Connect with us

Sicurezza Informatica

Morris II: malware auto-replicante che compromette assistenti Email con AI

Tempo di lettura: 2 minuti. Morris II, il malware auto-replicante che minaccia gli assistenti email GenAI, richiede misure di sicurezza proattive e continue ricerche.

Pubblicato

in data

Tempo di lettura: 2 minuti.

La proliferazione degli assistenti email basati su intelligenza artificiale generativa (GenAI) come OpenAI’s GPT-3 e Google’s Smart Compose ha rivoluzionato i flussi di lavoro delle comunicazioni. Tuttavia, ha anche introdotto nuove vulnerabilità sfruttabili dai cyber criminali. Recenti studi hanno scoperto le capacità insidiose del malware auto-replicante, esemplificato dal ceppo “Morris II”.

Come Funziona il Malware Morris II

Basato sull’eredità del noto worm Morris, questa variante moderna utilizza tecniche avanzate per compromettere gli assistenti email GenAI senza richiedere l’interazione dell’utente. I ricercatori hanno dimostrato come contenuti email appositamente elaborati possano ingannare gli assistenti AI, portando all’esecuzione di comandi dannosi, esfiltrazione di dati, dirottamento degli account email e propagazione automatica del malware attraverso sistemi interconnessi.

L’exploit degli assistenti email GenAI solitamente implica la manipolazione delle capacità di elaborazione del linguaggio naturale per bypassare le misure di sicurezza ed eseguire azioni non autorizzate. In un incidente recente, i ricercatori hanno mostrato come un’email accuratamente progettata possa indurre un assistente AI a eseguire comandi dannosi, ottenendo accesso non autorizzato a dati sensibili e diffondendo email caricate di malware a destinatari ignari.

Analisi del Malware Morris II

Morris II è progettato per sfruttare i componenti GenAI attraverso l’uso di prompt auto-replicanti avversari. Ecco una panoramica delle sue tecniche e vettori di attacco:

Prompt Auto-Replicanti Avversari

Morris II utilizza input appositamente creati chiamati prompt auto-replicanti avversari, progettati per manipolare i modelli GenAI replicando l’input come output. Quando elaborati dai modelli GenAI, questi prompt innescano il modello a generare autonomamente contenuti che rispecchiano l’input stesso, parte cruciale della strategia del worm.

Sfruttamento della Connettività all’interno degli Ecosistemi GenAI

Gli ecosistemi GenAI consistono in agenti interconnessi alimentati da servizi GenAI. Queste applicazioni semi o completamente autonome comunicano tra loro. Morris II sfrutta questa connettività costringendo l’agente infettato a propagare i prompt avversari a nuovi agenti all’interno dell’ecosistema, diffondendo il worm e potenzialmente compromettendo l’intero ecosistema GenAI.

Spamming e Payload Malevoli

Morris II può inondare gli assistenti email GenAI con messaggi spam, interrompendo i canali di comunicazione. Utilizzando prompt che estraggono dati personali, il worm può compromettere la privacy degli utenti ed esfiltrare dati. I prompt avversari fungono da payload, eseguendo attività malevoli senza intervento umano.

Test su Modelli GenAI

Morris II è stato testato su tre diversi modelli GenAI:

  • Gemini Pro
  • ChatGPT 4.0
  • LLaVA

Lo studio ha valutato fattori come il tasso di propagazione, il comportamento di replicazione e l’attività malevola complessiva.

Strategie di Mitigazione e Direzioni Future

Per mitigare i rischi posti dal malware auto-replicante che prende di mira gli assistenti email GenAI, è necessaria un’approccio multidisciplinare, che includa misure di sicurezza robuste come il filtraggio dei contenuti, il rilevamento delle anomalie e l’autenticazione degli utenti. Inoltre, sono necessari sforzi continui di ricerca e sviluppo per migliorare la resilienza dei sistemi GenAI contro le minacce cyber in evoluzione, come l’integrazione di tecniche di addestramento avversarie per rafforzare le difese AI contro i tentativi di manipolazione.

Il malware Morris II rappresenta un avanzamento significativo negli attacchi informatici, sottolineando la necessità di misure proattive di cybersecurity e ricerca continua per proteggere contro le minacce informatiche in evoluzione. Adottando un approccio proattivo e completo alla cybersecurity, le organizzazioni possono mitigare efficacemente i rischi posti dal malware auto-replicante e migliorare la loro resilienza contro le minacce cyber in evoluzione.

Sicurezza Informatica

Violazione dei Dati di AT&T: Compromessi i dati di tutti i Clienti

Tempo di lettura: 2 minuti. Violazione dei dati di AT&T che ha compromesso i registri telefonici di oltre 100 milioni di clienti e le implicazioni per la sicurezza.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Recentemente, AT&T ha subito una grave violazione dei dati che ha compromesso i registri telefonici di oltre 100 milioni di clienti. Questo articolo esamina i dettagli della violazione, le implicazioni per i clienti e le misure adottate dalla società per affrontare la situazione.

Dettagli della violazione

Nel 2022, hacker hanno rubato i registri telefonici di oltre 100 milioni di clienti AT&T, includendo dati come:

  • Numeri di telefono
  • Conteggi di chiamate e SMS
  • Durata delle chiamate
  • Identificatori dei siti cellulari

Tempistiche e indagini

AT&T ha riferito la violazione alla U.S. Securities and Exchange Commission (SEC) e ha collaborato con le forze dell’ordine, portando all’arresto di un sospettato. La violazione ha interessato i dati delle chiamate e degli SMS dal 1 maggio 2022 al 31 ottobre 2022, con un’altra violazione minore il 2 gennaio 2023.

Estensione dell’impatto

La violazione ha coinvolto anche i clienti di altre reti che utilizzano l’infrastruttura di AT&T, come Cricket Wireless, Boost Mobile e Consumer Cellular. AT&T ha annunciato che contatterà tutti i 110 milioni di clienti interessati per informarli della violazione.

Origine della violazione

Un portavoce di AT&T ha confermato che la violazione è stata causata da un account compromesso su Snowflake, una piattaforma cloud di terze parti. Incidenti simili sono stati osservati anche in Ticketmaster e QuoteWizard, anch’essi legati a Snowflake. La mancanza di autenticazione a più fattori sull’account AT&T ha permesso agli hacker di accedere ai dati.

Implicazioni e risposte

Motivazioni e utilizzo dei dati

Gli esperti di cybersecurity di Mandiant attribuiscono la violazione al gruppo criminale UNC5537, con una probabile motivazione finanziaria. Sebbene gli hacker non abbiano avuto accesso ai contenuti delle chiamate e dei messaggi o a informazioni personali come nomi, numeri di sicurezza sociale o date di nascita, i dati rubati potrebbero comunque essere utilizzati per frodi.

Ritardi nella comunicazione

Un aspetto controverso di questa violazione è stato il ritardo nella comunicazione al pubblico. AT&T era a conoscenza della violazione ad aprile ma ha rinviato l’annuncio due volte, in accordo con l’FBI e il Dipartimento di Giustizia, per motivi di sicurezza nazionale e pubblica. Questo ritardo solleva domande sulla trasparenza e sulla gestione delle informazioni sensibili.

Misure di sicurezza aggiuntive

AT&T ha creato un sito web dedicato per fornire risposte e informazioni sull’accaduto. La società ha sottolineato la necessità di migliorare la sicurezza informatica, in particolare l’implementazione dell’autenticazione a più fattori, sia per i clienti che per i fornitori.

Questa recente violazione dei dati rappresenta un ulteriore colpo per gli sforzi di sicurezza informatica di AT&T, arrivando poco dopo una precedente perdita che ha interessato oltre 70 milioni di clienti. Sebbene AT&T affermi che gli incidenti non siano correlati, queste violazioni consecutive sollevano serie preoccupazioni sulla strategia di sicurezza dei dati dell’azienda e sulla sua capacità di proteggere le informazioni dei clienti.

Prosegui la lettura

Sicurezza Informatica

Vulnerabilità in Modern Events Calendar: migliaia di WordPress a rischio

Tempo di lettura: 2 minuti. Vulnerabilità critica nel plugin Modern Events Calendar consente il caricamento arbitrario di file da parte di utenti autenticati

Pubblicato

in data

Tempo di lettura: 2 minuti.

Una vulnerabilità critica è stata identificata nel plugin WordPress Modern Events Calendar, che consente a utenti autenticati con ruolo di Subscriber o superiore di caricare file arbitrari. Questa falla di sicurezza è presente nelle versioni fino alla 7.11.0 e può essere sfruttata per compromettere il sito web.

Dettagli della vulnerabilità

ID della Vulnerabilità

  • CVE ID: Non specificato
  • Tipo di Vulnerabilità: Caricamento Arbitrario di File
  • Livello di Gravità: Critico
  • Versioni Interessate: Modern Events Calendar fino alla versione 7.11.0

Descrizione

La vulnerabilità consente a un utente autenticato con privilegi di Subscriber o superiori di caricare file arbitrari sul server. Questo può includere file eseguibili, come script PHP, che possono essere utilizzati per ottenere l’accesso completo al server web. Il caricamento di file arbitrari è possibile a causa di una verifica insufficiente dei file caricati, permettendo agli attaccanti di bypassare le restrizioni di caricamento.

Impatti potenziali

L’exploit di questa vulnerabilità può portare a vari problemi di sicurezza, tra cui:

  • Esecuzione di Codice Remoto: Gli attaccanti possono caricare ed eseguire script dannosi sul server.
  • Compromissione del Server: Accesso non autorizzato ai dati sensibili memorizzati sul server.
  • Defacement del Sito: Modifica non autorizzata del contenuto del sito web.
  • Distribuzione di Malware: Utilizzo del server compromesso per distribuire malware agli utenti del sito.

Soluzioni e Mitigazioni

Aggiornamento del Plugin

Gli sviluppatori di Modern Events Calendar hanno rilasciato una patch per questa vulnerabilità nella versione 7.11.1. Gli amministratori di siti web dovrebbero aggiornare immediatamente il plugin all’ultima versione disponibile per mitigare questo rischio.

Misure di Sicurezza Aggiuntive

  • Controllo dei File Caricati: Implementare controlli rigorosi sui tipi di file che possono essere caricati e verificare che solo i file con estensioni sicure siano accettati.
  • Limitare i Permessi: Ridurre i permessi degli utenti, assicurandosi che solo gli utenti strettamente necessari abbiano accesso ai ruoli con privilegi di caricamento.
  • Monitoraggio del Sistema: Utilizzare strumenti di monitoraggio per rilevare attività sospette o anomale sul server.
  • Backup Regolari: Mantenere backup regolari del sito web per garantire il ripristino rapido in caso di compromissione.

La vulnerabilità nel plugin Modern Events Calendar rappresenta un rischio significativo per i siti web che utilizzano versioni non aggiornate del plugin. È fondamentale che gli amministratori di siti web aggiornino immediatamente alla versione 7.11.1 o superiore e implementino misure di sicurezza aggiuntive per proteggere i loro sistemi.

Link all’articolo completo su Wordfence

Prosegui la lettura

Sicurezza Informatica

Attacco RADIUS: panoramica dettagliata

Tempo di lettura: 3 minuti. Il protocollo RADIUS può essere compromesso utilizzando tecniche avanzate di collisione MD5 per eseguire attacchi di autenticazione stealth

Pubblicato

in data

Tempo di lettura: 3 minuti.

Il protocollo RADIUS (Remote Authentication Dial-In User Service) è fondamentale per l’infrastruttura di rete moderna ed un attacco inciderebbe molto su scala globale. Sebbene progettato nel 1991, rimane lo standard de facto per l’autenticazione leggera utilizzata per l’accesso remoto a dispositivi di rete. RADIUS è supportato da quasi tutti i prodotti di switch, router, access point e concentratori VPN venduti negli ultimi venti anni.

Meccanismo del Protocollo RADIUS

In RADIUS, un NAS (Network Access Server) funge da client che verifica le credenziali dell’utente finale tramite richieste RADIUS a un server centrale. Il client RADIUS e il server condividono un segreto fisso. Il server risponde con un messaggio di accettazione o rifiuto (Access-Accept o Access-Reject).

Le richieste e le risposte possono contenere campi etichettati chiamati “attributi” che specificano vari parametri, come nome utente e password nella richiesta o accesso alla rete nella risposta. I pacchetti di richiesta includono un valore chiamato Request Authenticator, essenzialmente un nonce casuale, mentre i pacchetti di risposta includono un valore chiamato Response Authenticator, che dovrebbe proteggere l’integrità delle risposte del server.

Vulnerabilità di RADIUS

Costruzione del Response Authenticator

Il Response Authenticator viene calcolato come segue: MD5(Code∣∣ID∣∣Length∣∣Request Authenticator∣∣Packet Attributes∣∣Shared Secret)\text{MD5}(\text{Code} || \text{ID} || \text{Length} || \text{Request Authenticator} || \text{Packet Attributes} || \text{Shared Secret})MD5(Code∣∣ID∣∣Length∣∣Request Authenticator∣∣Packet Attributes∣∣Shared Secret) Dove:

  • ID e Request Authenticator sono valori casuali nella richiesta.
  • Code, Length, e Packet Attributes sono valori nella risposta del server.
  • Shared Secret è il segreto condiviso tra client e server, sconosciuto all’attaccante.

Attacco contro RADIUS

L’attacco permette a un uomo nel mezzo tra il client e il server RADIUS di falsificare una risposta Access-Accept valida a una richiesta di autenticazione fallita. L’attaccante inietta un attributo Proxy-State malevolo in una richiesta client valida. Questo attributo viene garantito di essere restituito dal server nella risposta. L’attaccante costruisce il Proxy-State in modo che i valori Response Authenticator tra la risposta valida e quella che l’attaccante vuole falsificare siano identici. Questo inganno fa sì che il NAS conceda all’attaccante l’accesso ai dispositivi e servizi di rete senza dover indovinare o forzare le password o i segreti condivisi.

Passaggi dell’Attacco

  1. L’attaccante inserisce il nome utente di un utente privilegiato e una password arbitrariamente errata.
  2. Questo causa al client RADIUS di un dispositivo di rete vittima di generare una richiesta Access-Request, che include un valore casuale di 16 byte chiamato Request Authenticator.
  3. L’attaccante intercetta questa richiesta e utilizza l’Access-Request per prevedere il formato della risposta del server (che sarà un Access-Reject poiché la password inserita è errata). L’attaccante quindi calcola una collisione MD5 tra l’Access-Reject previsto e una risposta Access-Accept che desidera falsificare.
  4. Dopo aver calcolato la collisione, l’attaccante aggiunge RejectGibberish al pacchetto Access-Request, mascherato come attributo Proxy-State.
  5. Il server che riceve questa richiesta modificata verifica la password dell’utente, decide di rifiutare la richiesta e risponde con un pacchetto Access-Reject, includendo l’attributo Proxy-State.
  6. L’attaccante intercetta questa risposta e verifica che il formato del pacchetto corrisponda al modello previsto. Se sì, l’attaccante sostituisce la risposta con Access-Accept e AcceptGibberish e la invia con l’Response Authenticator non modificato al client.
  7. A causa della collisione MD5, l’Access-Accept inviato dall’attaccante viene verificato con l’Response Authenticator, inducendo il client RADIUS a credere che il server abbia approvato la richiesta di login e concedendo l’accesso all’attaccante.

Questa descrizione è semplificata. In particolare, è stato necessario un lavoro crittografico per dividere il gibberish della collisione MD5 tra più attributi Proxy-State formattati correttamente e ottimizzare e parallelizzare l’attacco di collisione MD5 per eseguire in minuti invece che ore.

Per una descrizione completa, si prega di leggere il paper.

Prosegui la lettura

Facebook

CYBERSECURITY

Sicurezza Informatica2 giorni fa

Vulnerabilità in Modern Events Calendar: migliaia di WordPress a rischio

Tempo di lettura: 2 minuti. Vulnerabilità critica nel plugin Modern Events Calendar consente il caricamento arbitrario di file da parte...

Sicurezza Informatica2 giorni fa

Attacco RADIUS: panoramica dettagliata

Tempo di lettura: 3 minuti. Il protocollo RADIUS può essere compromesso utilizzando tecniche avanzate di collisione MD5 per eseguire attacchi...

Sicurezza Informatica2 giorni fa

ViperSoftX sfrutta AutoIt e CLR per l’esecuzione Stealth di PowerShell

Tempo di lettura: 3 minuti. ViperSoftX utilizza AutoIt e CLR per eseguire comandi PowerShell in modo stealth, eludendo i meccanismi...

Sicurezza Informatica2 giorni fa

Malware Poco RAT mira vittime di lingua spagnola

Tempo di lettura: 3 minuti. Poco RAT, nuovo malware che prende di mira le vittime di lingua spagnola con campagne...

Microsoft teams Microsoft teams
Sicurezza Informatica2 giorni fa

Falso Microsoft Teams per Mac distribuisce Atomic Stealer

Tempo di lettura: 2 minuti. Un falso Microsoft Teams per Mac distribuisce il malware Atomic Stealer tramite una campagna di...

CISA logo CISA logo
Sicurezza Informatica2 giorni fa

CISA hackera Agenzia Federale USA: vulnerabilità critiche Svelate

Tempo di lettura: 2 minuti. CISA svela vulnerabilità critiche in un'agenzia federale USA attraverso un'esercitazione di red team SILENTSHIELD

Sicurezza Informatica2 giorni fa

DarkGate usa file Excel per diffondere malware

Tempo di lettura: 3 minuti. DarkGate utilizza file Excel per diffondere malware sofisticato. Scopri come funziona questa minaccia e come...

Sicurezza Informatica3 giorni fa

SSH sotto attacco a causa di bug e vulnerabilità

Tempo di lettura: 3 minuti. Scopri le nuove minacce di CRYSTALRAY e la vulnerabilità di OpenSSH in RHEL 9. Approfondisci...

Sicurezza Informatica4 giorni fa

CoreTech: accordo con TuxCare migliora sicurezza negli ambienti Linux

Tempo di lettura: 2 minuti. L'accordo migliora lo standard qualitativo dell'offerta Linux per quel che concerne la risposta alle vulnerabilità

CISA logo CISA logo
Sicurezza Informatica5 giorni fa

CISA aggiornamenti per Citrix, Adobe, ICS e vulnerabilità sfruttate

Tempo di lettura: 3 minuti. CISA rilascia aggiornamenti per Citrix e Adobe e sette consigli per i sistemi di controllo...

Truffe recenti

Inchieste6 giorni fa

Idealong.com chiuso, ma attenti a marketideal.xyz e bol-it.com

Tempo di lettura: 2 minuti. Dopo aver svelato la truffa Idealong, abbiamo scoperto altri link che ospitano offerte di lavoro...

Inchieste1 settimana fa

Idealong.com spilla soldi ed assolda lavoratori per recensioni false

Tempo di lettura: 4 minuti. Il metodo Idealong ha sostituito Mazarsiu e, dalle segnalazioni dei clienti, la truffa agisce su...

Sicurezza Informatica2 settimane fa

Truffa lavoro online: Mazarsiu sparito, attenti a idealong.com

Tempo di lettura: 2 minuti. Dopo il sito Mazarsiu, abbandonato dai criminali dopo le inchieste di Matrice Digitale, emerge un...

fbi fbi
Sicurezza Informatica1 mese fa

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica1 mese fa

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste2 mesi fa

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Inchieste2 mesi fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Pharmapiuit.com Pharmapiuit.com
Inchieste2 mesi fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste2 mesi fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste2 mesi fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Tech

Antutu logo Antutu logo
Smartphone4 ore fa

I migliori 10 smartphone Android su AnTuTu per Giugno 2024

Tempo di lettura: 5 minuti. I migliori 10 smartphone Android su AnTuTu per giugno 2024, con modelli di ASUS, nubia,...

Smartphone4 ore fa

Realme 13 Pro: specifiche tecniche e prestazioni su Geekbench

Tempo di lettura: 2 minuti. Realme 13 Pro ha specifiche avanzate come il processore Snapdragon 7s Gen 2, fotocamere da...

Tech19 ore fa

Galaxy Z Flip 6 migliora rispetto al 3 e Galaxy Buds 3 meglio del 2

Tempo di lettura: 3 minuti. Galaxy Z Flip 6 ha miglioramenti rispetto al Z Flip 3 ed il nuovo design...

Smartphone19 ore fa

OPPO F27 Pro Plus vs Poco F6: quale scegliere?

Tempo di lettura: 2 minuti. Confronta OPPO F27 Pro Plus e Poco F6: scopri quale smartphone offre migliori specifiche, design,...

Smartphone20 ore fa

Galaxy S25 Ultra e Samsung Exynos 2500: novità e anticipazioni

Tempo di lettura: 2 minuti. Novità sul Galaxy S25 Ultra e l'Exynos 2500 di Samsung, con miglioramenti nel design e...

Tech20 ore fa

Aggiornamenti Chrome: ultime novità per Android, iOS e Desktop

Tempo di lettura: 2 minuti. Scopri gli ultimi aggiornamenti di Chrome Dev e Beta per Android, iOS, ChromeOS e desktop,...

Smartphone20 ore fa

OPPO Reno 12 Pro vs OnePlus 12R: quale scegliere?

Tempo di lettura: 3 minuti. Confronta OPPO Reno 12 Pro 5G e OnePlus 12R 5G: scopri quale smartphone offre migliori...

Smartphone2 giorni fa

Nubia Z60 Ultra con Snapdragon 8 Gen 3 Leading Version in arrivo

Tempo di lettura: 2 minuti. Nubia Z60 Ultra con Snapdragon 8 Gen 3 Leading Version potente per prestazioni estreme: caratteristiche...

Smartphone2 giorni fa

Motorola Edge 50 Neo e Infinix Zero Flip: specifiche, colori e novità

Tempo di lettura: 2 minuti. Scopri le specifiche e i colori del Motorola Edge 50 Neo e dell'Infinix Zero Flip,...

Intelligenza Artificiale2 giorni fa

Goldman Sachs: Intelligenza Artificiale è troppo costosa e inaffidabile?

Tempo di lettura: 2 minuti. Opinioni contrastanti in Goldman Sachs sugli investimenti in AI, i loro costi elevati e l'affidabilità,...

Tendenza