Connect with us

Sicurezza Informatica

Il rischio del “juice jacking” e come proteggersi

Tempo di lettura: < 1 minuto. Perché l’FBI consiglia di evitare i caricabatterie pubblici in aeroporti e centri commerciali

Pubblicato

in data

Tempo di lettura: < 1 minuto.

Negli ultimi anni, il problema del “juice jacking” si è diffuso nelle stazioni di ricarica pubbliche per smartphone e altri dispositivi. Ora l’FBI ritiene il rischio così elevato che consiglia agli americani di evitare completamente l’uso dei caricabatterie pubblici in aeroporti, hotel e centri commerciali.

Cos’è il “juice jacking”

Il “juice jacking” consiste nell’installazione di codici maligni da parte degli hacker nelle stazioni di ricarica pubbliche per leggere e rubare dati dai dispositivi mobili e tracciarli. Sebbene sia più probabile che colpisca gli smartphone Android rispetto a iPhone e iPad, anche questi ultimi non sono del tutto immuni a tali attacchi.

Come prevenire il “juice jacking”

L’FBI sottolinea che la mossa più sicura è utilizzare il proprio caricabatterie e una presa a muro invece di una stazione di ricarica pubblica (che include i propri cavi). Un’altra opzione utile è tenere con sé una batteria portatile o una custodia con batteria integrata, così da non dover ricorrere a prese elettriche pubbliche e evitare i caricabatterie condivisi.

Per iPhone e iPad, una delle misure di sicurezza che può prevenire il “juice jacking” è la richiesta “Fidati di questo computer?” che appare quando un dispositivo esterno o, in questo caso, un codice maligno cerca di accedere ai dati. Tuttavia, alcuni utenti potrebbero premere “Fidati” per abitudine o senza pensarci.

Inoltre, esistono cavi malevoli come l’O.MG Elite da $180 che possono compromettere iPhone, Mac, Android e PC. Pertanto, è più sicuro per gli utenti Apple evitare di utilizzare i caricabatterie pubblici.

Altre raccomandazioni dell’FBI

L’FBI condivide ulteriori suggerimenti sulla sua pagina web “Be Cautious When Connected”, come evitare transazioni sensibili su reti Wi-Fi pubbliche, mantenere aggiornato il software dei propri dispositivi e utilizzare password robuste e uniche per gli account online.

Sicurezza Informatica

Scattered Spider adotta RansomHub e Qilin per i suoi attacchi

Pubblicato

in data

Tempo di lettura: 2 minuti.

Scattered Spider, noto anche come Octo Tempest, UNC3944 e 0ktapus, è un gruppo di criminali informatici che ha recentemente ampliato il suo arsenale includendo i ransomware RansomHub e Qilin. Questo sviluppo indica un possibile spostamento di potere tra i gruppi di hacker, con Scattered Spider che continua a rappresentare una minaccia significativa nel panorama della sicurezza informatica. Microsoft ha recentemente evidenziato l’adozione di questi nuovi strumenti da parte del gruppo, sottolineando la loro crescente pericolosità.

Attacchi Recenti e Metodologia

Nel secondo trimestre del 2024, Microsoft ha rilevato che Scattered Spider ha utilizzato RansomHub e Qilin nei suoi attacchi. In passato, il gruppo si affidava al payload di ransomware ALPHV/BlackCat, ma la transizione verso RansomHub e Qilin dimostra l’importanza crescente di queste nuove varianti nel mondo del cybercrime. RansomHub, in particolare, è emerso come una delle famiglie di ransomware più diffuse e viene adottato da un numero crescente di criminali informatici.

Scattered Spider ha ottenuto notorietà con la campagna 0ktapus, che ha colpito oltre 130 organizzazioni di alto profilo, tra cui Microsoft, Binance, CoinBase, T-Mobile, Verizon Wireless, AT&T, Slack, Twitter, Epic Games, Riot Games e Best Buy. Il gruppo è stato coinvolto anche nell’attacco ai sistemi di MGM Resorts, utilizzando ALPHV/BlackCat come affiliato a metà del 2023.

RansomHub e Qilin: Nuovi Strumenti di Attacco

RansomHub

RansomHub è emerso per la prima volta nel febbraio 2024 come una ribrandizzazione del team di ransomware Knight. Ha rivendicato attacchi di alto profilo contro aziende come Christie’s, Frontier Communications e la catena di farmacie americana Rite Aid. Questo ransomware è stato utilizzato in attività post-compromissione da gruppi come Manatee Tempest, dopo l’accesso iniziale ottenuto tramite infezioni FakeUpdates/Socgholish.

Qilin

Qilin, noto anche come Agenda, è emerso nell’agosto 2022 e ha subito una rapida crescita. La gang ha rivendicato attacchi contro oltre 130 aziende e ha sviluppato uno degli encryptor Linux più avanzati e personalizzabili per colpire le macchine virtuali VMware ESXi. Le richieste di riscatto di Qilin variano da $25.000 a milioni di dollari, a seconda delle dimensioni della vittima. Gli operatori di Qilin infiltrano le reti aziendali, estraggono dati sensibili e distribuiscono il payload di ransomware per eseguire attacchi di doppia estorsione.

Impatti e risposta delle autorità

Il gruppo Scattered Spider è noto per utilizzare tattiche come il phishing, il bombardamento MFA (noto anche come MFA fatigue) e lo swapping di SIM per ottenere l’accesso iniziale alle reti. L’FBI e la CISA hanno emesso un avviso evidenziando le tecniche e le procedure del gruppo, inclusa l’imitazione dei dipendenti IT per ingannare il personale di assistenza clienti e ottenere credenziali.

L’adozione di RansomHub e Qilin da parte di Scattered Spider segna un’evoluzione significativa nel panorama del ransomware. Questi sviluppi sottolineano la necessità di misure di sicurezza avanzate e una vigilanza costante per proteggere le reti aziendali da minacce sempre più sofisticate.

Prosegui la lettura

Sicurezza Informatica

APT17 attacca l’Italia con il malware 9002 RAT

Pubblicato

in data

Tempo di lettura: 3 minuti.

APT17, un gruppo di hacker legato alla Cina, ha recentemente lanciato attacchi mirati contro aziende italiane e entità governative utilizzando una variante del malware 9002 RAT. Questi attacchi sono stati osservati dalla società di sicurezza informatica italiana TG Soft e sono parte di una serie di operazioni di spionaggio informatico condotte da APT17, noto anche come “DeputyDog”. Di seguito, una panoramica dettagliata delle recenti attività di APT17 e delle tecniche utilizzate.

Attacchi Recenti di APT17 in Italia

Due attacchi mirati sono stati rilevati il 24 giugno e il 2 luglio 2024. Il primo attacco utilizzava un documento di Office, mentre il secondo conteneva un link. Entrambe le campagne invitavano le vittime a installare un pacchetto Skype for Business da un dominio simile a quello del governo italiano, trasmettendo così una variante del 9002 RAT in modalità diskless.

L’attacco del 24 giugno utilizzava un documento Word intitolato “GUIDA OPERATIVA PER l’UTENTE.docx”, creato il 18 giugno 2024. La campagna del 2 luglio invece utilizzava un link diretto alla URL dannosa. Entrambe le campagne invitavano le vittime a connettersi alla pagina:

bashCopia codicehttps://meeting[.]equitaligaiustizia[.]it/angelo.maisto.guest

Il sito imitava una pagina ufficiale per i meeting di Equitalia Giustizia e invitava l’utente a scaricare un pacchetto di installazione MSI personalizzato per Skype for Business. Questo pacchetto, denominato “SkypeMeeting.msi”, conteneva file malevoli che, una volta eseguiti, installavano il malware 9002 RAT.

Descrizione del Malware 9002 RAT

9002 RAT, noto anche come Hydraq e McRAT, è un trojan modulare utilizzato in diverse operazioni di spionaggio informatico. È in grado di monitorare il traffico di rete, catturare schermate, enumerare file, gestire processi ed eseguire comandi ricevuti da un server remoto. Il malware viene costantemente aggiornato con varianti senza disco, rendendo più difficile la rilevazione.

Nella catena di infezione osservata, il pacchetto MSI scaricato conteneva i seguenti file interessanti:

  • SkypeMeetingsApp.msi (pacchetto MSI originale per l’installazione di Skype for Business)
  • vcruntime.jar
  • vcruntime.vbs
  • vcruntime.bin

L’esecuzione del pacchetto MSI comportava l’installazione del software legittimo Skype for Business e l’esecuzione dell’applicazione Java “vcruntime.jar” tramite lo script VBS “vcruntime.vbs”. L’applicazione Java decriptava ed eseguiva il shellcode contenuto nel file “vcruntime.bin”, che avviava il malware 9002 RAT.

Tecniche di attacco e strumenti utilizzati

APT17 utilizza vari moduli nel 9002 RAT, attivati secondo necessità per ridurre la possibilità di intercettazione. Durante l’analisi del campione, il criminale ha inviato i seguenti moduli aggiuntivi:

  • ScreenSpyS.dll -> cattura schermate
  • RemoteShellS.dll -> esecuzione di programmi
  • UnInstallS.dll -> disinstallazione
  • FileManagerS.dll -> gestione file
  • ProcessS.dll -> gestione processi

Il campione analizzato comunicava con il server di comando e controllo (C&C) ospitato su un dominio che simulava un dominio Microsoft. La comunicazione con il server avveniva in modo criptato e codificato in Base64.

Implicazioni e Misure di Sicurezza

Gli attacchi di APT17 rappresentano una minaccia significativa per la sicurezza informatica delle aziende e delle entità governative non solo in Italia. È essenziale che le organizzazioni adottino misure di sicurezza avanzate per proteggersi da tali minacce, inclusa l’implementazione di soluzioni di sicurezza endpoint, la formazione dei dipendenti sul riconoscimento delle esche di phishing e il monitoraggio continuo delle reti per individuare attività sospette.

Prosegui la lettura

Sicurezza Informatica

Nuova backdoor BugSleep arma MuddyWater

Pubblicato

in data

Tempo di lettura: 2 minuti.

MuddyWater, un gruppo di minaccia iraniano affiliato al Ministero dell’Intelligence e della Sicurezza (MOIS), ha significativamente aumentato le sue attività in Israele dall’inizio della guerra tra Israele e Hamas nell’ottobre 2023. Parallelamente, sono state segnalate attività contro obiettivi in Arabia Saudita, Turchia, Azerbaigian, India e Portogallo.

Principali scoperte

Aumento delle Attività: MuddyWater ha incrementato le sue operazioni di phishing utilizzando email compromesse di organizzazioni per distribuire strumenti di gestione remota legittimi come Atera Agent e Screen Connect.

Nuovo Malware BugSleep: Recentemente, MuddyWater ha impiegato un nuovo backdoor personalizzato chiamato BugSleep per colpire le organizzazioni in Israele. Questo malware è progettato per eseguire comandi degli attaccanti e trasferire file tra la macchina compromessa e il server di comando e controllo (C&C).

Metodi di attacco

Le campagne di MuddyWater consistono solitamente nell’invio di numerose email di phishing a una vasta gamma di obiettivi utilizzando account email compromessi. Le esche di phishing sono indirizzate a settori specifici come le municipalità israeliane, le compagnie aeree, le agenzie di viaggio e i giornalisti.

Dettagli Tecnici di BugSleep

BugSleep è un malware che utilizza l’API Sleep per evadere i sistemi sandbox, carica le API necessarie e crea un mutex per decriptare la configurazione, che include l’indirizzo IP e la porta del server C&C. Il malware crea un’attività pianificata per garantire la persistenza e comunica con il server C&C utilizzando una crittografia semplice.

Funzionalità del malware

BugSleep è in grado di:

  • Inviare file al server C&C
  • Scrivere contenuti su file
  • Eseguire comandi tramite il pipe cmd
  • Aggiornare il timeout di ricezione
  • Fermare la comunicazione
  • Eliminare l’attività di persistenza
  • Verificare lo stato dell’attività di persistenza
  • Creare l’attività di persistenza
  • Eseguire un “ping” per verificare la connessione

Tecniche di evasione

BugSleep utilizza varie tecniche di evasione per evitare il rilevamento da parte delle soluzioni di Endpoint Detection and Response (EDR). Ad esempio, abilita il flag MicrosoftSignedOnly per impedire il caricamento di immagini non firmate da Microsoft e il flag ProhibitDynamicCode per prevenire la generazione di codice dinamico.

L’attività crescente di MuddyWater in Medio Oriente, in particolare in Israele, evidenzia la natura persistente di questi attaccanti che continuano a colpire una vasta gamma di settori nella regione come fa notare CheckPoint. L’uso costante di campagne di phishing, ora con l’inclusione di un backdoor personalizzato come BugSleep, segna uno sviluppo significativo nelle loro tecniche, tattiche e procedure.

Prosegui la lettura

Facebook

CYBERSECURITY

Sicurezza Informatica2 giorni fa

HardBit Ransomware: analisi e mitigazione delle minacce

Tempo di lettura: 3 minuti. HardBit Ransomware 4.0 introduce protezione con passphrase e obfuscazione avanzata. Scopri come proteggerti da questa...

Sicurezza Informatica4 giorni fa

Vulnerabilità in Modern Events Calendar: migliaia di WordPress a rischio

Tempo di lettura: 2 minuti. Vulnerabilità critica nel plugin Modern Events Calendar consente il caricamento arbitrario di file da parte...

Sicurezza Informatica4 giorni fa

Attacco RADIUS: panoramica dettagliata

Tempo di lettura: 3 minuti. Il protocollo RADIUS può essere compromesso utilizzando tecniche avanzate di collisione MD5 per eseguire attacchi...

Sicurezza Informatica4 giorni fa

ViperSoftX sfrutta AutoIt e CLR per l’esecuzione Stealth di PowerShell

Tempo di lettura: 3 minuti. ViperSoftX utilizza AutoIt e CLR per eseguire comandi PowerShell in modo stealth, eludendo i meccanismi...

Sicurezza Informatica4 giorni fa

Malware Poco RAT mira vittime di lingua spagnola

Tempo di lettura: 3 minuti. Poco RAT, nuovo malware che prende di mira le vittime di lingua spagnola con campagne...

Microsoft teams Microsoft teams
Sicurezza Informatica4 giorni fa

Falso Microsoft Teams per Mac distribuisce Atomic Stealer

Tempo di lettura: 2 minuti. Un falso Microsoft Teams per Mac distribuisce il malware Atomic Stealer tramite una campagna di...

CISA logo CISA logo
Sicurezza Informatica4 giorni fa

CISA hackera Agenzia Federale USA: vulnerabilità critiche Svelate

Tempo di lettura: 2 minuti. CISA svela vulnerabilità critiche in un'agenzia federale USA attraverso un'esercitazione di red team SILENTSHIELD

Sicurezza Informatica4 giorni fa

DarkGate usa file Excel per diffondere malware

Tempo di lettura: 3 minuti. DarkGate utilizza file Excel per diffondere malware sofisticato. Scopri come funziona questa minaccia e come...

Sicurezza Informatica5 giorni fa

SSH sotto attacco a causa di bug e vulnerabilità

Tempo di lettura: 3 minuti. Scopri le nuove minacce di CRYSTALRAY e la vulnerabilità di OpenSSH in RHEL 9. Approfondisci...

Sicurezza Informatica6 giorni fa

CoreTech: accordo con TuxCare migliora sicurezza negli ambienti Linux

Tempo di lettura: 2 minuti. L'accordo migliora lo standard qualitativo dell'offerta Linux per quel che concerne la risposta alle vulnerabilità

Truffe recenti

Inchieste1 settimana fa

Idealong.com chiuso, ma attenti a marketideal.xyz e bol-it.com

Tempo di lettura: 2 minuti. Dopo aver svelato la truffa Idealong, abbiamo scoperto altri link che ospitano offerte di lavoro...

Inchieste2 settimane fa

Idealong.com spilla soldi ed assolda lavoratori per recensioni false

Tempo di lettura: 4 minuti. Il metodo Idealong ha sostituito Mazarsiu e, dalle segnalazioni dei clienti, la truffa agisce su...

Sicurezza Informatica2 settimane fa

Truffa lavoro online: Mazarsiu sparito, attenti a idealong.com

Tempo di lettura: 2 minuti. Dopo il sito Mazarsiu, abbandonato dai criminali dopo le inchieste di Matrice Digitale, emerge un...

fbi fbi
Sicurezza Informatica1 mese fa

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica2 mesi fa

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste2 mesi fa

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Inchieste2 mesi fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Pharmapiuit.com Pharmapiuit.com
Inchieste2 mesi fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste2 mesi fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste2 mesi fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Tech

VirtualBox VirtualBox
Tech16 minuti fa

VirtualBox 7.0.20: manutenzione e aggiornamenti

Tempo di lettura: < 1 minuto. VirtualBox 7.0.20, rilasciato il 16 luglio 2024, è un aggiornamento di manutenzione che introduce...

Smartphone4 ore fa

Samsung lancia il Galaxy M35 5G in India

Tempo di lettura: 2 minuti. Samsung ha ufficialmente lanciato il Galaxy M35 5G in India, poco dopo il suo debutto...

Tech5 ore fa

Audacity 3.6.0: novità e miglioramenti

Tempo di lettura: 2 minuti. Audacity, il popolare software di editing audio open-source, ha rilasciato la versione 3.6.0 con numerose...

Intelligenza Artificiale5 ore fa

L’Intelligenza Artificiale aumenta la creatività individuale ma riduce la varietà del contenuto

Tempo di lettura: 2 minuti. Un recente studio pubblicato nella rivista Science Advances rivela che l’uso dell’intelligenza artificiale (AI) può...

Pixel 9 Pro XL Pixel 9 Pro XL
Smartphone6 ore fa

Google Pixel 9 Pro Fold e Serie Pixel 9: dimensioni e fotocamera

Tempo di lettura: 3 minuti. Google continua a spingere i confini della tecnologia mobile con la serie Pixel 9, che...

Smartphone7 ore fa

Xiaomi specifiche di Mix Fold 4, Mix Flip e Redmi K70 Ultra ufficiali

Tempo di lettura: 3 minuti. Xiaomi ha svelato una serie di nuovi dispositivi pieghevoli, tra cui il Mix Fold 4...

Smartphone7 ore fa

Apple brevetta display pieghevoli, nuovo firmware per AirPods Pro 2

Tempo di lettura: 3 minuti. Apple continua a innovare nel campo della tecnologia, introducendo nuovi brevetti per dispositivi pieghevoli e...

Smartphone8 ore fa

Galaxy Flip e Fold 5 apprendono novità dal 6 grazie a One UI

Tempo di lettura: 3 minuti. Samsung ha recentemente lanciato il Galaxy Z Flip 6, che include la nuova funzionalità Auto...

Smartphone8 ore fa

OnePlus Nord 4, Pad 2, Watch 2R e Nord Buds 3 Pro ufficiali

Tempo di lettura: 4 minuti. OnePlus ha recentemente presentato una gamma di nuovi prodotti durante il Summer Launch Event a...

Tech9 ore fa

Apple: quarta Beta di iOS 17.6, watchOS 10.6, visionOS 1.3, macOS Sonoma 14.6 e tvOS 17.6 agli Sviluppatori

Tempo di lettura: 3 minuti. Apple rilascia la quarta beta di iOS 17.6, watchOS 10.6, visionOS 1.3, macOS Sonoma 14.6...

Tendenza