Tech
Attenti al nuovo spyware Android di incerta matrice
Tempo di lettura: 3 minuti. I ricercatori di Lab52 hanno identificato uno spyware Android nascosto in un file APK probabilmente attribuito ad un gruppo nation-state

I ricercatori di Lab52 hanno individuato una app dal nome “Process Manager” che in realtà fungerebbe da spyware Android.
L’installazione dello spyware
Sebbene non sia nota la fonte di distribuzione, una volta installato l’APK Process Manager tenterebbe di nascondersi fingendo di essere un componente del sistema utilizzando un’icona a forma di ingranaggio.

Al suo primo avvio, l’app richiederebbe il consenso su diverse autorizzazioni che rappresentano un serio rischio per la privacy in quanto consentirebbero di ottenere la posizione del dispositivo, inviare e leggere testi, accedere all’archiviazione, scattare foto e registrare audio.

Sebbene non sia chiaro se il malware abusi del servizio di accessibilità Android per ottenere tali autorizzazioni o se induca l’utente alla approvazione, dopo averle ottenute il processo di configurazione rimuove l’icona identificativa e esegue lo spyware in background. Tutte le informazioni raccolte dal dispositivo, inclusi registri, SMS, registrazioni e notifiche di eventi, verrebbero infine inviate in una struttura dati in formato JSON al server di comando e controllo all’indirizzo 82.146.35[.]240.
Inoltre si legge nel rapporto che per avviare ciascuna delle sue attività, il malware possieda dei comandi predefiniti.

In particolare in una delle comunicazioni che il malware sarebbe in grado di effettuate, il team Lab52 avrebbe notato anche il tentativo di scaricare un’applicazione chiamata Rozdhan: Earn Wallet cash utilizzando un link short (goo[.gl\8rd3yj).
Si tratterebbe di una app per guadagnare denaro scaricabile dal Google Play Store India e impiegata abusivamente dall’attaccante per ottenere profitti nascosti.

Incerta attribuzione
Nonostante tale spyware sembri impiegare l’infrastruttura del gruppo nation-state russo “Turla”, i ricercatori Lab52 non non ne ritengano comunque possibile l’attribuzione sulla base delle capacità di questo malware rilevate.
Conclusioni
Coloro che avessero già installato l’applicazione Process Manager credendo che fosse una utility per l’ottimizzazione delle prestazioni del proprio smartphone devono, per ovvi motivi, immediatamente procedere alla sua rimozione evitando anche in futuro di scaricare app da store non ufficiali, fonti terze o reti P2P.
Restano sempre valide le buone regole antiphishing e il consiglio di dotare di un AV anche i propri dispositivi mobili.
Nel momento della stesura dell’articolo risulta ancora insoddisfacente il tasso di rilevamento del malware. E questo purtroppo accresce ulteriormente il rischio d’infezione.

Di seguito gli IoC pubblicati
82[.]146.35.240 | C2 |
e0eacd72afe39de3b327a164f9c69a78c9c0f672d3ad202271772d816db4fad8 | SHA256 |
51ab555404b7215af887df3146ead5e44603be9765d39c533c21b5737a88f176 | SHA256 |
hxxps://videos-share-rozdhan[.]firebaseio.com | URL |
hxxp://ylink[.]cc/fqCV3 | URL |
hxxp://d3hdbjtb1686tn.cloudfront[.]net/gpsdk.html | URL |
hxxp://da.anythinktech[.]com | URL |
akankdev2017@gmail[.]com | EMAIL SRC |
Tech
Snake keylogger, attenti ai malware via PDF
Tempo di lettura: 2 minuti. All’inizio di quest’anno una catena di infezione insolita avrebbe distribuito il malware tramite un documento PDF, un formato non comunemente usato per infettare i PC

In un nuovo rapporto gli analisti di HP Wolf Security hanno illustrato come una recente campagna malspam abbia utilizzato allegati PDF come vettore per documenti con macro dannose che scaricano e installano malware per il furto di informazioni sui computer delle vittime.
La scelta insolita, poiché la maggior parte delle e-mail dannose solitamente arriva con allegati Word o Excel corredati di codice macro per il caricamento di malware, consentirebbe, tuttavia, di ingannare le persone ormai abituate a prestare attenzione agli allegati malevoli di Microsoft Office.
La catena d’infezione
Il PDF allegato alla e-mail farebbe riferimento ad un rimborso a favore del destinatario accrescendo così l’interesse di chi legge ad aprire il PDF (REMMITANCE INVOICE.pdf).
Il PDF una volta aperto richiede all’utente di aprire un file DOCX opportunamente incorporato (l’analisi del file PDF rivela che il file .docx è archiviato come oggetto EmbeddedFile) e rinominato con un nome particolare. Gli autori infatti hanno avuto cura di usare la dicitura “has been verified. however pdf, jpeg, xlsx, ” come nome del file stesso. Questo farebbe in modo di travisare l’intestazione riportata sul prompt “Open file” inducendo i destinatari a credere che Adobe abbia verificato il file come legittimo e che il file sia sicuro da aprire.

L’apertura del DOCX abilitando l’esecuzione macro, scaricherebbe a sua volta un file RTF (f_document_shp.doc) da una risorsa remota (URL hardcoded “vtaurl[.]com/IHytw”).
Lo shellcode crittografato e interno all’RTF sfrutterebbe il difetto CVE-2017-11882 (un bug di esecuzione di codice remoto nell’editor delle equazioni di Microsoft corretto a novembre 2017 ma che ancora risulta disponibile per lo sfruttamento in natura) per scaricare Snake Keylogger (hxxp://192.227.196[.]211/FRESH/fresh.exe) un infostealer modulare con capacità di persistenza, evasione, accesso credenziali, raccolta ed esfiltrazione dei dati.

Adeguata consapevolezza e gestione delle vulnerabilità
“Che gli aggressori utilizzino documenti PDF (e non solo) per caricare exploit ospitati in remoto o shellcode crittografate sui dispositivi target è cosa nota.” , commenta per #MatriceDigitale Domenico Raguseo, Head of Cybersecurity, Exprivia, “Nel caso specifico il malware utilizza una vulnerabilità del 2017 ma che evidentemente in tanti ancora non hanno risolto per qualsivoglia ragione. Ne scaturisce l’importanza di una adeguata gestione delle vulnerabilità, perché se è vero che la vulnerabilità potrebbe non essere risolta, è pur vero che in questo caso si debbano implementare contro-misure adeguate per mitigare il rischio senza lasciare l’utente con il suo istinto di sopravvivenza. Ovviamente anche su questo istinto bisogna lavorare, perché il software perfetto non è stato ancora inventato e senza una adeguata consapevolezza del rischio, qualunque contro-misura risulterà prima o poi non sufficiente.”
Sicuramente la prudenza non è mai troppa.
Notizie
WordPress 6 diventa ufficiale e si chiama Arturo.
Tempo di lettura: < 1 minuto. Presentata la mondo dei webmaster “Arturo”, la versione 6 di WordPress ispirata al musicista jazz vincitore di un Grammy, Arturo O’Farrill. Noto per la sua influenza sul jazz latino contemporaneo, Arturo ha inciso più di 15 album che abbracciano cinque decenni di lavoro.

Presentata la mondo dei webmaster “Arturo”, la versione 6 di WordPress ispirata al musicista jazz vincitore di un Grammy, Arturo O’Farrill. Noto per la sua influenza sul jazz latino contemporaneo, Arturo ha inciso più di 15 album che abbracciano cinque decenni di lavoro.
WordPress è il software open source più utilizzato al mondo per la realizzazione e gestione di siti web. La versione 6.0 rappresenta un ulteriore passo verso il “full site editing”, ovvero la possibilità di modificare ogni pixel del tuo sito, senza utilizzare template e plug in esterni.
Per maggiori informazioni ecco il comunicato stampa ufficiale : https://wordpress.org/news/2022/05/arturo/
Avere una community così attiva alle spalle permette a WordPress di reagire in maniera veloce alla scoperta di eventuali exploit. Questo non vale però per la maggior parte dei temi e plugin disponibili in maniera più o meno gratuita in rete.
Il nostro consiglio resta sempre quello di utilizzare il numero minore possibile di plugin esterni, e di attivare l’aggiornamento automatico sui security update.
Abbiamo più volte trattato l’argomento sicurezza wordpress su Matrice Digitale e la nuova versione promette di aver risolto un gran quantitativo di bug della piattaforma.
Tech
Il Canada vieta le apparecchiature Huawei e ZTE per le reti 5G

Il Canada ha vietato l’uso delle apparecchiature Huawei e del colosso tecnologico cinese ZTE nelle sue reti 5G, lo ha annunciato il suo governo.
Seguendo la linea già percorsa da altri Paesi, anche il Canada vieta l’uso dei sistemi Huawei e ZTE in merito alle reti 5G. In una dichiarazione, ha citato le preoccupazioni per la sicurezza nazionale come spinta al Ban, affermando che i fornitori potrebbero essere costretti a rispettare “direttive extragiudiziali da governi stranieri” in modi che potrebbero “entrare in conflitto con le leggi canadesi o sarebbero dannosi per gli interessi canadesi”.
Le società di telecomunicazioni non potranno acquistare nuove apparecchiature 4G o 5G dalle società e dovranno rimuovere tutte le apparecchiature 5G a marchio ZTE e Huawei dalle loro reti entro il 28 giugno 2024. Anche le apparecchiature delle reti 4G devono essere rimosse dalla fine del 2027. “Il governo si è impegnato a massimizzare i benefici sociali ed economici del 5G e l’accesso ai servizi di telecomunicazioni a grandi linee, ma non a scapito della sicurezza”, ha scritto il governo canadese nella sua dichiarazione.
La mossa rende il Canada l’ultimo membro dell’alleanza di intelligence Five Eyes ad aver posto restrizioni all’uso delle apparecchiature Huawei e ZTE nelle loro reti di comunicazione. Le società di telecomunicazioni statunitensi stanno spendendo miliardi per rimuovere e sostituire le apparecchiature nelle loro reti, mentre il Regno Unito ha vietato l’uso delle apparecchiature Huawei nel 2020 e ne ha ordinato la rimozione entro il 2027. Anche Australia e Nuova Zelanda hanno limitato l’uso delle loro apparecchiature per motivi di sicurezza nazionale.
Al centro di queste preoccupazioni c’è la legge nazionale sull’intelligence cinese, che, secondo i critici, può essere utilizzata per far collaborare organizzazioni e cittadini cinesi con il lavoro dell’intelligence statale come riferisce CBC News. L’ipotesi è che questo possa essere utilizzato con le aziende tecnologiche cinesi per arrivare ad informazioni sensibili sulle reti straniere. Huawei contesta l’affermazione e afferma in un comunicato che si basa su una lettura sbagliata della legge cinese.
Il Canada ha impiegato circa tre anni per prendere la sua decisione sull’uso delle apparecchiature Huawei e ZTE nelle sue reti di telecomunicazioni, un periodo che secondo Bloomberg ha coinciso con il peggioramento delle relazioni tra esso e la Cina. Nel dicembre 2018 infatti il Canada ha arrestato Meng Wanzhou, Chief Financial Officer di Huawei, sospettato di aver violato le sanzioni statunitensi. Qualche giorni dopo, la Cina ha imprigionato due cittadini canadesi, l’ex diplomatico Michael Spavor e l’imprenditore Michael Kovrig. Dopo che gli Stati Uniti hanno raggiunto un accordo di rinvio dell’accusa con Meng che le ha permesso di tornare in Cina l’anno scorso, i canadesi sono stati rilasciati.
I politici dell’opposizione hanno criticato il ritardo del governo canadese. “Negli anni di ritardo, le società di telecomunicazioni canadesi hanno acquistato centinaia di milioni di dollari di apparecchiature Huawei che ora dovranno essere rimosse dalle loro reti con enormi spese”, ha affermato il parlamentare conservatore Raquel Dancho in una dichiarazione riportata dal Toronto Sun. La vicenda non peserà positivamente sui conti Huawei come abbiamo già visto nel caso del Ban dagli Stati Uniti. Vedremo se la vicenda finisce qui o se si uniranno ulteriori paesi a questa esclusione tecnologica con inevitabili ripercussioni sui rapporti tra gli Stati coinvolti.
-
Editoriali2 settimane fa
Se vi dicessi che nei riguardi di Orsini è in essere uno stupro di gruppo?
-
Inchieste2 settimane fa
KillNet ed il suo battaglione Legion ostile alla NATO. Intervista esclusiva agli hacker russi che hanno colpito l’Italia
-
Inchieste2 settimane fa
Un “cyborg” dentro Azovstal: la propaganda occidentale elogia Terminator Azov
-
Inchieste2 settimane fa
Non solo Huggy Wuggy: genitori attenzione a Phasmofobia
-
Editoriali2 settimane fa
Killnet e Legion: la nostra intervista ha scoperchiato la cyberpropaganda occidentale
-
Inchieste2 settimane fa
Clubhouse, cresce la tensione: “No a liste di proscrizione e pressioni psicologiche”
-
Inchieste3 settimane fa
Cina attacca militari del Sud Est Asiatico con l’APT OverridePanda
-
DeFi1 settimana fa
Ho perso 500 euro con il crollo di Luna, ma non ho pensato al suicidio