Sicurezza Informatica
Trend Micro presenta Batloader: dal sideloading al SEO, il malware è servito
Tempo di lettura: 3 minuti. Come si diffonde e quali sono i software conosciuti che utilizza per nascondersi
Discutiamo le campagne di malware Batloader che abbiamo osservato nell’ultimo trimestre del 2022, compresa la nostra analisi degli eventi legati a Water Minyades (questo è il set di intrusioni che rintracciamo dietro la creazione di Batloader).
Batloader (rilevato da Trend Micro come Trojan.Win32.BATLOADER), è una famiglia di malware ad accesso iniziale nota per l’utilizzo di tecniche di malvertising e per l’uso di malware basato su script all’interno di pacchetti Microsoft Software Installation (MSI) scaricati da siti web dall’aspetto legittimo ma malevolo. All’inizio di quest’anno, i ricercatori di Mandiant hanno osservato che Batloader utilizza tecniche di avvelenamento dei motori di ricerca (SEO) nei suoi attacchi.
Batloader è associato a un set di intrusioni che abbiamo battezzato “Water Minyades”. Gli attori dietro Water Minyades sono noti per aver diffuso altre minacce informatiche nell’ultimo trimestre del 2022, come Qakbot, RaccoonStealer e Bumbleloader tramite tecniche di social engineering.
Capacità di Batloader
Il Batloader anti-sandbox è solitamente gonfiato fino a raggiungere dimensioni molto grandi, essendo allegato a un file di installazione legittimo. Questo può impedire alle sandbox con limiti di dimensione dei file di esplodere correttamente e di osservare il comportamento del file.
Fingerprints host Batloader esegue il fingerprints dell’host per determinare se si tratta di una vittima legittima. Controlla gli artefatti dell’ambiente, come l’utente, il nome del computer e se è collegato a un dominio.
Comunica con C&C Batloader è un malware modulare che comunica con il suo server C&C ed è stato osservato rilasciare malware in base alle specifiche dell’host vittima che ha infettato. Se l’host vittima appartiene a un ambiente aziendale, è più probabile che rilasci lo strumento di gestione remota Atera e il beacon Cobalt Strike, che porterebbe poi alla distribuzione del ransomware.
Arresta i servizi del software di sicurezza Batloader esegue script open-sourced che tentano di arrestare i servizi relativi al software di sicurezza, come Windows Defender.
Escalation dei privilegi Batloader abusa di strumenti legittimi come NirCmd.exe e Nsudo.exe per escalation dei privilegi.
Evade le soluzioni antivirus (AV) Batloader utilizza diverse tecniche per tentare di eludere le soluzioni antivirus, ad esempio ipergonfiando le dimensioni dei file MSI per i motori antivirus che hanno limiti di dimensioni dei file, utilizzando script modulari notevolmente corti che possono essere difficili da rilevare strutturalmente, acquisendo firme digitali legittime per i file MSI, offuscando gli script che si connettono ai server di comando e controllo (C&C) di Batloader e abusando di servizi di condivisione di file legittimi per ospitare payload di malware.
Installa altri componenti Batloader utilizza un approccio modulare in cui il payload del primo stadio della campagna è solitamente un file MSI in bundle con script di azione personalizzati. Gli altri componenti della campagna, compresi gli strumenti legittimi che scaricherà per aumentare i suoi privilegi e scaricare altro malware, saranno scaricati da questi script.
Installa altro malware Batloader è stato osservato rilasciare diversi payload di malware, come Ursnif, Vidar, Bumbleloader, RedLine Stealer, ZLoader, Cobalt Strike e SmokeLoader. Può anche rilasciare strumenti di gestione remota legittimi, come Syncro e Atera. Batloader è anche un elemento chiave per il ransomware Royal, la seconda famiglia di ransomware più diffusa che abbiamo osservato di recente.
Esame del set di intrusione Water Minyades
Water Minyades è noto per fare molto affidamento sulle tecniche di elusione della difesa, una delle quali consiste nel distribuire payload con file di dimensioni molto grandi per eludere l’analisi delle sandbox e i limiti di dimensione dei file dei motori antivirus. Water Minyades abusa anche di strumenti legittimi, come lo strumento di gestione del sistema NSudo e lo strumento di crittografia delle e-mail e dei file Gpg4win, per elevare i privilegi e decriptare i payload dannosi. Questo set di intrusioni abusa anche delle firme digitali legittime dei file MSI, sfrutta le vulnerabilità relative alle firme PE Authenticode di Windows per eseguire script dannosi che sono stati aggiunti alle DLL (librerie di collegamenti dinamici) firmate e utilizza script che possono essere facilmente modificati per eludere i motori di scansione che si basano su tecniche di rilevamento delle firme strutturali.
Diffusione
Utilizzando i dati di feedback di Trend Micro™ Smart Protection Network™ (SPN), abbiamo determinato che gli attacchi Batloader sono diffusi soprattutto negli Stati Uniti, in Canada, Germania, Giappone e Regno Unito.
Attenzione quando scaricate questi programmi
Batloader arriva solitamente tramite siti web dannosi che si spacciano per software o applicazioni legittime. Le vittime possono essere reindirizzate a questi siti web tramite tecniche di malvertising e falsi commenti sui forum contenenti link che portano ai siti web di distribuzione di Batloader.
Sulla base delle nostre indagini, abbiamo determinato che Batloader impersona una serie di siti web legittimi di software e applicazioni nella sua campagna:
Adobe
AnyDesk
Audacity
Blender
CCleaner
FileZilla
Fortinet
Foxit
GetNotes
Google Editor
Grammarly
Java
KMSAuto
LogmeIn
Luminar
Minersoft
Putty
Schwab
Slack
TeamViewer
TradingView
uTorrent
WinRAR
Zoho
Zoom
Sicurezza Informatica
Microsoft: più sicurezza in Office 2024 e Bing rimuove revenge porn
Tempo di lettura: 3 minuti. Microsoft disabilita i controlli ActiveX in Office 2024 e rimuove il revenge porn dai risultati di ricerca Bing grazie a un nuovo strumento di protezione.
Microsoft continua a rafforzare la sicurezza dei suoi prodotti con due importanti aggiornamenti. Da un lato, con il lancio di Office 2024, la società ha deciso di disabilitare per impostazione predefinita i controlli ActiveX, riducendo così i rischi di attacchi malware attraverso vulnerabilità conosciute e, dall’altro, sta intensificando gli sforzi per combattere la diffusione di revenge porn e immagini intime non consensuali su Bing, grazie alla partnership con StopNCII. Entrambe le iniziative riflettono l’impegno di Microsoft nel proteggere la sicurezza e la privacy dei propri utenti, sia a livello aziendale che personale.
Microsoft Office 2024 disabiliterà i controlli ActiveX per migliorare la sicurezza
Con l’uscita di Microsoft Office 2024 prevista per ottobre, la società disabiliterà per impostazione predefinita i controlli ActiveX su Word, Excel, PowerPoint e Visio, segnando un’importante svolta nella sicurezza dei suoi applicativi. ActiveX, introdotto nel 1996, è un framework software che consente agli sviluppatori di creare oggetti interattivi integrabili nei documenti di Office. Tuttavia, a causa delle sue ben note vulnerabilità di sicurezza, Microsoft ha deciso di limitarne l’uso.
A partire da ottobre 2024, i documenti aperti nelle versioni desktop di Office Win32 disabiliteranno automaticamente i controlli ActiveX, con l’espansione di questa modifica anche alle app di Microsoft 365 entro aprile 2025. Secondo un annuncio nel centro messaggi di Microsoft 365, la nuova configurazione predefinita passerà da “chiedere prima di abilitare tutti i controlli con restrizioni minime” a “disabilitare tutti i controlli” senza alcuna notifica.
Gli utenti non potranno più creare o interagire con oggetti ActiveX nei documenti di Office. Alcuni oggetti esistenti appariranno come immagini statiche, ma non saranno più interattivi. Questa mossa fa parte di un più ampio sforzo da parte di Microsoft per disabilitare funzionalità che sono state frequentemente sfruttate per attacchi malware, come l’uso di ActiveX da parte di hacker per diffondere malware come TrickBot e Cobalt Strike.
La disabilitazione di ActiveX segue altre modifiche simili di Microsoft negli ultimi anni, come il blocco dei macro Excel 4.0 (XLM) e delle macro VBA. Queste misure riflettono la crescente attenzione dell’azienda per la sicurezza dei suoi utenti, in un contesto in cui i cybercriminali continuano a sfruttare vulnerabilità di vecchia data per attacchi su larga scala.
Per gli utenti che necessitano ancora di utilizzare i controlli ActiveX, è possibile riabilitarli modificando le impostazioni nel Trust Center o nel registro di sistema. Tuttavia, considerando i rischi associati a questi controlli, la scelta di disabilitarli di default rappresenta una significativa misura di prevenzione contro potenziali attacchi informatici.
Microsoft rimuove il Revenge Porn da Bing con un nuovo strumento di sicurezza
Microsoft ha annunciato una nuova partnership con StopNCII per la rimozione proattiva di immagini intime non consensuali da Bing. Grazie a questa collaborazione, le persone possono creare hash digitali dei loro contenuti sensibili senza dover caricare immagini o video sui server. Questi hash vengono poi aggiunti a un database globale utilizzato da piattaforme come Facebook, TikTok, Instagram e altre, per identificare e rimuovere rapidamente immagini non consensuali.
StopNCII, gestito dalla Revenge Porn Helpline, permette di prevenire la diffusione di materiale intimo senza richiedere la condivisione diretta dei contenuti. Microsoft ha iniziato a utilizzare questa tecnologia su Bing e ha già agito su oltre 268.899 immagini fino alla fine di agosto 2024. La collaborazione include anche l’uso della tecnologia PhotoDNA di Microsoft, che crea impronte digitali dei contenuti per identificare e rimuovere efficacemente immagini intime non consensuali.
Con l’aumento delle immagini generate da intelligenza artificiale, come i deepfake, il problema della diffusione di materiale intimo non consensuale è diventato più complesso. Microsoft ha sviluppato una procedura per consentire alle vittime di segnalare manualmente immagini false o autentiche per la rimozione dai risultati di ricerca di Bing tramite la pagina “Report a Concern”.
Questa iniziativa è parte di un più ampio sforzo globale per proteggere la privacy degli individui e limitare l’impatto devastante del revenge porn e delle immagini intime non consensuali. Mentre Microsoft è all’avanguardia in questo campo, altre aziende, come Google, offrono strumenti simili per la rimozione di contenuti sensibili, sebbene non abbiano ancora adottato StopNCII.
Le recenti iniziative di Microsoft dimostrano un chiaro impegno per migliorare la sicurezza delle proprie piattaforme, riducendo i rischi per gli utenti, sia nelle applicazioni aziendali come Office 2024, sia negli ambienti di ricerca online come Bing. Disabilitando ActiveX e rimuovendo contenuti sensibili tramite hash digitali, Microsoft sta puntando a un futuro digitale più sicuro e rispettoso della privacy degli individui.
Sicurezza Informatica
Vulnerabilità di sicurezza nei token YubiKey 5: attacco EUCLEAK
Tempo di lettura: 2 minuti. Vulnerabilità nei dispositivi YubiKey 5 sfrutta un attacco canale laterale, permettendo di clonare i token FIDO
Nel settembre 2024, è stata scoperta una vulnerabilità critica nei token di autenticazione hardware della serie YubiKey 5, basati su microcontrollori di sicurezza prodotti da Infineon. Questa vulnerabilità, denominata EUCLEAK, è stata rivelata attraverso uno studio condotto dal team di ricerca NinjaLab. L’attacco sfrutta un canale laterale per compromettere la chiave segreta del protocollo ECDSA implementato nei microcontrollori di sicurezza Infineon SLE78, utilizzati nei dispositivi di autenticazione FIDO, come la serie YubiKey 5.
I token hardware FIDO, come la serie YubiKey 5, sono ampiamente utilizzati per l’autenticazione sicura degli utenti, soprattutto per la protezione contro attacchi di phishing. Tuttavia, la sicurezza di questi dispositivi si basa su una corretta implementazione delle primitive crittografiche, in particolare l’algoritmo di firma digitale a curva ellittica (ECDSA), che gestisce chiavi crittografiche sensibili.
La ricerca di NinjaLab si è concentrata sul microcontrollore Infineon SLE78, integrato nei dispositivi YubiKey. Grazie all’analisi su un dispositivo simile, la JavaCard Feitian A22, i ricercatori sono riusciti a comprendere il funzionamento dell’implementazione crittografica di Infineon e a identificare una vulnerabilità nel processo di inversione modulare dell’algoritmo ECDSA.
Attacco canale laterale e vulnerabilità individuata
L’attacco EUCLEAK si basa su misurazioni elettromagnetiche (EM) del dispositivo target. L’attacco richiede un breve accesso fisico al dispositivo, durante il quale l’aggressore può acquisire tracce elettromagnetiche delle operazioni crittografiche eseguite dal dispositivo durante il calcolo della firma ECDSA. In particolare, è stato rilevato che l’implementazione di Infineon non è costante nel tempo durante l’inversione modulare, lasciando una finestra per l’estrazione della chiave privata.
Dopo l’acquisizione delle tracce, i ricercatori sono riusciti a recuperare la chiave segreta utilizzata dal dispositivo per firmare le richieste di autenticazione. Ciò consente di clonare il dispositivo FIDO, rendendo possibile l’accesso a tutti gli account associati al token senza che l’utente legittimo ne sia a conoscenza.
Impatto e prodotti vulnerabili
Secondo NinjaLab, tutte le versioni di firmware della serie YubiKey 5 precedenti alla versione 5.7 sono vulnerabili a questo attacco. Questo include non solo i token di autenticazione FIDO, ma anche altri dispositivi basati su microcontrollori Infineon, come i TPM (Trusted Platform Module) e altri sistemi di sicurezza critici.
La vulnerabilità interessa un’ampia gamma di dispositivi che utilizzano la libreria crittografica di Infineon, tra cui portafogli hardware per criptovalute, smart card, passaporti elettronici e dispositivi IoT connessi alla sicurezza.
Mitigazioni e conclusioni
Infineon ha confermato di aver sviluppato una patch che risolve la vulnerabilità, e un aggiornamento del firmware è stato rilasciato per i dispositivi YubiKey 5. Tuttavia, l’attacco dimostra che anche i dispositivi altamente certificati, come quelli sottoposti a valutazioni AVA VAN 5, possono presentare vulnerabilità critiche se sottoposti a metodi di attacco avanzati.
Sicurezza Informatica
Vende vulnerabilità per OnlyFans e infetta criminali
Tempo di lettura: 2 minuti. Un attacco hacker a OnlyFans si ritorce contro i criminali, trasformandoli in vittime di un sofisticato malware. Scopri come si evolve il crimine informatico.
Un’operazione sofisticata ha trasformato i criminali informatici intenzionati a sfruttare le vulnerabilità di OnlyFans in vittime. Questo episodio dimostra che anche nel mondo del cybercrimine, chi cerca di sfruttare le falle altrui può facilmente diventare una vittima.
Il fenomeno dei “Checker” di OnlyFans
Un utente di un forum di hacking, Bilalkhanicom, ha proposto un presunto strumento per “controllare” gli account di OnlyFans. Questo strumento, chiamato checker, prometteva di verificare combinazioni di credenziali rubate e di accedere a informazioni sensibili sugli account, come i metodi di pagamento o i privilegi di creatore. Tuttavia, dietro questo strumento si nascondeva un malware sofisticato, noto come Lummac Stealer.
Lummac Stealer: il malware che colpisce i criminali
Lummac Stealer è un malware pericoloso, emerso nel 2022, creato da un attore noto come Lumma. Sfrutta un modello di Malware-as-a-Service (MaaS), che lo rende accessibile a una vasta gamma di cybercriminali. Questo malware è progettato per rubare dati sensibili, inclusi portafogli di criptovalute e informazioni legate all’autenticazione a due fattori (2FA), inviando i dati rubati a un server di comando e controllo tramite richieste HTTP POST.
Inganno nel mondo del crimine informatico
Bilalkhanicom ha esteso questa trappola a diverse piattaforme, tra cui Disney+, Instagram e reti botnet, con strumenti come DisneyChecker.exe e InstaCheck.exe e quindi ha una vulnerabilità per ogni cliente non interessato necessariamente da OnlyFans. Ogni eseguibile è una bomba digitale pronta a colpire gli stessi hacker che cercano di usarli per scopi malevoli.
- L'Altra Bolla1 settimana fa
Apple e Google rivoluzionano l’AI per il 2024
- Economia1 settimana fa
Huawei: forte crescita nel 2024 che impoverisce Apple
- Tech1 settimana fa
Aggiornamento Windows 10 KB5041582: novità e correzioni
- Economia1 settimana fa
Xiaomi produce i chip, Samsung compra Nokia
- Economia1 settimana fa
Buoni pasto elettronici: cosa sono e quali vantaggi offrono
- Sicurezza Informatica1 settimana fa
Campagna di spionaggio contro la Cina SLOW#TEMPEST
- Sicurezza Informatica1 settimana fa
TrenMicro, vulnerabilità CVE-2023-22527 e attacchi in Medio Oriente
- Sicurezza Informatica1 settimana fa
Pidgin, Plugin ScreenShareOTR infiltra malware DarkGate