Connect with us

Sicurezza Informatica

World of Warcraft e altri giochi Blizzard bloccati a causa di un attacco DDoS

Tempo di lettura: < 1 minuto. Blizzard è al corrente del problema e sta lavorando per risolverlo

Pubblicato

in data

Tempo di lettura: < 1 minuto.

Se non riesci a collegarti a World of Warcraft al momento, non sei il solo: Battle.net è stato oggetto di un attacco DDoS, lasciando milioni di giocatori impossibilitati ad accedere alla libreria di giochi Blizzard, come WoW, Overwatch e altri ancora. Alcuni utenti segnalano anche di essere stati espulsi dai loro giochi nonostante fossero già connessi.

Il riconoscimento dell’attacco da parte di Blizzard

Blizzard ha riconosciuto l’attacco, twittando quanto segue:

“Siamo attualmente vittime di un attacco DDoS, che può causare alta latenza e disconnessioni per alcuni giocatori. Stiamo lavorando attivamente per mitigare questo problema.”

L’impatto sull’esperienza di gioco

A causa dell’attacco DDoS, molti giocatori stanno riscontrando problemi nel collegarsi ai loro giochi preferiti di Blizzard. Questa situazione potrebbe persistere finché l’azienda non riuscirà a trovare una soluzione efficace per contrastare l’attacco in corso.

Cosa fare nel frattempo

Per il momento, si consiglia ai giocatori di avere pazienza e di monitorare gli aggiornamenti da parte di Blizzard riguardo alla situazione. È importante ricordare che si tratta di un problema temporaneo e che l’azienda sta lavorando alacremente per garantire che tutti possano tornare a giocare nel più breve tempo possibile.

Sicurezza Informatica

Ransomware gang mira Windows con malvertising di PuTTy e WinSCP

Tempo di lettura: 2 minuti. Un’operazione ransomware prende di mira gli amministratori Windows tramite annunci pubblicitari falsi di PuTTy e WinSCP

Pubblicato

in data

Gruppo ransomware mira Windows con malvertising di PuTTy e WinSCP
Tempo di lettura: 2 minuti.

Un’operazione ransomware sta prendendo di mira gli amministratori di sistema Windows utilizzando annunci pubblicitari falsi su Google per promuovere siti di download fasulli di PuTTy e WinSCP. Questi strumenti sono comunemente usati dagli amministratori per la gestione remota di server, rendendoli obiettivi preziosi per i criminali informatici che desiderano diffondersi rapidamente attraverso una rete, rubare dati e ottenere l’accesso ai controller di dominio per distribuire ransomware.

Dettagli della campagna

Un recente rapporto di Rapid7 ha rilevato una campagna pubblicitaria sui motori di ricerca che mostrava annunci per siti falsi di PuTTy e WinSCP quando gli utenti cercavano “download winscp” o “download putty” dimostratisi poi vettori di ransomware. Questi annunci utilizzavano nomi di dominio typo-squatting come puutty.org, wnscp.net e vvinscp.net per ingannare gli utenti.

I siti falsi includevano link di download che, quando cliccati, indirizzavano l’utente a siti legittimi o scaricavano un archivio ZIP contenente un eseguibile Setup.exe, che era una versione rinominata e legittima di pythonw.exe per Windows, e un file DLL dannoso python311.dll.

Meccanismo di attacco

Quando l’eseguibile pythonw.exe viene lanciato, tenta di caricare un file DLL legittimo. Tuttavia, i criminali informatici hanno sostituito questo DLL con una versione dannosa che viene caricata utilizzando la tecnica del DLL Sideloading. L’esecuzione di Setup.exe carica il DLL malevolo, che estrae ed esegue uno script Python criptato.

Questo script infine installa il toolkit post-sfruttamento Sliver, utilizzato per ottenere l’accesso iniziale alle reti aziendali. Rapid7 ha osservato che gli attaccanti utilizzano Sliver per distribuire ulteriori payload, inclusi beacon di Cobalt Strike, per esfiltrare dati e tentare di distribuire un encryptor ransomware.

Similarità con campagne precedenti

Rapid7 ha osservato somiglianze tra questa campagna e quelle viste in passato da Malwarebytes e Trend Micro, che distribuivano il ransomware BlackCat/ALPHV, ora dismesso. Gli annunci sui motori di ricerca sono diventati un problema significativo negli ultimi anni, con numerosi attori malevoli che li utilizzano per diffondere malware e siti di phishing.

Misure di sicurezza

Gli amministratori di sistema devono essere cauti e verificare sempre l’autenticità dei siti di download, evitando di cliccare su annunci pubblicitari non verificati. È fondamentale utilizzare fonti ufficiali per scaricare software e mantenere aggiornati gli strumenti di sicurezza per rilevare e prevenire tentativi di attacco.

Prosegui la lettura

Sicurezza Informatica

Trojan bancario Grandoreiro: nuove campagne globali

Tempo di lettura: 4 minuti. Grandoreiro, il trojan bancario gestito come MaaS, espande le sue campagne di phishing globali con aggiornamenti tecnici significativi. Scopri come proteggerti.

Pubblicato

in data

Tempo di lettura: 4 minuti.

Dal marzo 2024, IBM X-Force ha monitorato diverse campagne di phishing su larga scala che distribuiscono il trojan bancario Grandoreiro, probabilmente gestito come un servizio di malware (MaaS). L’analisi del malware ha rivelato importanti aggiornamenti nell’algoritmo di decodifica delle stringhe e nella generazione dei domini (DGA), nonché la capacità di utilizzare i client Microsoft Outlook su host infetti per diffondere ulteriori email di phishing.

Principali scoperte

  • Grandoreiro è un trojan bancario multi-componente, probabilmente gestito come un MaaS.
  • Viene distribuito attivamente in campagne di phishing che impersonano enti governativi in Messico, Argentina e Sud Africa.
  • Il trojan bancario prende di mira specificamente oltre 1500 applicazioni e siti bancari globali in più di 60 paesi, incluse regioni dell’America Centrale/Sud, Africa, Europa e Indo-Pacifico.
  • L’ultima variante contiene importanti aggiornamenti, inclusi la decodifica delle stringhe e il calcolo del DGA, permettendo almeno 12 domini C2 differenti al giorno.
  • Grandoreiro supporta la raccolta di indirizzi email dagli host infetti e l’utilizzo del client Microsoft Outlook per inviare ulteriori campagne di phishing.

Espansione delle campagne di Grandoreiro

Campagne focalizzate in LATAM

Dalla fine di marzo 2024, X-Force ha osservato campagne di phishing che impersonano il Servizio di Amministrazione Fiscale del Messico (SAT), la Commissione Federale dell’Elettricità (CFE), la Segreteria di Amministrazione e Finanze di Città del Messico e il Servizio Fiscale di Argentina. Le email prendono di mira utenti in America Latina, inclusi i domini di primo livello (TLD) di Messico, Colombia e Cile.

Le campagne cercano di apparire ufficiali e urgenti, informando i destinatari che stanno ricevendo un avviso finale riguardante un debito fiscale non pagato, con potenziali conseguenze come multe e blocco del numero di identificazione fiscale. Altre campagne ricordano agli utenti l’iscrizione a servizi come CFEMail, fornendo accesso alle dichiarazioni di conto tramite link. Un’altra campagna imita la Segreteria di Amministrazione e Finanze, chiedendo ai destinatari di cliccare su un PDF per leggere i dettagli di un avviso di conformità. In ogni campagna, i destinatari sono istruiti a cliccare su un link per visualizzare una fattura o fare un pagamento. Se il destinatario è in un paese specifico, viene scaricato un file ZIP contenente un eseguibile mascherato da PDF.

Campagna che impersona il Servizio Fiscale del Sud Africa

Recentemente, X-Force ha osservato una campagna di phishing che impersona il Servizio Fiscale del Sud Africa (SARS), purporting to be from the Taxpayer Assistance Services Division. Queste campagne raggiungono anche utenti in Spagna, Giappone, Paesi Bassi e Italia, indicando un’espansione oltre LATAM. Le email riferiscono un numero fiscale e informano il destinatario che sta ricevendo una fattura fiscale elettronica in conformità con le normative di SARS.

Analisi: Loader di Grandoreiro

Il loader di Grandoreiro esegue tre compiti principali:

  1. Verifica se il client è una vittima legittima.
  2. Raccoglie dati di base della vittima e li invia al C2.
  3. Scarica, decrittografa ed esegue il trojan bancario Grandoreiro.

Decodifica delle stringhe

Il loader genera una chiave di grandi dimensioni, codificata in tripla Base64, e utilizza una decodifica personalizzata per convertirla in una serie di caratteri esadecimali interpretati come byte. Il risultato viene decrittografato con un algoritmo personalizzato di Grandoreiro, seguito da una decrittografia AES CBC a 256 bit per recuperare la stringa in chiaro.

Verifica e profilazione della vittima

Il loader raccoglie informazioni come nome del computer, nome utente, versione del sistema operativo, antivirus installato e indirizzo IP pubblico. Utilizza queste informazioni per verificare che la vittima non sia un ricercatore o un ambiente sandbox, e per profilare la vittima inviando i dati al C2.

  • Public IP country
  • Public IP region
  • Public IP city
  • Computer name
  • Username
  • OS Version information
  • Installed AV solution
  • Check in the registry subkey “Software\Clients\Mail” if the Outlook mail client is installed. If true, the value is set to “SIM”, which means “Yes” in Portuguese
  • Check if crypto-wallets exist: Binance, Electrum, Coinomi, Bitbox, OPOLODesk, Bitcoin
  • Check if special banking security software is installed: IBM Trusteer, Topaz OFD, Diebold
  • Number of Desktop monitors
  • Volume Serial Number
  • Date of infection
  • Time of infection

Comunicazione C2 e caricamento di Grandoreiro

Il loader invia una richiesta HTTP GET crittografata al server C2, richiedendo il payload finale di Grandoreiro. Se la richiesta ha successo, il server risponde con un URL di download, un nome di directory e altre informazioni necessarie. Il file scaricato viene decrittografato e decompresso, pronto per l’esecuzione.

Le recenti campagne di phishing che distribuiscono il trojan bancario Grandoreiro dimostrano una notevole espansione geografica e sofisticazione tecnica. Le organizzazioni devono rimanere vigili, monitorare il traffico di rete per rilevare potenziali infezioni e adottare misure di sicurezza proattive per proteggere i propri sistemi.

Prosegui la lettura

Sicurezza Informatica

Vulnerabilità RCE zero-day nei router D-Link EXO AX4800

Pubblicato

in data

D-Link EXO AX4800
Tempo di lettura: 2 minuti.

Un gruppo di ricercatori di SSD Secure Disclosure ha scoperto una vulnerabilità critica nei router D-Link EXO AX4800 (DIR-X4860), che consente l’esecuzione di comandi remoti non autenticati (RCE). Questa falla può portare a compromissioni complete dei dispositivi da parte di aggressori con accesso alla porta HNAP (Home Network Administration Protocol).

Dettagli sulla vulnerabilità

Il router D-Link DIR-X4860 è un dispositivo Wi-Fi 6 ad alte prestazioni, capace di raggiungere velocità fino a 4800 Mbps e dotato di funzionalità avanzate come OFDMA, MU-MIMO e BSS Coloring. Nonostante sia molto popolare in Canada e venduto a livello globale, il dispositivo presenta una vulnerabilità che può essere sfruttata per ottenere privilegi elevati e eseguire comandi come root.

La vulnerabilità è presente nella versione firmware DIRX4860A1_FWV1.04B03. Gli aggressori possono combinare un bypass di autenticazione con l’esecuzione di comandi per compromettere completamente il dispositivo.

Processo di sfruttamento

Il team di SSD ha pubblicato un proof-of-concept (PoC) dettagliato che illustra il processo di sfruttamento della vulnerabilità:

  1. Accesso alla porta HNAP: Solitamente accessibile tramite HTTP (porta 80) o HTTPS (porta 443) attraverso l’interfaccia di gestione remota del router.
  2. Richiesta di login HNAP: Un attacco inizia con una richiesta di login HNAP appositamente creata, che include un parametro chiamato ‘PrivateLogin’ impostato su “Username” e un nome utente “Admin”.
  3. Risposta del router: Il router risponde con una sfida, un cookie e una chiave pubblica, utilizzati per generare una password di login valida per l’account “Admin”.
  4. Bypass dell’autenticazione: Una successiva richiesta di login con l’header HNAP_AUTH e la password generata consente di bypassare l’autenticazione.
  5. Iniezione di comandi: Una vulnerabilità nella funzione ‘SetVirtualServerSettings’ permette l’iniezione di comandi tramite il parametro ‘LocalIPAddress’, eseguendo il comando nel contesto del sistema operativo del router.

Richiesta di login che bypassa l'autenticazione Fonte: SSD Secure Disclosure

Nel frattempo, è consigliato agli utenti del DIR-X4860 di disabilitare l’interfaccia di gestione remota del dispositivo per prevenire possibili sfruttamenti.

Prosegui la lettura

Facebook

CYBERSECURITY

D-Link EXO AX4800 D-Link EXO AX4800
Sicurezza Informatica1 giorno fa

Vulnerabilità RCE zero-day nei router D-Link EXO AX4800

Tempo di lettura: 2 minuti. Un gruppo di ricercatori di SSD Secure Disclosure ha scoperto una vulnerabilità critica nei router...

SEC logo SEC logo
Sicurezza Informatica1 giorno fa

SEC: “notificare la violazione dei dati entro 30 giorni”

Tempo di lettura: 2 minuti. La SEC richiede alle istituzioni finanziarie di notificare le violazioni dei dati agli individui interessati...

Sicurezza Informatica2 giorni fa

Microsoft Azure: autenticazione multi-fattore (MFA) obbligatoria da luglio 2024

Tempo di lettura: 2 minuti. Microsoft inizierà a imporre l'autenticazione multi-fattore (MFA) per gli utenti di Azure a partire da...

Sicurezza Informatica2 giorni fa

USA arrestati sospetti dietro schema riciclaggio da 73 milioni

Tempo di lettura: 2 minuti. Gli Stati Uniti arrestano due sospetti accusati di guidare uno schema di riciclaggio di $73...

quick assist quick assist
Sicurezza Informatica3 giorni fa

Quick Assist di Microsoft sfruttato per ingegneria sociale

Tempo di lettura: 2 minuti. Storm-1811 sfrutta Quick Assist di Microsoft in attacchi ransomware tramite tecniche di ingegneria sociale. Scopri...

breachforums offline breachforums offline
Sicurezza Informatica4 giorni fa

BreachForums è offline e sotto il controllo dell’FBI

Tempo di lettura: 2 minuti. Il noto portale di annunci legati al crimine informatico dove si vendono i dati trafugati...

Cisco Talos Cisco Talos
Sicurezza Informatica5 giorni fa

Talos e CISA collaborano contro minacce Cyber a ONG e attivisti

Tempo di lettura: 2 minuti. Talos e CISA collaborano per proteggere le organizzazioni della società civile da minacce cyber, promuovendo...

Unit 42 Unit 42
Sicurezza Informatica6 giorni fa

DNS Tunneling: per tracciare vittime di Phishing

Tempo di lettura: 2 minuti. Gli hacker utilizzano il tunneling DNS per scandagliare le reti e tracciare le vittime, sfruttando...

Synlab Italia rivendicazione di Black Basta Synlab Italia rivendicazione di Black Basta
Sicurezza Informatica6 giorni fa

Black Basta Ransomware è diventato un problema mondiale

Tempo di lettura: 2 minuti. Black Basta Ransomware ha colpito più di 500 entità in vari settori, sottolineando la crescente...

cy4gaTE cy4gaTE
Economia6 giorni fa

Cy4Gate: accordo da un milione con Innovery

Tempo di lettura: 2 minuti. Cy4Gate rafforza la sua presenza nel mercato con una nuova partnership strategica con Innovery e...

Truffe recenti

Pharmapiuit.com Pharmapiuit.com
Inchieste22 ore fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste1 giorno fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste2 giorni fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Sicurezza Informatica2 settimane fa

BogusBazaar falsi e-commerce usati per una truffa da 50 milioni

Tempo di lettura: 2 minuti. Oltre 850,000 persone sono state ingannate da una rete di 75,000 falsi negozi online, con...

Sicurezza Informatica2 settimane fa

Truffatori austriaci scappano dagli investitori, ma non dalla legge

Tempo di lettura: 2 minuti. Le forze dell'ordine hanno smascherato e arrestato un gruppo di truffatori austriaci dietro una frode...

Shein Shein
Truffe online1 mese fa

Truffa dei buoni SHEIN da 300 euro, scopri come proteggerti

Tempo di lettura: < 1 minuto. La truffa dei buoni SHEIN da 300 euro sta facendo nuovamente vittime in Italia,...

OSINT2 mesi fa

USA interviene per recuperare 2,3 Milioni dai “Pig Butchers” su Binance

Tempo di lettura: 2 minuti. Il Dipartimento di Giustizia degli USA interviene per recuperare 2,3 milioni di dollari in criptovalute...

dimarcoutletfirenze sito truffa dimarcoutletfirenze sito truffa
Inchieste3 mesi fa

Truffa dimarcoutletfirenze.com: merce contraffatta e diversi dalle prenotazioni

Tempo di lettura: 2 minuti. La segnalazione alla redazione di dimarcoutletfirenze.com si è rivelata puntuale perchè dalle analisi svolte è...

sec etf bitcoin sec etf bitcoin
Economia4 mesi fa

No, la SEC non ha approvato ETF del Bitcoin. Ecco perchè

Tempo di lettura: 3 minuti. Il mondo delle criptovalute ha recentemente assistito a un evento senza precedenti: l’account Twitter ufficiale...

Sicurezza Informatica5 mesi fa

Europol mostra gli schemi di fronde online nel suo rapporto

Tempo di lettura: 2 minuti. Europol’s spotlight report on online fraud evidenzia che i sistemi di frode online rappresentano una grave...

Tech

Smartphone3 minuti fa

Realme GT 6T: Display da 120Hz e specifiche tecniche rivelate

Tempo di lettura: 2 minuti. Il Realme GT 6T verrà lanciato in India con un display LTPO a 120Hz, Snapdragon...

Tech23 minuti fa

WhatsApp migliora la privacy con la funzione Cross-Device Chat Lock

Tempo di lettura: 2 minuti. WhatsApp Cross-Device Chat Lock migliora la privacy, proteggendo le chat private su tutti i dispositivi...

Mac Studio Pro Mac Studio Pro
Tech33 minuti fa

Nessun nuovo Mac Studio e Mac Pro fino alla metà del 2025

Tempo di lettura: 2 minuti. Apple non aggiornerà i Mac Studio e Mac Pro fino alla metà del 2025, secondo...

Intelligenza Artificiale43 minuti fa

Perché l’analisi del sentiment necessita di rilevare il sarcasmo?

Tempo di lettura: 2 minuti. Scopri come un nuovo algoritmo multimodale sviluppato dall'Università di Groningen migliora il rilevamento del sarcasmo,...

Samsung Galaxy Ring Samsung Galaxy Ring
Tech4 ore fa

Samsung Galaxy Ring: svelate le ultime misure

Tempo di lettura: < 1 minuto. Scopri i dettagli del Samsung Galaxy Ring, disponibile in nove misure e dotato di...

Galaxy S21 FE Galaxy S21 FE
Smartphone5 ore fa

Galaxy S21 FE supporta l’app Camera Assistant di Samsung

Tempo di lettura: < 1 minuto. Galaxy S21 FE supporta ora l'app Camera Assistant di Samsung, permettendo agli utenti di...

Oppo Find X7 Ultra Oppo Find X7 Ultra
Smartphone5 ore fa

Oppo Find X7 Ultra: arriva modalità fotocamera 25MP salvaspazio

Tempo di lettura: 2 minuti. L'Oppo Find X7 Ultra riceve un aggiornamento che introduce modalità fotocamera da 25MP, migliorando la...

Tech5 ore fa

One UI 7 (Android 15) migliora durata batteria su Galaxy

Tempo di lettura: 2 minuti. One UI 7 (Android 15) porta significativi miglioramenti nella durata della batteria per dispositivi Galaxy...

Tech5 ore fa

Riparabilità iPad Pro da 13 pollici è facile, la Pencil no

Tempo di lettura: 2 minuti. Il nuovo OLED iPad Pro da 13 pollici offre miglioramenti nella riparabilità, con una batteria...

render razr 50 ultra render razr 50 ultra
Smartphone23 ore fa

Rivelati i render dei Motorola Razr 50 e Razr 50 Ultra

Tempo di lettura: 2 minuti. Scopri le specifiche e i render dei nuovi Motorola Razr 50 e Razr 50 Ultra,...

Tendenza