politiche e procedure scritte per la risposta agli incidenti: Le organizzazioni devono sviluppare, implementare e mantenere politiche e procedure scritte per un programma di risposta agli incidenti, includendo procedure per rilevare, rispondere e recuperare da accessi non autorizzati o dall’uso delle informazioni dei clienti.
  3. Estensione delle regole di salvaguardia e smaltimento: Queste regole si applicano a tutte le informazioni personali non pubbliche, comprese quelle ricevute da altre istituzioni finanziarie.
  4. Documentazione della conformità: Le organizzazioni devono documentare la conformità con le regole di salvaguardia e smaltimento, escludendo i portali di finanziamento.
  5. Allineamento della consegna annuale dell’avviso sulla privacy con il FAST Act: Questo prevede esenzioni in determinate condizioni.
  6. Estensione delle regole agli agenti di trasferimento registrati presso la SEC o altre agenzie regolatrici.

Implementazione e tempistiche

Gli emendamenti entreranno in vigore 60 giorni dopo la pubblicazione nel Federal Register, la rivista ufficiale del governo federale degli Stati Uniti. Le organizzazioni più grandi avranno 18 mesi per conformarsi dopo la pubblicazione, mentre le entità più piccole avranno due anni.

Implicazioni e obiettivi

Questi aggiornamenti rappresentano una risposta alla trasformazione significativa della natura, scala e impatto delle violazioni dei dati negli ultimi 24 anni. Gary Gensler, presidente della SEC, ha dichiarato che questi emendamenti forniscono aggiornamenti cruciali a una regola adottata per la prima volta nel 2000, contribuendo a proteggere la privacy dei dati finanziari dei clienti.

Inoltre, la SEC ha introdotto nuove regole a dicembre, richiedendo a tutte le società pubbliche di divulgare eventuali violazioni che abbiano influito materialmente o che siano ragionevolmente probabili influire materialmente sulla strategia aziendale, sui risultati operativi o sulla condizione finanziaria.

Prosegui la lettura

Facebook

CYBERSECURITY

D-Link EXO AX4800 D-Link EXO AX4800
Sicurezza Informatica1 giorno fa

Vulnerabilità RCE zero-day nei router D-Link EXO AX4800

Tempo di lettura: 2 minuti. Un gruppo di ricercatori di SSD Secure Disclosure ha scoperto una vulnerabilità critica nei router...

SEC logo SEC logo
Sicurezza Informatica1 giorno fa

SEC: “notificare la violazione dei dati entro 30 giorni”

Tempo di lettura: 2 minuti. La SEC richiede alle istituzioni finanziarie di notificare le violazioni dei dati agli individui interessati...

Sicurezza Informatica2 giorni fa

Microsoft Azure: autenticazione multi-fattore (MFA) obbligatoria da luglio 2024

Tempo di lettura: 2 minuti. Microsoft inizierà a imporre l'autenticazione multi-fattore (MFA) per gli utenti di Azure a partire da...

Sicurezza Informatica2 giorni fa

USA arrestati sospetti dietro schema riciclaggio da 73 milioni

Tempo di lettura: 2 minuti. Gli Stati Uniti arrestano due sospetti accusati di guidare uno schema di riciclaggio di $73...

quick assist quick assist
Sicurezza Informatica3 giorni fa

Quick Assist di Microsoft sfruttato per ingegneria sociale

Tempo di lettura: 2 minuti. Storm-1811 sfrutta Quick Assist di Microsoft in attacchi ransomware tramite tecniche di ingegneria sociale. Scopri...

breachforums offline breachforums offline
Sicurezza Informatica4 giorni fa

BreachForums è offline e sotto il controllo dell’FBI

Tempo di lettura: 2 minuti. Il noto portale di annunci legati al crimine informatico dove si vendono i dati trafugati...

Cisco Talos Cisco Talos
Sicurezza Informatica5 giorni fa

Talos e CISA collaborano contro minacce Cyber a ONG e attivisti

Tempo di lettura: 2 minuti. Talos e CISA collaborano per proteggere le organizzazioni della società civile da minacce cyber, promuovendo...

Unit 42 Unit 42
Sicurezza Informatica6 giorni fa

DNS Tunneling: per tracciare vittime di Phishing

Tempo di lettura: 2 minuti. Gli hacker utilizzano il tunneling DNS per scandagliare le reti e tracciare le vittime, sfruttando...

Synlab Italia rivendicazione di Black Basta Synlab Italia rivendicazione di Black Basta
Sicurezza Informatica6 giorni fa

Black Basta Ransomware è diventato un problema mondiale

Tempo di lettura: 2 minuti. Black Basta Ransomware ha colpito più di 500 entità in vari settori, sottolineando la crescente...

cy4gaTE cy4gaTE
Economia6 giorni fa

Cy4Gate: accordo da un milione con Innovery

Tempo di lettura: 2 minuti. Cy4Gate rafforza la sua presenza nel mercato con una nuova partnership strategica con Innovery e...

Truffe recenti

Pharmapiuit.com Pharmapiuit.com
Inchieste20 ore fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste1 giorno fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste2 giorni fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Sicurezza Informatica2 settimane fa

BogusBazaar falsi e-commerce usati per una truffa da 50 milioni

Tempo di lettura: 2 minuti. Oltre 850,000 persone sono state ingannate da una rete di 75,000 falsi negozi online, con...

Sicurezza Informatica2 settimane fa

Truffatori austriaci scappano dagli investitori, ma non dalla legge

Tempo di lettura: 2 minuti. Le forze dell'ordine hanno smascherato e arrestato un gruppo di truffatori austriaci dietro una frode...

Shein Shein
Truffe online1 mese fa

Truffa dei buoni SHEIN da 300 euro, scopri come proteggerti

Tempo di lettura: < 1 minuto. La truffa dei buoni SHEIN da 300 euro sta facendo nuovamente vittime in Italia,...

OSINT2 mesi fa

USA interviene per recuperare 2,3 Milioni dai “Pig Butchers” su Binance

Tempo di lettura: 2 minuti. Il Dipartimento di Giustizia degli USA interviene per recuperare 2,3 milioni di dollari in criptovalute...

dimarcoutletfirenze sito truffa dimarcoutletfirenze sito truffa
Inchieste3 mesi fa

Truffa dimarcoutletfirenze.com: merce contraffatta e diversi dalle prenotazioni

Tempo di lettura: 2 minuti. La segnalazione alla redazione di dimarcoutletfirenze.com si è rivelata puntuale perchè dalle analisi svolte è...

sec etf bitcoin sec etf bitcoin
Economia4 mesi fa

No, la SEC non ha approvato ETF del Bitcoin. Ecco perchè

Tempo di lettura: 3 minuti. Il mondo delle criptovalute ha recentemente assistito a un evento senza precedenti: l’account Twitter ufficiale...

Sicurezza Informatica5 mesi fa

Europol mostra gli schemi di fronde online nel suo rapporto

Tempo di lettura: 2 minuti. Europol’s spotlight report on online fraud evidenzia che i sistemi di frode online rappresentano una grave...

Tech

Samsung Galaxy Ring Samsung Galaxy Ring
Tech3 ore fa

Samsung Galaxy Ring: svelate le ultime misure

Tempo di lettura: < 1 minuto. Scopri i dettagli del Samsung Galaxy Ring, disponibile in nove misure e dotato di...

Galaxy S21 FE Galaxy S21 FE
Smartphone3 ore fa

Galaxy S21 FE supporta l’app Camera Assistant di Samsung

Tempo di lettura: < 1 minuto. Galaxy S21 FE supporta ora l'app Camera Assistant di Samsung, permettendo agli utenti di...

Oppo Find X7 Ultra Oppo Find X7 Ultra
Smartphone3 ore fa

Oppo Find X7 Ultra: arriva modalità fotocamera 25MP salvaspazio

Tempo di lettura: 2 minuti. L'Oppo Find X7 Ultra riceve un aggiornamento che introduce modalità fotocamera da 25MP, migliorando la...

Tech3 ore fa

One UI 7 (Android 15) migliora durata batteria su Galaxy

Tempo di lettura: 2 minuti. One UI 7 (Android 15) porta significativi miglioramenti nella durata della batteria per dispositivi Galaxy...

Tech3 ore fa

Riparabilità iPad Pro da 13 pollici è facile, la Pencil no

Tempo di lettura: 2 minuti. Il nuovo OLED iPad Pro da 13 pollici offre miglioramenti nella riparabilità, con una batteria...

render razr 50 ultra render razr 50 ultra
Smartphone21 ore fa

Rivelati i render dei Motorola Razr 50 e Razr 50 Ultra

Tempo di lettura: 2 minuti. Scopri le specifiche e i render dei nuovi Motorola Razr 50 e Razr 50 Ultra,...

Samsung Galaxy A15 5G Samsung Galaxy A15 5G
Tech21 ore fa

Galaxy A15 5G riceve l’aggiornamento One UI 6.1

Tempo di lettura: 2 minuti. Galaxy A15 5G riceve l'aggiornamento One UI 6.1 negli Stati Uniti, introducendo nuove funzionalità e...

Google Maps Google Maps
Tech22 ore fa

Navigazione avanzata con Google Maps: contenuti AR geospaziali

Tempo di lettura: 2 minuti. Google introduce contenuti AR geospaziali Maps, trasformando l'esperienza di navigazione con sovrapposizioni interattive e immersive.

Android 15 logo Android 15 logo
Intelligenza Artificiale1 giorno fa

Android 15 integra Gemini AI: nuove funzionalità e miglioramenti

Tempo di lettura: 2 minuti. Google integra Gemini AI in Android 15, con nuove funzionalità di ricerca, assistente contestuale e...

Gemini AI Gemini AI
Intelligenza Artificiale1 giorno fa

Perchè Google ha chiamato la sua AI “Gemini”?

Tempo di lettura: 2 minuti. Google spiega l'origine del nome "Gemini" per le sue funzionalità AI, ispirato alla mitologia greca,...

Tendenza