Connect with us

Sicurezza Informatica

Malware distribuiti nei file di “aiuto” Microsoft. Attenzione a Vidar e ai file .CHM

Pubblicato

in data

Tempo di lettura: 2 minuti.

Il malware Vidar si nasconde nei file con estensione .CHM. Si tratta di file di aiuto di Microsoft che si trovano nella maggior parte delle applicazioni e dei servizi di Windows.

Gli esperti di sicurezza di Trustwave lanciano l’allarme: è in corso una nuova ondata di distribuzione di Vidar, un malware noto e particolarmente pericoloso, ma che invece di nascondersi in un eseguibile, il malware si nasconde questa volta in un file di aiuto Microsoft.

Il malware si diffonde tramite il classico spam che si riceve nella propria casella di posta elettronica. Il messaggio contiene un allegato, che il mittente ti incoraggia ad aprire con queste parole: “Questa importante informazione è per te. Si prega di vedere l’allegato a questa e-mail“. Ed è qui che entra in gioco il malware.

Per nascondersi ancora meglio agli occhi delle sue vittime, il malware si nasconde in un file .DOC chiamato “REQUEST.DOC“. Ma non fatevi ingannare dalla sua estensione, è in realtà un file .ISO. All’interno, c’è un file HTML compilato in formato CHM, generalmente chiamato “PSS10R.CHM“. E sempre all’interno della ISO c’è un eseguibile chiamato “APP.EXE“.

Una volta aperto il file CHM o l’eseguibile, viene lanciato un piccolo codice JavaScript. Il malware Vidar può quindi commettere i suoi misfatti. Crea la propria cartella in C:\ProgramData e invia i dati raccolti a un server. Se necessario, è anche in grado di scaricare un altro eseguibile, anch’esso un malware. Una volta impegnato, il malware cancella le proprie tracce nella cartella ProgramData e cancella le DLL create per l’occasione.

Vidar è in grado di recuperare i dati del sistema operativo, ma anche e soprattutto i dati dell’utente. Può anche rubare tutti i dati di pagamento (carta di credito, servizio di pagamento online, ecc.). E per chiudere il tutto, gli è persino possibile rubare le informazioni che gli permettono di identificarsi a un servizio di criptovalute.

La prima apparizione del malware Vidar risale al 2018. Il software è di origine russa e la motivazione è semplice: il malware interrompe immediatamente i suoi abusi quando viene installato su una macchina situata in Russia, o la tastiera del PC infetto ha una tastiera russa.

Come al solito, è consigliato non aprire mai un allegato da un mittente sconosciuto. In secondo luogo, scansiona questo allegato utilizzando un antivirus.

Sicurezza Informatica

Vulnerabilità critica in Apache HugeGraph: aggiornate subito

Pubblicato

in data

Tempo di lettura: 2 minuti.

Apache HugeGraph, un sistema di database a grafo open-source, è attualmente soggetto a sfruttamenti attivi di una vulnerabilità critica che potrebbe portare all’esecuzione di codice remoto (RCE). La vulnerabilità, identificata come CVE-2024-27348, ha un punteggio di gravità CVSS di 9.8, rendendola estremamente pericolosa. Di seguito, una panoramica dettagliata della situazione, delle raccomandazioni e delle implicazioni.

Dettagli della Vulnerabilità

La vulnerabilità CVE-2024-27348 è stata identificata nella API del linguaggio di traverso di grafi Gremlin di Apache HugeGraph-Server. Questa falla di sicurezza consente l’esecuzione di comandi remoti, mettendo a rischio tutti i sistemi che eseguono versioni del software antecedenti alla 1.3.0. La Apache Software Foundation ha rilasciato la versione 1.3.0 nell’aprile 2024, che risolve questo problema.

La vulnerabilità permette a un attaccante di bypassare le restrizioni della sandbox e ottenere il controllo completo su un server vulnerabile. Dettagli tecnici ulteriori sono stati forniti dalla compagnia di penetration testing SecureLayer7 all’inizio di giugno, rendendo pubblici i metodi per sfruttare la falla.

Raccomandazioni

L’Apache Software Foundation ha raccomandato agli utenti di aggiornare alla versione 1.3.0 utilizzando Java 11 e di abilitare il sistema di autenticazione per mitigare il rischio. È anche suggerito di abilitare la funzione “Whitelist-IP/port” per migliorare la sicurezza dell’esecuzione delle API RESTful.

Attacchi in corsa

La fondazione Shadowserver ha rilevato tentativi di sfruttamento attivi di questa vulnerabilità in natura, con attacchi registrati da diverse fonti. Il codice proof-of-concept (PoC) è pubblico dall’inizio di giugno, il che facilita ulteriormente gli attacchi da parte di cybercriminali. Gli attacchi mirano specificamente alla rotta “POST /gremlin”, utilizzata per eseguire il codice dannoso.

Vulnerabilità nei progetti Apache hanno storicamente rappresentato vettori di attacco lucrativi per attori di minacce statali e finanziariamente motivati, come dimostrato dai precedenti con Log4j, ActiveMQ e RocketMQ. La rapida adozione di patch è dunque fondamentale per proteggere le infrastrutture.

Gli utenti di Apache HugeGraph sono fortemente incoraggiati ad aggiornare immediatamente alla versione 1.3.0 per mitigare il rischio di attacchi RCE. La tempestiva applicazione delle patch è cruciale per mantenere la sicurezza delle infrastrutture IT e prevenire potenziali compromissioni.

Prosegui la lettura

Sicurezza Informatica

Scattered Spider adotta RansomHub e Qilin per i suoi attacchi

Pubblicato

in data

Tempo di lettura: 2 minuti.

Scattered Spider, noto anche come Octo Tempest, UNC3944 e 0ktapus, è un gruppo di criminali informatici che ha recentemente ampliato il suo arsenale includendo i ransomware RansomHub e Qilin. Questo sviluppo indica un possibile spostamento di potere tra i gruppi di hacker, con Scattered Spider che continua a rappresentare una minaccia significativa nel panorama della sicurezza informatica. Microsoft ha recentemente evidenziato l’adozione di questi nuovi strumenti da parte del gruppo, sottolineando la loro crescente pericolosità.

Attacchi Recenti e Metodologia

Nel secondo trimestre del 2024, Microsoft ha rilevato che Scattered Spider ha utilizzato RansomHub e Qilin nei suoi attacchi. In passato, il gruppo si affidava al payload di ransomware ALPHV/BlackCat, ma la transizione verso RansomHub e Qilin dimostra l’importanza crescente di queste nuove varianti nel mondo del cybercrime. RansomHub, in particolare, è emerso come una delle famiglie di ransomware più diffuse e viene adottato da un numero crescente di criminali informatici.

Scattered Spider ha ottenuto notorietà con la campagna 0ktapus, che ha colpito oltre 130 organizzazioni di alto profilo, tra cui Microsoft, Binance, CoinBase, T-Mobile, Verizon Wireless, AT&T, Slack, Twitter, Epic Games, Riot Games e Best Buy. Il gruppo è stato coinvolto anche nell’attacco ai sistemi di MGM Resorts, utilizzando ALPHV/BlackCat come affiliato a metà del 2023.

RansomHub e Qilin: Nuovi Strumenti di Attacco

RansomHub

RansomHub è emerso per la prima volta nel febbraio 2024 come una ribrandizzazione del team di ransomware Knight. Ha rivendicato attacchi di alto profilo contro aziende come Christie’s, Frontier Communications e la catena di farmacie americana Rite Aid. Questo ransomware è stato utilizzato in attività post-compromissione da gruppi come Manatee Tempest, dopo l’accesso iniziale ottenuto tramite infezioni FakeUpdates/Socgholish.

Qilin

Qilin, noto anche come Agenda, è emerso nell’agosto 2022 e ha subito una rapida crescita. La gang ha rivendicato attacchi contro oltre 130 aziende e ha sviluppato uno degli encryptor Linux più avanzati e personalizzabili per colpire le macchine virtuali VMware ESXi. Le richieste di riscatto di Qilin variano da $25.000 a milioni di dollari, a seconda delle dimensioni della vittima. Gli operatori di Qilin infiltrano le reti aziendali, estraggono dati sensibili e distribuiscono il payload di ransomware per eseguire attacchi di doppia estorsione.

Impatti e risposta delle autorità

Il gruppo Scattered Spider è noto per utilizzare tattiche come il phishing, il bombardamento MFA (noto anche come MFA fatigue) e lo swapping di SIM per ottenere l’accesso iniziale alle reti. L’FBI e la CISA hanno emesso un avviso evidenziando le tecniche e le procedure del gruppo, inclusa l’imitazione dei dipendenti IT per ingannare il personale di assistenza clienti e ottenere credenziali.

L’adozione di RansomHub e Qilin da parte di Scattered Spider segna un’evoluzione significativa nel panorama del ransomware. Questi sviluppi sottolineano la necessità di misure di sicurezza avanzate e una vigilanza costante per proteggere le reti aziendali da minacce sempre più sofisticate.

Prosegui la lettura

Sicurezza Informatica

APT17 attacca l’Italia con il malware 9002 RAT

Pubblicato

in data

Tempo di lettura: 3 minuti.

APT17, un gruppo di hacker legato alla Cina, ha recentemente lanciato attacchi mirati contro aziende italiane e entità governative utilizzando una variante del malware 9002 RAT. Questi attacchi sono stati osservati dalla società di sicurezza informatica italiana TG Soft e sono parte di una serie di operazioni di spionaggio informatico condotte da APT17, noto anche come “DeputyDog”. Di seguito, una panoramica dettagliata delle recenti attività di APT17 e delle tecniche utilizzate.

Attacchi Recenti di APT17 in Italia

Due attacchi mirati sono stati rilevati il 24 giugno e il 2 luglio 2024. Il primo attacco utilizzava un documento di Office, mentre il secondo conteneva un link. Entrambe le campagne invitavano le vittime a installare un pacchetto Skype for Business da un dominio simile a quello del governo italiano, trasmettendo così una variante del 9002 RAT in modalità diskless.

L’attacco del 24 giugno utilizzava un documento Word intitolato “GUIDA OPERATIVA PER l’UTENTE.docx”, creato il 18 giugno 2024. La campagna del 2 luglio invece utilizzava un link diretto alla URL dannosa. Entrambe le campagne invitavano le vittime a connettersi alla pagina:

bashCopia codicehttps://meeting[.]equitaligaiustizia[.]it/angelo.maisto.guest

Il sito imitava una pagina ufficiale per i meeting di Equitalia Giustizia e invitava l’utente a scaricare un pacchetto di installazione MSI personalizzato per Skype for Business. Questo pacchetto, denominato “SkypeMeeting.msi”, conteneva file malevoli che, una volta eseguiti, installavano il malware 9002 RAT.

Descrizione del Malware 9002 RAT

9002 RAT, noto anche come Hydraq e McRAT, è un trojan modulare utilizzato in diverse operazioni di spionaggio informatico. È in grado di monitorare il traffico di rete, catturare schermate, enumerare file, gestire processi ed eseguire comandi ricevuti da un server remoto. Il malware viene costantemente aggiornato con varianti senza disco, rendendo più difficile la rilevazione.

Nella catena di infezione osservata, il pacchetto MSI scaricato conteneva i seguenti file interessanti:

  • SkypeMeetingsApp.msi (pacchetto MSI originale per l’installazione di Skype for Business)
  • vcruntime.jar
  • vcruntime.vbs
  • vcruntime.bin

L’esecuzione del pacchetto MSI comportava l’installazione del software legittimo Skype for Business e l’esecuzione dell’applicazione Java “vcruntime.jar” tramite lo script VBS “vcruntime.vbs”. L’applicazione Java decriptava ed eseguiva il shellcode contenuto nel file “vcruntime.bin”, che avviava il malware 9002 RAT.

Tecniche di attacco e strumenti utilizzati

APT17 utilizza vari moduli nel 9002 RAT, attivati secondo necessità per ridurre la possibilità di intercettazione. Durante l’analisi del campione, il criminale ha inviato i seguenti moduli aggiuntivi:

  • ScreenSpyS.dll -> cattura schermate
  • RemoteShellS.dll -> esecuzione di programmi
  • UnInstallS.dll -> disinstallazione
  • FileManagerS.dll -> gestione file
  • ProcessS.dll -> gestione processi

Il campione analizzato comunicava con il server di comando e controllo (C&C) ospitato su un dominio che simulava un dominio Microsoft. La comunicazione con il server avveniva in modo criptato e codificato in Base64.

Implicazioni e Misure di Sicurezza

Gli attacchi di APT17 rappresentano una minaccia significativa per la sicurezza informatica delle aziende e delle entità governative non solo in Italia. È essenziale che le organizzazioni adottino misure di sicurezza avanzate per proteggersi da tali minacce, inclusa l’implementazione di soluzioni di sicurezza endpoint, la formazione dei dipendenti sul riconoscimento delle esche di phishing e il monitoraggio continuo delle reti per individuare attività sospette.

Prosegui la lettura

Facebook

CYBERSECURITY

Sicurezza Informatica4 minuti fa

Vulnerabilità critica in Apache HugeGraph: aggiornate subito

Tempo di lettura: 2 minuti. Apache HugeGraph, un sistema di database a grafo open-source, è attualmente soggetto a sfruttamenti attivi...

Sicurezza Informatica2 giorni fa

HardBit Ransomware: analisi e mitigazione delle minacce

Tempo di lettura: 3 minuti. HardBit Ransomware 4.0 introduce protezione con passphrase e obfuscazione avanzata. Scopri come proteggerti da questa...

Sicurezza Informatica4 giorni fa

Vulnerabilità in Modern Events Calendar: migliaia di WordPress a rischio

Tempo di lettura: 2 minuti. Vulnerabilità critica nel plugin Modern Events Calendar consente il caricamento arbitrario di file da parte...

Sicurezza Informatica4 giorni fa

Attacco RADIUS: panoramica dettagliata

Tempo di lettura: 3 minuti. Il protocollo RADIUS può essere compromesso utilizzando tecniche avanzate di collisione MD5 per eseguire attacchi...

Sicurezza Informatica4 giorni fa

ViperSoftX sfrutta AutoIt e CLR per l’esecuzione Stealth di PowerShell

Tempo di lettura: 3 minuti. ViperSoftX utilizza AutoIt e CLR per eseguire comandi PowerShell in modo stealth, eludendo i meccanismi...

Sicurezza Informatica4 giorni fa

Malware Poco RAT mira vittime di lingua spagnola

Tempo di lettura: 3 minuti. Poco RAT, nuovo malware che prende di mira le vittime di lingua spagnola con campagne...

Microsoft teams Microsoft teams
Sicurezza Informatica4 giorni fa

Falso Microsoft Teams per Mac distribuisce Atomic Stealer

Tempo di lettura: 2 minuti. Un falso Microsoft Teams per Mac distribuisce il malware Atomic Stealer tramite una campagna di...

CISA logo CISA logo
Sicurezza Informatica4 giorni fa

CISA hackera Agenzia Federale USA: vulnerabilità critiche Svelate

Tempo di lettura: 2 minuti. CISA svela vulnerabilità critiche in un'agenzia federale USA attraverso un'esercitazione di red team SILENTSHIELD

Sicurezza Informatica4 giorni fa

DarkGate usa file Excel per diffondere malware

Tempo di lettura: 3 minuti. DarkGate utilizza file Excel per diffondere malware sofisticato. Scopri come funziona questa minaccia e come...

Sicurezza Informatica5 giorni fa

SSH sotto attacco a causa di bug e vulnerabilità

Tempo di lettura: 3 minuti. Scopri le nuove minacce di CRYSTALRAY e la vulnerabilità di OpenSSH in RHEL 9. Approfondisci...

Truffe recenti

Inchieste1 settimana fa

Idealong.com chiuso, ma attenti a marketideal.xyz e bol-it.com

Tempo di lettura: 2 minuti. Dopo aver svelato la truffa Idealong, abbiamo scoperto altri link che ospitano offerte di lavoro...

Inchieste2 settimane fa

Idealong.com spilla soldi ed assolda lavoratori per recensioni false

Tempo di lettura: 4 minuti. Il metodo Idealong ha sostituito Mazarsiu e, dalle segnalazioni dei clienti, la truffa agisce su...

Sicurezza Informatica2 settimane fa

Truffa lavoro online: Mazarsiu sparito, attenti a idealong.com

Tempo di lettura: 2 minuti. Dopo il sito Mazarsiu, abbandonato dai criminali dopo le inchieste di Matrice Digitale, emerge un...

fbi fbi
Sicurezza Informatica1 mese fa

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica2 mesi fa

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste2 mesi fa

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Inchieste2 mesi fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Pharmapiuit.com Pharmapiuit.com
Inchieste2 mesi fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste2 mesi fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste2 mesi fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Tech

VirtualBox VirtualBox
Tech30 minuti fa

VirtualBox 7.0.20: manutenzione e aggiornamenti

Tempo di lettura: < 1 minuto. VirtualBox 7.0.20, rilasciato il 16 luglio 2024, è un aggiornamento di manutenzione che introduce...

Smartphone4 ore fa

Samsung lancia il Galaxy M35 5G in India

Tempo di lettura: 2 minuti. Samsung ha ufficialmente lanciato il Galaxy M35 5G in India, poco dopo il suo debutto...

Tech5 ore fa

Audacity 3.6.0: novità e miglioramenti

Tempo di lettura: 2 minuti. Audacity, il popolare software di editing audio open-source, ha rilasciato la versione 3.6.0 con numerose...

Intelligenza Artificiale5 ore fa

L’Intelligenza Artificiale aumenta la creatività individuale ma riduce la varietà del contenuto

Tempo di lettura: 2 minuti. Un recente studio pubblicato nella rivista Science Advances rivela che l’uso dell’intelligenza artificiale (AI) può...

Pixel 9 Pro XL Pixel 9 Pro XL
Smartphone6 ore fa

Google Pixel 9 Pro Fold e Serie Pixel 9: dimensioni e fotocamera

Tempo di lettura: 3 minuti. Google continua a spingere i confini della tecnologia mobile con la serie Pixel 9, che...

Smartphone7 ore fa

Xiaomi specifiche di Mix Fold 4, Mix Flip e Redmi K70 Ultra ufficiali

Tempo di lettura: 3 minuti. Xiaomi ha svelato una serie di nuovi dispositivi pieghevoli, tra cui il Mix Fold 4...

Smartphone7 ore fa

Apple brevetta display pieghevoli, nuovo firmware per AirPods Pro 2

Tempo di lettura: 3 minuti. Apple continua a innovare nel campo della tecnologia, introducendo nuovi brevetti per dispositivi pieghevoli e...

Smartphone8 ore fa

Galaxy Flip e Fold 5 apprendono novità dal 6 grazie a One UI

Tempo di lettura: 3 minuti. Samsung ha recentemente lanciato il Galaxy Z Flip 6, che include la nuova funzionalità Auto...

Smartphone9 ore fa

OnePlus Nord 4, Pad 2, Watch 2R e Nord Buds 3 Pro ufficiali

Tempo di lettura: 4 minuti. OnePlus ha recentemente presentato una gamma di nuovi prodotti durante il Summer Launch Event a...

Tech9 ore fa

Apple: quarta Beta di iOS 17.6, watchOS 10.6, visionOS 1.3, macOS Sonoma 14.6 e tvOS 17.6 agli Sviluppatori

Tempo di lettura: 3 minuti. Apple rilascia la quarta beta di iOS 17.6, watchOS 10.6, visionOS 1.3, macOS Sonoma 14.6...

Tendenza