Connect with us

Sicurezza Informatica

Moonstone Sleet: nuova APT Nordcoreana

Tempo di lettura: 2 minuti. Moonstone Sleet, nuova APT nordcoreana identificata da Microsoft con tecniche avanzate per attacchi finanziari e di cyber-spionaggio.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Microsoft ha identificato un nuovo attore di minacce nordcoreano, ora noto come Moonstone Sleet, che utilizza una combinazione di tecniche consolidate e metodologie di attacco uniche per perseguire obiettivi finanziari e di cyber-spionaggio. Questo gruppo, precedentemente conosciuto come Storm-1789, si distingue per l’uso di aziende e opportunità lavorative false per adescare le vittime, versioni trojanizzate di strumenti legittimi, un gioco malevolo e un nuovo ransomware personalizzato.

Tecniche e procedure utilizzate

Moonstone Sleet utilizza tattiche, tecniche e procedure (TTP) comuni tra gli attori di minacce nordcoreani, ma ha sviluppato anche proprie infrastrutture e attacchi distintivi. Inizialmente, il gruppo ha mostrato forti somiglianze con Diamond Sleet, ma successivamente ha evoluto le proprie metodologie, stabilendosi come un attore di minacce ben equipaggiato e indipendente.

Tecniche osservate

PuTTY Trojanizzato: A partire da agosto 2023, Moonstone Sleet ha distribuito una versione trojanizzata di PuTTY, un emulatore di terminale open-source, tramite app come LinkedIn e Telegram. Questa tecnica coinvolge l’invio di un archivio .zip contenente una versione trojanizzata di putty.exe e un file url.txt con un indirizzo IP e una password.

Pacchetti npm Malevoli: Il gruppo ha utilizzato pacchetti npm malevoli per colpire sviluppatori di software, diffusi tramite siti di freelancing e piattaforme come LinkedIn. Questi pacchetti vengono utilizzati per rubare credenziali e distribuire malware.

Gioco Malevolo DeTankWar: Da febbraio 2024, Moonstone Sleet ha utilizzato un gioco malevolo chiamato DeTankWar per infettare dispositivi. Il gruppo si presenta come uno sviluppatore di giochi alla ricerca di investimenti o supporto, utilizzando società fittizie e campagne pubblicitarie false per aggiungere legittimità al gioco.

Ransomware FakePenny: In aprile 2024, il gruppo ha distribuito un nuovo ransomware personalizzato chiamato FakePenny, rivolto a un’azienda compromessa in precedenza. Il ransomware mira a guadagni finanziari, con richieste di riscatto di 6,6 milioni di dollari in BTC.

Aziende fittizie e attività di Lavoro

Moonstone Sleet ha creato diverse aziende fittizie per impersonare società di sviluppo software e servizi IT, utilizzando queste entità per contattare potenziali obiettivi e stabilire relazioni ingannevoli. Queste attività includono campagne email mirate e tentativi di impiego presso aziende legittime.

Raccomandazioni di Sicurezza

Microsoft consiglia le seguenti misure per difendersi dagli attacchi di Moonstone Sleet:

  • Abilitare il rilevamento e la risposta alle minacce (EDR) in modalità blocco con Microsoft Defender per Endpoint.
  • Abilitare la protezione delle cartelle controllate e la protezione dalla manomissione.
  • Seguire le raccomandazioni per il rafforzamento delle credenziali per difendersi dalle tecniche comuni di furto di credenziali.
  • Abilitare la protezione del cloud con Microsoft Defender Antivirus per coprire strumenti e tecniche degli attaccanti in rapida evoluzione.

Per ulteriori dettagli e risorse, visitare il blog di Microsoft Threat Intelligence.

Sicurezza Informatica

Brasile vittima di guerra cibernetica e minacce informatiche

Tempo di lettura: 3 minuti. Analisi delle minacce informatiche che colpiscono il Brasile, comprese le attività di gruppi nordcoreani e russi e l’ecosistema del crimine informatico locale.

Pubblicato

in data

Tempo di lettura: 3 minuti.

Negli ultimi anni, il Brasile è diventato un bersaglio primario per varie minacce informatiche, con attacchi che spaziano da operazioni sponsorizzate da stati nazionali a crimini informatici finanziariamente motivati.

L’analisi di Google offre una panoramica delle principali minacce che colpiscono il paese, evidenziando le attività dei gruppi sostenuti dalla Corea del Nord e dalla Russia, oltre alla peculiare ecosfera del crimine informatico brasiliano.

Attacchi sponsorizzati dalla Corea del Nord

I gruppi sostenuti dal governo nordcoreano hanno storicamente preso di mira l’industria aerospaziale e della difesa brasiliana. Un esempio riguarda il gruppo PAEKTUSAN, che ha creato un account impersonando un direttore delle risorse umane di una ditta aerospaziale brasiliana per inviare email di phishing a dipendenti di un’altra azienda aerospaziale. Un’altra campagna ha visto PAEKTUSAN mascherarsi da reclutatore di una grande azienda aerospaziale statunitense, contattando professionisti in Brasile tramite email e social media, utilizzando un file DOCX malevolo per distribuire il malware AGAMEMNON.

Il gruppo PRONTO, un altro attore nordcoreano, ha concentrato i suoi sforzi sui diplomatici in Brasile, utilizzando esche a tema denuclearizzazione e notizie sulla Corea del Nord per attirare le vittime su pagine di raccolta delle credenziali. Questi attacchi riflettono le tendenze emergenti globali, con attori nordcoreani che ottengono impieghi surrettiziamente in aziende per svolgere ruoli IT e facilitare attività malevole.

Diminuzione dell’attività russa dal conflitto in Ucraina

L’attività dei gruppi sostenuti dal governo russo contro il Brasile è diminuita significativamente dall’inizio della guerra in Ucraina. Tra i sette gruppi russi osservati, il 95% delle attività di phishing è attribuito a APT28 (FROZENLAKE). Questo gruppo ha preso di mira il Brasile per oltre un decennio, con campagne di phishing che hanno coinvolto centinaia di utenti brasiliani alla fine del 2021. Tuttavia, gli attacchi russi contro il Brasile si sono ridotti, probabilmente a causa della priorità data alle operazioni cibernetiche contro l’Ucraina e la NATO.

Ecosistema unico del crimine informatico Brasiliano

Le minacce cibernetiche finanziariamente motivate rappresentano una costante minaccia per utenti e organizzazioni in Brasile. Le attività comprendono ransomware, furto di dati e vendita di accesso a informazioni sensibili tramite forum e social media. A differenza di altre regioni, la comunità criminale brasiliana utilizza maggiormente app mobili e piattaforme social come Telegram e WhatsApp.

Le capacità tecniche degli attori criminali brasiliani sono generalmente basse o moderate rispetto ad altre regioni, con un’enfasi su prodotti e servizi che mirano principalmente al mercato locale. Inoltre, i membri più esperti delle comunità brasiliane spesso insegnano e supportano i nuovi arrivati, migliorando la loro reputazione e ampliando il numero di affiliati.

Targeting del Sistema di Pagamenti PIX

I criminali informatici latinoamericani hanno preso di mira specificamente piattaforme di pagamento come Pix, un sistema di pagamento istantaneo creato dalla Banca Centrale Brasiliana. Malware come GoPix è stato distribuito tramite tecniche di malvertising, con funzionalità di dirottamento della clipboard per intercettare le transazioni Pix o di criptovalute, sostituendo le chiavi Pix o gli indirizzi dei portafogli con quelli controllati dagli attaccanti.

Le minacce informatiche contro il Brasile variano da attacchi sponsorizzati da stati nazionali a crimini finanziariamente motivati. La continua vigilanza e la cooperazione internazionale sono essenziali per mitigare questi rischi e proteggere le infrastrutture critiche del paese. Le minacce provenienti dalla Corea del Nord, dalla Russia e dalla comunità criminale locale richiedono un approccio multidisciplinare per garantire la sicurezza cibernetica del Brasile.


Prosegui la lettura

Sicurezza Informatica

CSAM, Operazione “Tabù” e arresto di Andrea Piscina

Tempo di lettura: 2 minuti. Operazione “Tabù”: 9 arresti per pedopornografia online e arresto del conduttore radiofonico Andrea Piscina per adescamento di minori.

Pubblicato

in data

Polizia Postale csam 2024
Tempo di lettura: 2 minuti.

Andrea Piscina, noto conduttore radiofonico, è stato arrestato per produzione di CSAM e violenza sessuale, mentre l’Operazione “Tabù” della Polizia Postale ha portato all’arresto di 9 persone per detenzione e divulgazione di CSAM online. Questi eventi mettono in luce la gravità e la diffusione della pedofilia online, sottolineando l’importanza di azioni rapide e coordinate per contrastare efficacemente questi crimini.

Pedofilia Online: 9 arresti nell’Operazione “Tabù”

L’Operazione “Tabù” della Polizia Postale ha portato all’arresto di 9 persone per detenzione e divulgazione di materiale di abuso sui minori online. Questa vasta operazione, coordinata dalla procura di Catania, ha visto indagate 26 persone in tutta Italia, con perquisizioni personali e informatiche che hanno portato al sequestro di migliaia di file CSAM.

Le indagini, condotte dal Centro Operativo per la Sicurezza Cibernetica della Polizia Postale di Catania e coordinate dal Centro Nazionale per il Contrasto al CSAM (Cncpo), sono scaturite dal sequestro di dispositivi elettronici ad un indagato arrestato durante un’altra operazione contro la pedopornografia. Dall’analisi dei dispositivi sequestrati sono stati individuati gruppi online dedicati allo scambio di immagini e video di abusi su minori, anche piccolissimi.

Durante le perquisizioni, eseguite in diverse province italiane, gli agenti hanno rinvenuto il formato digitale del libro “Guida del Pedofilo”, evidenziando la gravità e la pericolosità della pedofilia online. Il materiale sequestrato è al vaglio dei magistrati e degli investigatori per ulteriori approfondimenti investigativi, utili anche all’identificazione delle piccole vittime.

Arresto dello Speaker Radiofonico Andrea Piscina

Andrea Piscina, conduttore radiofonico su Rtl 102.5, è stato arrestato per produzione di materiale pedopornografico e violenza sessuale. L’ordinanza di arresto, emessa dal gip di Milano Ileana Ramundo, è stata eseguita dopo che sui dispositivi di Piscina sono state trovate oltre mille immagini e chat di contenuto di abusi sui minori.

Secondo le indagini del pm Giovanni Tarzia e dell’Unità Investigazioni e Prevenzione Nucleo Crimini Informatici e Telematici della Polizia Locale di Milano, Piscina intratteneva rapporti con bambini tra i 9 e i 14 anni, adescati sul web fingendo di essere una ragazzina chiamata Alessia. Chiedeva ai minori di compiere atti sessuali tramite videochiamate. Attualmente, le vittime identificate sono due, ma la Procura ritiene che potrebbero essere decine.

Una delle vittime sarebbe stata agganciata non sul web, ma durante l’attività di Piscina in una polisportiva. Piscina era stato già perquisito nelle scorse settimane e aveva cancellato chat e videochiamate, ma gli investigatori sono riusciti a recuperare le immagini. La madre di una delle vittime aveva già presentato una denuncia nell’estate del 2023. Andrea Piscina sarà interrogato martedì 18 giugno, e l’emittente Rtl 102.5 ha deciso di sospenderlo cautelativamente da ogni attività legata all’emittente in attesa delle decisioni della Magistratura.

L’Operazione “Tabù” della Polizia Postale e l’arresto di Andrea Piscina per CSAM mettono in luce la gravità e la pericolosità dei reati legati alla pedofilia online. Questi casi dimostrano l’importanza delle indagini coordinate e della collaborazione tra le forze dell’ordine per contrastare efficacemente tali crimini e proteggere le vittime più vulnerabili. La continua vigilanza e l’azione rapida sono essenziali per garantire che i responsabili, come Andrea Piscina, siano portati davanti alla giustizia e che i minori siano protetti da queste minacce, come evidenziato dall’Operazione “Tabù”.

Prosegui la lettura

Sicurezza Informatica

Arid Viper infetta le App Android con il malware AridSpy

Tempo di lettura: 3 minuti. Arid Viper infetta app Android con AridSpy, un trojan multistadio mirato a utenti in Palestina ed Egitto per scopi di spionaggio.

Pubblicato

in data

Tempo di lettura: 3 minuti.

I ricercatori di ESET hanno identificato cinque campagne che mirano agli utenti Android con app trojanizzate probabilmente condotte dal gruppo Arid Viper, noto anche come APT-C-23, iniziate nel 2022 e tre di esse sono ancora in corso. Il malware distribuito, denominato AridSpy, è un trojan Android multistadio che scarica payload di primo e secondo livello dal suo server C&C per evitare il rilevamento.

Distribuzione e funzionalità di AridSpy

Il malware AridSpy viene distribuito tramite siti web dedicati che impersonano app di messaggistica, un’app per opportunità di lavoro e un’app del Registro Civile Palestinese. Queste sono applicazioni esistenti che sono state trojanizzate con l’aggiunta del codice malevolo di AridSpy. AridSpy, controllato da remoto, si concentra sull’estrazione di dati utente per fini di spionaggio.

Le campagne attualmente in corso utilizzano siti web come lapizachat.com, reblychat.com, nortirchats.com e altri per distribuire le app infette. Queste applicazioni non sono mai state offerte tramite Google Play, ma sono scaricabili da siti di terze parti, richiedendo agli utenti di abilitare l’opzione di installazione da fonti sconosciute su Android.

Target e metodologia

Arid Viper, attivo dal 2013, è noto per prendere di mira paesi del Medio Oriente con un vasto arsenale di malware per piattaforme Android, iOS e Windows. Le campagne attuali di AridSpy hanno preso di mira principalmente Palestina ed Egitto. Il malware è stato identificato sei volte nella telemetria di ESET, con la maggior parte delle istanze registrate in Palestina.

Il malware è suddiviso in più stadi, con il primo stadio documentato in precedenti analisi. I payload di secondo stadio sono scaricati dinamicamente dal server C&C e sono responsabili della raccolta e dell’esfiltrazione dei dati.

Analisi tecnica di AridSpy

Dopo l’installazione, AridSpy esegue controlli per rilevare software di sicurezza installati sul dispositivo e invia queste informazioni al server C&C. Se un software di sicurezza viene rilevato, il server può bloccare il download dei payload successivi. Il primo stadio del payload impersona un aggiornamento dei servizi Google Play, richiedendo all’utente di installarlo manualmente.

Il secondo stadio, denominato prefLog.dex, è dove si concentra la funzionalità malevola. Utilizza il server Firebase per ricevere comandi e un altro server C&C per l’esfiltrazione dei dati. AridSpy è in grado di raccogliere dati come la posizione del dispositivo, contatti, registri delle chiamate, messaggi di testo, miniature di foto e video, chiamate registrate e audio ambientale.

AridSpy può anche attivarsi in base a eventi specifici, come cambiamenti nella connettività Internet, chiamate telefoniche e messaggi SMS. Inoltre, utilizza servizi di accessibilità per registrare tutte le attività visibili sullo schermo, concentrandosi in particolare su Facebook Messenger e WhatsApp.

Prevenzione e mitigazione

Per evitare di cadere vittima di AridSpy, gli utenti devono evitare di installare app da fonti sconosciute e non verificabili. È fondamentale mantenere aggiornato il software di sicurezza sui dispositivi e limitare i permessi delle app alle sole necessarie.

Questa ricerca di Eset evidenzia l’importanza di essere vigili e consapevoli delle minacce in continua evoluzione nel panorama della sicurezza informatica, soprattutto per gli utenti Android nei paesi del Medio Oriente.

Prosegui la lettura

Facebook

CYBERSECURITY

CISA logo CISA logo
Sicurezza Informatica5 ore fa

CISA: vulnerabilità sfruttate e truffatori telefonici

Tempo di lettura: 2 minuti. La CISA avverte di una vulnerabilità di Windows sfruttata in attacchi ransomware e segnala truffe...

Sicurezza Informatica1 giorno fa

OpenAI nomina ex capo NSA nel Consiglio di Amministrazione

Tempo di lettura: 2 minuti. OpenAI nomina Paul M. Nakasone, ex capo NSA, nel Consiglio di Amministrazione: conflitto di interessi...

Sicurezza Informatica2 giorni fa

Analisi tecnica del malware SSLoad

Tempo di lettura: 2 minuti. L'analisi del malware SSLoad rivela la sua intricata capacità di evitare il rilevamento e distribuire...

Sicurezza Informatica2 giorni fa

WARMCOOKIE: pericolosa Backdoor multipiattaforma

Tempo di lettura: 2 minuti. WARMCOOKIE, nuovo backdoor multipiattaforma, utilizzato in campagne di phishing a tema lavorativo: le indicazioni di...

Sicurezza Informatica2 giorni fa

Noodle RAT: malware multipiattaforma colpisce Windows e Linux

Tempo di lettura: 2 minuti. Noodle RAT, nuovo malware multipiattaforma, colpisce sistemi Windows e Linux, utilizzato da attori di lingua...

Microsoft Patch Tuesday Microsoft Patch Tuesday
Sicurezza Informatica3 giorni fa

Microsoft Patch Tuesday di giugno risolve 51 vulnerabilità

Tempo di lettura: < 1 minuto. Scopri le ultime patch di sicurezza rilasciate da Microsoft per affrontare 51 vulnerabilità, inclusi...

Polizia Postale csam 2024 Polizia Postale csam 2024
Sicurezza Informatica4 giorni fa

Postale: due arresti e perquisizioni contro il CSAM

Tempo di lettura: < 1 minuto. La Polizia Postale arresta due persone e sequestra migliaia di file pedopornografici in un'operazione...

Sicurezza Informatica4 giorni fa

Gitloker abusa delle notifiche GitHub per diffondere App maligne OAuth

Tempo di lettura: 2 minuti. Gli attacchi Gitloker sfruttano le notifiche di GitHub per distribuire app maligne OAuth: scopri come...

Sicurezza Informatica5 giorni fa

Malicious VSCode Extensions con milioni di installazioni scoperte

Tempo di lettura: 2 minuti. Scoperte estensioni malevole nel VSCode Marketplace con milioni di installazioni, esponendo numerose organizzazioni a rischi...

Sicurezza Informatica7 giorni fa

Oltre 5,5 milioni di utenti a rischio: malware trovato in App popolari per Android

Tempo di lettura: 4 minuti. Scoperto malware in oltre 90 app popolari per Android, mettendo a rischio 5,5 milioni di...

Truffe recenti

fbi fbi
Sicurezza Informatica1 settimana fa

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica2 settimane fa

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste2 settimane fa

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Inchieste3 settimane fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Pharmapiuit.com Pharmapiuit.com
Inchieste4 settimane fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste4 settimane fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste4 settimane fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Sicurezza Informatica1 mese fa

BogusBazaar falsi e-commerce usati per una truffa da 50 milioni

Tempo di lettura: 2 minuti. Oltre 850,000 persone sono state ingannate da una rete di 75,000 falsi negozi online, con...

Sicurezza Informatica1 mese fa

Truffatori austriaci scappano dagli investitori, ma non dalla legge

Tempo di lettura: 2 minuti. Le forze dell'ordine hanno smascherato e arrestato un gruppo di truffatori austriaci dietro una frode...

Shein Shein
Truffe online2 mesi fa

Truffa dei buoni SHEIN da 300 euro, scopri come proteggerti

Tempo di lettura: < 1 minuto. La truffa dei buoni SHEIN da 300 euro sta facendo nuovamente vittime in Italia,...

Tech

Smartphone2 ore fa

Infinix Zero Flip e HTC U24 Pro: specifiche e design svelati

Tempo di lettura: 3 minuti. Specifiche e design dell'Infinix Zero Flip e dell'HTC U24 Pro, i nuovi smartphone pieghevoli e...

Galaxy S24 FE Galaxy S24 FE
Smartphone2 ore fa

Specifiche del Galaxy Z Flip 6 e design del Galaxy S24 FE

Tempo di lettura: 4 minuti. Le specifiche ufficiali del Galaxy Z Flip 6 e il design trapelato del Galaxy S24...

Robotica5 ore fa

Robot molecolari Autoassemblanti e Autodissocianti: innovazione nella nanotecnologia

Tempo di lettura: 2 minuti. I ricercatori di Tohoku e Kyoto sviluppano un controllore molecolare a DNA per robot molecolari...

KDE Gear 23.08.3 KDE Gear 23.08.3
Tech5 ore fa

Aggiornamento KDE Gear 24.05.1: le novità più importanti

Tempo di lettura: 2 minuti. Scopri le novità dell'aggiornamento KDE Gear 24.05.1, con miglioramenti significativi per Dolphin, Elisa e Kdenlive.

Galaxy Z Flip 6 Galaxy Z Flip 6
Smartphone5 ore fa

Perchè non devi cambiare il Galaxy Z Flip 5 al 6?

Tempo di lettura: 2 minuti. Scopri cinque ragioni per cui non è necessario aggiornare il Galaxy Z Flip 5 al...

Ubuntu 24.10 "Oracular Oriole" Ubuntu 24.10 "Oracular Oriole"
Tech5 ore fa

Novità Ubuntu Desktop 24.10 per Gnome, TPM e file Deb

Tempo di lettura: 2 minuti. Scopri le ultime novità del ciclo di sviluppo di Ubuntu Desktop 24.10, inclusi gli aggiornamenti...

Robotica6 ore fa

LLM usati per aiutare i robot nella navigazione

Tempo di lettura: 2 minuti. Il MIT utilizza grandi modelli linguistici per migliorare la navigazione dei robot, superando le limitazioni...

Samsung Galaxy Watch 7 Ultra Samsung Galaxy Watch 7 Ultra
Tech6 ore fa

Pixel Watch 3 XL e Galaxy Watch 7: rivali a confronto

Tempo di lettura: 2 minuti. Confronto tra il Pixel Watch 3 XL e il Galaxy Watch 7, i nuovi smartwatch...

Intelligenza Artificiale6 ore fa

Papa Francesco partecipa al G7 e parla di Intelligenza Artificiale

Tempo di lettura: 2 minuti. Papa Francesco al G7 discute sull'Intelligenza Artificiale, evidenziando opportunità, rischi e la necessità di una...

Intelligenza Artificiale6 ore fa

Migliorata la mappatura 3D tramite immagini 2D con AI

Tempo di lettura: 2 minuti. Una nuova tecnica AI, Multi-View Attentive Contextualization, migliora la mappatura 3D tramite immagini 2D

Tendenza