Sicurezza Informatica
Il malware DarkTortilla si serve delle pagine Cisco e Grammarly fasulle
Tempo di lettura: 3 minuti. I siti che riproducono Grammarly e una pagina web di Cisco stanno diffondendo la minaccia DarkTortilla, ricca di attacchi malware successivi.
I ricercatori hanno individuato due siti di phishing – uno che riproduce una pagina web di Cisco e l’altro mascherato da sito di Grammarly – che gli attori delle minacce utilizzano per distribuire un malware particolarmente pericoloso noto come “DarkTortilla”. Il malware basato su .NET può essere configurato per fornire vari payload ed è noto per le sue funzioni che lo rendono estremamente furtivo e persistente sui sistemi che compromette. Diversi gruppi di minacce hanno utilizzato DarkTortilla almeno dal 2015 per rilasciare ruba-informazioni e Trojan di accesso remoto, come AgentTesla, AsyncRAT e NanoCore. Anche alcuni gruppi di ransomware, come gli operatori di Babuk, hanno utilizzato DarkTortilla come parte della loro catena di distribuzione del payload. In molte di queste campagne, gli aggressori hanno utilizzato principalmente allegati di file dannosi (.zip, .img, .iso) nelle e-mail di spam per avvolgere gli ignari utenti nel malware.
Consegna di DarkTortilla tramite siti di phishing
Recentemente, i ricercatori dei Cyble Research and Intelligence Labs hanno identificato una campagna dannosa in cui gli attori delle minacce utilizzano due siti di phishing, mascherati da siti legittimi, per distribuire il malware. Cyble ha ipotizzato che gli operatori della campagna stiano probabilmente utilizzando e-mail di spam o annunci online per distribuire i link ai due siti. Gli utenti che seguono il link al sito web di Grammarly camuffato finiscono per scaricare un file dannoso chiamato “GnammanlyInstaller.zip” quando cliccano sul pulsante “Ottieni Grammarly”. Il file .zip contiene un programma di installazione dannoso camuffato da eseguibile di Grammarly che scarica un secondo eseguibile .NET a 32 bit crittografato. Questo a sua volta scarica un file DLL crittografato da un server remoto controllato dall’aggressore. L’eseguibile .NET decifra il file DLL crittografato e lo carica nella memoria del sistema compromesso, dove esegue una serie di attività dannose, secondo Cyble. Il sito di phishing di Cisco sembra invece una pagina di download per la tecnologia Secure Client VPN di Cisco. Ma quando un utente clicca sul pulsante per “ordinare” il prodotto, finisce per scaricare un file VC++ dannoso da un server remoto controllato dall’aggressore. Il malware innesca una serie di azioni che terminano con l’installazione di DarkTortilla sul sistema compromesso. L’analisi di Cyble del payload ha mostrato che il malware impacchetta funzioni per la persistenza, l’iniezione di processi, l’esecuzione di controlli antivirus e di macchine virtuali/sandbox, la visualizzazione di messaggi falsi, la comunicazione con il server di comando e controllo (C2) e il download di payload aggiuntivi da esso. I ricercatori di Cyble hanno scoperto che per garantire la persistenza su un sistema infetto, ad esempio, DarkTortilla rilascia una copia di se stesso nella cartella di avvio del sistema e crea voci di registro Run/Winlogin. Come ulteriore meccanismo di persistenza, DarkTortilla crea anche una nuova cartella denominata “system_update.exe” sul sistema infetto e vi copia se stesso.
Un malware sofisticato e pericoloso
La funzionalità dei falsi messaggi di DarkTortilla serve fondamentalmente a ingannare le vittime, facendo loro credere che l’applicazione Grammarly o Cisco desiderata non sia stata eseguita perché alcuni componenti dell’applicazione dipendenti non erano disponibili sul loro sistema. “Il malware DarkTortilla è un malware altamente sofisticato basato su .NET che prende di mira gli utenti in libertà”, hanno dichiarato i ricercatori di Cyble in un avviso di lunedì. “I file scaricati dai siti di phishing presentano diverse tecniche di infezione, il che indica che [gli attori delle minacce] dispongono di una piattaforma sofisticata in grado di personalizzare e compilare il binario utilizzando varie opzioni”. DarkTortilla, come detto, agisce spesso come caricatore di primo livello per ulteriori malware. All’inizio di quest’anno i ricercatori della Counter Threat Unit di Secureworks hanno identificato gli attori delle minacce che utilizzano DarkTortilla per distribuire in massa un’ampia gamma di malware, tra cui Remcos, BitRat, WarzoneRat, Snake Keylogger, LokiBot, QuasarRat, NetWire e DCRat. Sono stati inoltre identificati alcuni avversari che utilizzano il malware in attacchi mirati per fornire kit di attacco post-compromissione Cobalt Strike e Metasploit. All’epoca, Secureworks aveva dichiarato di aver contato almeno 10.000 campioni unici di DarkTortilla da quando, l’anno scorso, aveva individuato per la prima volta un attore di minacce che utilizzava il malware in un attacco mirato a una vulnerabilità critica di Microsoft Exchange per l’esecuzione di codice remoto (CVE-2021-34473). Secureworks ha giudicato DarkTortilla molto pericoloso per il suo alto grado di configurabilità e per l’uso di strumenti open source come CofuserEX e DeepSea per offuscare il codice. Il fatto che il payload principale di DarkTortilla venga eseguito interamente in memoria è un’altra caratteristica che rende il malware pericoloso e difficile da individuare, ha osservato Secureworks all’epoca.
Sicurezza Informatica
Vulnerabilità RCE zero-day nei router D-Link EXO AX4800
Un gruppo di ricercatori di SSD Secure Disclosure ha scoperto una vulnerabilità critica nei router D-Link EXO AX4800 (DIR-X4860), che consente l’esecuzione di comandi remoti non autenticati (RCE). Questa falla può portare a compromissioni complete dei dispositivi da parte di aggressori con accesso alla porta HNAP (Home Network Administration Protocol).
Dettagli sulla vulnerabilità
Il router D-Link DIR-X4860 è un dispositivo Wi-Fi 6 ad alte prestazioni, capace di raggiungere velocità fino a 4800 Mbps e dotato di funzionalità avanzate come OFDMA, MU-MIMO e BSS Coloring. Nonostante sia molto popolare in Canada e venduto a livello globale, il dispositivo presenta una vulnerabilità che può essere sfruttata per ottenere privilegi elevati e eseguire comandi come root.
La vulnerabilità è presente nella versione firmware DIRX4860A1_FWV1.04B03. Gli aggressori possono combinare un bypass di autenticazione con l’esecuzione di comandi per compromettere completamente il dispositivo.
Processo di sfruttamento
Il team di SSD ha pubblicato un proof-of-concept (PoC) dettagliato che illustra il processo di sfruttamento della vulnerabilità:
- Accesso alla porta HNAP: Solitamente accessibile tramite HTTP (porta 80) o HTTPS (porta 443) attraverso l’interfaccia di gestione remota del router.
- Richiesta di login HNAP: Un attacco inizia con una richiesta di login HNAP appositamente creata, che include un parametro chiamato ‘PrivateLogin’ impostato su “Username” e un nome utente “Admin”.
- Risposta del router: Il router risponde con una sfida, un cookie e una chiave pubblica, utilizzati per generare una password di login valida per l’account “Admin”.
- Bypass dell’autenticazione: Una successiva richiesta di login con l’header HNAP_AUTH e la password generata consente di bypassare l’autenticazione.
- Iniezione di comandi: Una vulnerabilità nella funzione ‘SetVirtualServerSettings’ permette l’iniezione di comandi tramite il parametro ‘LocalIPAddress’, eseguendo il comando nel contesto del sistema operativo del router.
Fonte: SSD Secure Disclosure
Nel frattempo, è consigliato agli utenti del DIR-X4860 di disabilitare l’interfaccia di gestione remota del dispositivo per prevenire possibili sfruttamenti.
Sicurezza Informatica
SEC: “notificare la violazione dei dati entro 30 giorni”
Tempo di lettura: 2 minuti. La SEC richiede alle istituzioni finanziarie di notificare le violazioni dei dati agli individui interessati entro 30 giorni
La Securities and Exchange Commission (SEC) ha adottato emendamenti al Regolamento S-P, obbligando le istituzioni finanziarie a divulgare gli incidenti di violazione dei dati agli individui interessati entro 30 giorni dalla scoperta. Questi emendamenti mirano a modernizzare e migliorare la protezione delle informazioni finanziarie individuali dalle violazioni dei dati e dall’esposizione a parti non affiliate.
Dettagli delle modifiche al Regolamento S-P
Il Regolamento S-P, introdotto nel 2000, stabilisce come alcune entità finanziarie devono trattare le informazioni personali non pubbliche dei consumatori, includendo lo sviluppo e l’implementazione di politiche di protezione dei dati, garanzie di riservatezza e sicurezza, e protezione contro minacce anticipate. Gli emendamenti adottati questa settimana coinvolgono vari tipi di aziende finanziarie, tra cui broker-dealer, società di investimento, consulenti per gli investimenti registrati e agenti di trasferimento.
Principali cambiamenti introdotti
- Notifica agli individui interessati entro 30 giorni: Le organizzazioni devono notificare agli individui se le loro informazioni sensibili sono state o potrebbero essere state accessibili o utilizzate senza autorizzazione, fornendo dettagli sull’incidente, sui dati violati e sulle misure protettive adottate. L’esenzione si applica se le informazioni non sono previste causare danni sostanziali o inconvenienti agli individui esposti.
- Sviluppo di politiche e procedure scritte per la risposta agli incidenti: Le organizzazioni devono sviluppare, implementare e mantenere politiche e procedure scritte per un programma di risposta agli incidenti, includendo procedure per rilevare, rispondere e recuperare da accessi non autorizzati o dall’uso delle informazioni dei clienti.
- Estensione delle regole di salvaguardia e smaltimento: Queste regole si applicano a tutte le informazioni personali non pubbliche, comprese quelle ricevute da altre istituzioni finanziarie.
- Documentazione della conformità: Le organizzazioni devono documentare la conformità con le regole di salvaguardia e smaltimento, escludendo i portali di finanziamento.
- Allineamento della consegna annuale dell’avviso sulla privacy con il FAST Act: Questo prevede esenzioni in determinate condizioni.
- Estensione delle regole agli agenti di trasferimento registrati presso la SEC o altre agenzie regolatrici.
Implementazione e tempistiche
Gli emendamenti entreranno in vigore 60 giorni dopo la pubblicazione nel Federal Register, la rivista ufficiale del governo federale degli Stati Uniti. Le organizzazioni più grandi avranno 18 mesi per conformarsi dopo la pubblicazione, mentre le entità più piccole avranno due anni.
Implicazioni e obiettivi
Questi aggiornamenti rappresentano una risposta alla trasformazione significativa della natura, scala e impatto delle violazioni dei dati negli ultimi 24 anni. Gary Gensler, presidente della SEC, ha dichiarato che questi emendamenti forniscono aggiornamenti cruciali a una regola adottata per la prima volta nel 2000, contribuendo a proteggere la privacy dei dati finanziari dei clienti.
Inoltre, la SEC ha introdotto nuove regole a dicembre, richiedendo a tutte le società pubbliche di divulgare eventuali violazioni che abbiano influito materialmente o che siano ragionevolmente probabili influire materialmente sulla strategia aziendale, sui risultati operativi o sulla condizione finanziaria.
Sicurezza Informatica
Kinsing sfrutta nuove vulnerabilità per espandere botnet cryptojacking
Tempo di lettura: 2 minuti. Il gruppo Kinsing sfrutta nuove vulnerabilità per espandere la botnet di cryptojacking, prendendo di mira sistemi Linux e Windows.
Il gruppo di cryptojacking Kinsing ha dimostrato la capacità di evolversi e adattarsi rapidamente, integrando nuove vulnerabilità nel proprio arsenale per espandere la botnet. Questi attacchi, documentati da Aqua Security, mostrano come Kinsing continui a orchestrare campagne di mining di criptovalute illegali dal 2019.
Campagne e vulnerabilità sfruttate
Kinsing utilizza il malware noto come H2Miner per compromettere i sistemi e inserirli in una botnet di mining di criptovalute. Dal 2020, Kinsing ha sfruttato varie vulnerabilità, tra cui:
- Apache ActiveMQ, Log4j, NiFi
- Atlassian Confluence
- Citrix, Liferay Portal
- Linux
- Openfire, Oracle WebLogic Server, SaltStack
Oltre a queste vulnerabilità, Kinsing ha utilizzato configurazioni errate di Docker, PostgreSQL e Redis per ottenere l’accesso iniziale ai sistemi, trasformandoli poi in botnet per il mining di criptovalute.
Metodi di attacco e infrastruttura
L’infrastruttura di attacco di Kinsing si suddivide in tre categorie principali: server iniziali per la scansione e lo sfruttamento delle vulnerabilità, server di download per lo staging dei payload e degli script, e server di comando e controllo (C2) che mantengono il contatto con i server compromessi. Gli indirizzi IP dei server C2 risolvono in Russia, mentre quelli utilizzati per scaricare script e binari si trovano in paesi come Lussemburgo, Russia, Paesi Bassi e Ucraina.
Strumenti e tecniche di evasione
Kinsing utilizza diversi strumenti per sfruttare i server Linux e Windows, inclusi script shell e Bash per i server Linux e script PowerShell per i server Windows. Il malware disabilita i servizi di sicurezza e rimuove i miner rivali già installati sui sistemi. Le campagne di Kinsing mirano principalmente alle applicazioni open-source, con una preferenza per le applicazioni runtime, i database e le infrastrutture cloud.
Categorie di programmi utilizzati
L’analisi dei reperti ha rivelato tre categorie distinte di programmi utilizzati da Kinsing:
- Script di Tipo I e Tipo II: utilizzati dopo l’accesso iniziale per scaricare componenti di attacco, eliminare la concorrenza e disabilitare le difese.
- Script ausiliari: progettati per ottenere l’accesso iniziale sfruttando vulnerabilità e disabilitando componenti di sicurezza specifici.
- Binari: payload di seconda fase che includono il malware principale Kinsing e il crypto-miner per minare Monero.
Prevenzione e misure proattive
Per prevenire minacce come Kinsing, è cruciale implementare misure proattive come il rafforzamento delle configurazioni di sicurezza prima del deployment. Proteggere le infrastrutture cloud e i sistemi runtime può ridurre significativamente il rischio di compromissioni.
Il gruppo Kinsing continua a rappresentare una minaccia significativa nel panorama della sicurezza informatica, dimostrando la capacità di adattarsi e sfruttare rapidamente nuove vulnerabilità. La protezione contro queste minacce richiede misure di sicurezza robuste e aggiornamenti continui delle configurazioni di sistema.
- Robotica1 settimana fa
Come controllare dei Robot morbidi ? MIT ha un’idea geniale
- Inchieste4 giorni fa
Melinda lascia la Bill Gates Foundation e ritira 12,5 Miliardi di Dollari
- L'Altra Bolla5 giorni fa
Discord celebra il nono compleanno con aggiornamenti e Giveaway
- Economia1 settimana fa
Chi sarà il successore di Tim Cook in Apple?
- Economia1 settimana fa
Ban in Germania per alcuni prodotti Motorola e Lenovo
- Inchieste4 giorni fa
Terrore in Campania: dati sanitari di SynLab nel dark web
- Economia1 settimana fa
Guerra dei Chip: gli USA colpiscono la ricerca cinese nella Entity List
- Smartphone5 giorni fa
Samsung Galaxy S25 Ultra avrà una Fotocamera rispetto all’S24