Connect with us

Tech

Attenzione all’infostealer che circola su Youtube

Condividi questo contenuto

Tempo di lettura: 2 minuti. Un utente starebbe facendo circolare un pericoloso malware tramite la nota piattaforma video

Pubblicato

il

videogame
Condividi questo contenuto
Tempo di lettura: 2 minuti.

Il team di analisi dell’ASEC ha recentemente scoperto un infostealer che verrebbe distribuito tramite YouTube. L’attaccante in questo caso avrebbe mascherato il malware come una versione craccata del noto videogame sparatutto “Valorant”, caricando il presunto video promozionale corredato con il link per il download sulla nota piattaforma video.

“Pluto’s Cheats”, con questo nome si presenta l’autore, inviterebbe il visitatore a disattivare anche eventuali protezioni AV per non ostacolare la corretta installazione.

Il download del malware

Una volta raggiunta la pagina di download (hxxps://anonfiles[.]com/J0b03cKexf), la versione contraffatta del gioco risulterebbe reperibile all’interno di un file archivio .rar (hxxps://cdn-149.anonfiles[.]com/J0b03cKexf/bfb807d9-1646204724/Pluto%20Valornt%20cheat.rar)

In realtà il file compresso “Pluto Valornt cheat.rar” conterrebbe all’interno dell’eseguibile “Cheat installer.exe” un infostealer che secondo i ricercatori ASEC raccoglierebbe molte informazioni di base sul sistema infetto, quali credenziali utente, screenshot, portafogli di criptovaluta, token Discord e file di sessione di Telegram. 

Ecco un elenco completo dei dati che l’infostealer potenzialmente sarebbe in grado di carpire.

L’esfiltrazione dei dati

Secondo l’analisi condotta tutte le informazioni raccolte, da una routine deputata allo scopo in un file compresso .zip, verrebbero di seguito esfiltrate tramite una “API Discord WebHook” verso un server determinato e presidiato dall’attaccante.

Inoltre l’impiego dell’API consentirebbe al malware di inviare non solo dati ma anche varie notifiche.

Cosa fare

Sebbene l’infostealer in questione sia ampiamente tracciato dalla stragrande maggioranza di AV e sandbox, il consiglio che resta valido è sempre lo stesso ovvero utilizzare solo software originali astenendosi assolutamente dallo scaricare programmi illegali e dall’utilizzare siti Web sospetti e P2P. Oggettivamente, in questo caso l’impiego di un antivirus potrebbe davvero fare la differenza per evitare spiacevoli sorprese.

Iscriviti alla newsletter settimanale di Matrice Digitale

* inserimento obbligatorio

Tech

Chaos, il malware multipiattaforma è in rapida espansione. Italia coinvolta

Condividi questo contenuto

Tempo di lettura: 3 minuti. Il malware basato su Go sta crescendo rapidamente prendendo di mira una una vasta gamma di architetture software Windows e Linux compresi

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

I ricercatori di Black Lotus Labs presso Lumen Technologies, hanno recentemente scoperto il malware multifunzionale Chaos scritto in Golang e sviluppato per colpire dispositivi basati su sistemi operativi Windows e Linux, nonché una vasta gamma di architetture software (ARM, Intel (i386), MIPS e PowerPC) utilizzate in dispositivi che vanno dai router SOHO (Small Office/Home Office) ai server aziendali.

Gli esperti avrebbero analizzato circa 100 campioni del malware Chaos, constatando che risulta essere scritto in lingua cinese, si basa su un’infrastruttura C2 con sede in Cina e include funzionalità precedentemente documentate nella botnet Kaiji Linux .

Inoltre secondo il rapporto, alcuni campioni analizzati dagli esperti sarebbero stati in grado di sfruttare le vulnerabilità CVE-2017-17215 e CVE-2022-30525 , impattando rispettivamente sui dispositivi Huawei e Zyxel.

La catena d’infezione

A differenza delle botnet di distribuzione di ransomware su larga scala come Emotet che sfruttano lo spam per diffondersi e crescere, Chaos si propaga attraverso CVE noti e chiavi SSH brute force e rubate.” commentano i ricercatori.

La catena d’infezione può essere così riassunta:

  • Chaos viene installato su un dispositivo host, stabilisce la persistenza e invia segnali al C2 integrato. 
  • L’host riceve quindi una serie di comandi di staging a seconda del campione e dell’ambiente host (comandi per inizializzare la propagazione sfruttando un CVE noto, per propagarsi tramite SSH, tramite brute force, chiavi SSH rubate e IP spoofing). 
  • L’host riceve una serie di comandi di esecuzione aggiuntivi, inclusa l’esecuzione della propagazione tramite il CVE designato, ulteriori sfruttamenti del target corrente, i lancio di attacchi DDoS e il cryptomining.

Gli obiettivi

Gli esperti sono stati in grado di enumerare i C2 e gli obiettivi di più cluster Chaos distinti, alcuni dei quali sono stati impiegati in recenti attacchi DDoS contro i settori dei servizi finanziari e della tecnologia, dei media e dell’intrattenimento. 

L’analisi dei contagi da metà giugno a metà luglio 2022 ha rivelato che la maggior parte dei bot si trovava in Europa e in particolare in Italia. Altre infezioni sono state osservate in Nord e Sud America e Asia Orientale.

Malware del caos

In crescita i malware scritti in Golang

Prima riflessione da fare nell’analisi del Chaos Malware è la capacità del codice malevolo di infettare una ampia gamma di sistemi basati su molteplici piattaforme, ciò grazie al fatto che è stato scritto nel linguaggio di programmazione Go. Il linguaggio Go conferisce ai malware portabilità, flessibilità, capacità di eludere sistemi di difesa e di analisi, per questo motivo negli ultimi anni si è assistito ad un incremento delle minacce scritte in Go.” – commenta per #MatriceDigitale Pierluigi Paganini CEO Cybhorus, esperto di cybersecurity ed intelligence.

Preoccupante il tasso di crescita delle infezioni

Chaos malware è estremamente insidioso, la capacità di supportare oltre 70 differenti commandi lo rende uno strumento ottimale per condurre molteplici attività malevole, dall’esecuzione di attacchi DDoS ad attività di crypto mining.”prosegue l’esperto e conclude – “Sebbene ad oggi la botnet basata su Chaos non sia comparabile alle principali nel panorama delle minacce, preoccupa il tasso di crescita delle infezioni, ad aggravare la situazione una prevalenza di sistemi compromessi da questa minaccia proprio in Italia Abbiamo pochi dubbi sul fatto che questa minaccia continuerà a crescere grazie ai fattori illustrati.

I consigli dei ricercatori

Poiché uno dei modi principali in cui si diffonde Chaos è lo sfruttamento di vulnerabilità note è consigliabile garantire una gestione efficace delle patch dei CVE scoperti e monitorare le connessioni a qualsiasi infrastruttura sospetta. In questo contesto gli utilizzatori di router SOHO dovrebbero sempre assicurare l’installazione di aggiornamenti e patch di sicurezza disponibili sui propri dispositivi e gli smart worker dovrebbero sempre modificare le password predefinite e disabilitare l’accesso root remoto sui computer qualora non necessario.

Prosegui la lettura

Tech

Erbium, il nuovo infostealer si nasconde nei software crack

Condividi questo contenuto

Tempo di lettura: 3 minuti. Il nuovo MaaS viene distribuito tramite applicazioni e videogiochi pirata per rubare credenziali e crypto wallet

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

I ricercatori di sicurezza Cyfirma hanno scoperto una campagna che sfrutta falsi software e giochi pirata per distribuire l’infostealer noto con il nome di Erbium, di cui ne ha parlato anche Cluster25 in un altrettanto recente rapporto, rilevando attacchi in diversi paesi, Italia inclusa (Stati Uniti, Francia, Colombia, Spagna, India, Vietnam e Malesia).

Erbium sta riscuotendo successo e in un mese è stato possibile osservare un crescente livello di diffusione di questa minaccia in tutto il mondo.

ErbiumStealer come MaaS

Erbium è un nuovo Malware-as-a-Service (MaaS) che fornisce agli abbonati uno strumento per il furto di informazioni che sta guadagnando sempre più popolarità nella comunità underground della criminalità informatica grazie alle sue funzionalità, all’assistenza offerta e ai prezzi competitivi.

Il campione analizzato sarebbe un binario eseguibile a 32 bit, con dati offuscati (per eludere il rilevamento da parte di prodotti di sicurezza e firewall) che vengono decrittografati utilizzando la logica XORing, che stabilisce infine una comunicazione di comando e controllo C2.

Ecco le principali capacità del malware:

  • Capacità di enumerare le unità.
  • Possibilità di enumerare percorsi, file e cartelle.
  • Possibilità di caricare librerie, processi e DLL in memoria.
  • Capacità di raccogliere informazioni di sistema.
  • Capacità di comunicazione di rete.
  • Raccolta di credenziali utente, come password, da una gamma di popolari programmi chat, e-mail e browser Web.
  • Possibilità di ottenere informazioni da varie applicazioni installate.
  • Possibilità di ottenere informazioni su crypto wallet [credenziali di accesso e fondi archiviati].
  • Possibilità di raccogliere dati di autenticazione (2FA) e software di gestione password.

Erbium, le funzionalità

In pratica si legge che l’infostealer può raccogliere dai browser (Cyberfox, Firefox, K-Meleon, BlackHawk, Pale Moon, Google Chrome e Thunderbird) diversi tipi di dati quali password, cookie, numeri di carte di credito e altre informazioni che vengono salvate nei moduli web oltre ad esfiltrare i dati da diversi Crypto Wallet installati come estensioni browser.

Inoltre il malware sarebbe anche in grado di carpire i codici per l’autenticazione multifattore dalle applicazioni EOS Authenticator, Authy 2FA e Authenticator 2FA, acquisire schermate, rubare file di autenticazione Telegram e profilare gli host in base al loro sistema operativo e all’hardware installati, inviando il tutto ad un server di presidio C2  tramite un sistema API integrato, scaricando persino payload aggiuntivi.

Tutte le operazioni inoltre possono essere monitorate da un pannello di controllo generale. La dashboard Erbium sarebbe raggiungibile tramite tre URL (https[://] panel[.]erbium [.]ml, raw[. ]githubusercontent[.]com e cdn[.]discordapp[.]com) tra cui figura anche il CDN di un server Discord, la nota piattaforma chat già nota per essere sfruttata dagli operatori malware.

Conclusioni

Sebbene Erbium sia ancora in fase di sviluppo, i prezzi concorrenziali e la volontà di venire incontro alle richieste dei clienti senz’altro stanno influenzando il mercato del MaaS (l’uso di malware stealer può ridurre di molto i costi e i tempi operativi), portando anche verso una diversificazione dei vettori di distribuzione dell’infostealaer Erbium (spear-phishing, malvertising, kit di exploit e loader vari).

Consigli

Ricordiamo che scaricare software pirata è sempre da bandire. Oltre ad essere illegale, può mettere a serio rischio la privacy e sicurezza di chi scarica, in quanto è possibile subire infezioni malware con probabili perdite finanziare, estorsioni e furti di identità.

 “Una volta che l’attore delle minacce infostealer ottiene le informazioni raccolte dai sistemi delle vittime, agirà come broker di accesso iniziale [IAB], pubblicizzando i dettagli ottenuti come violati sul dark web, su forum XSS clandestini in lingua russa, forum ad accesso speciale e marketplace dei criminali informatici“, è il commento di Cyfirma.

Si consiglia pertanto di:

  • evitare i siti che distribuiscono software pirata;
  • evitare la memorizzazione delle password nei moduli browser;
  • installare una soluzione di sicurezza adeguata.
Prosegui la lettura

Tech

Apple inizia a produrre l’iPhone 14 in India

Condividi questo contenuto

Tempo di lettura: 2 minuti. L’iPhone 14 è il primo dispositivo di punta di Apple a essere prodotto in India poco dopo il lancio

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Secondo quanto riportato da TechCrunch e Bloomberg, Apple ha iniziato ad assemblare l’iPhone 14 in India. È la prima volta che Apple sposta la produzione dalla Cina all’India così rapidamente dopo il lancio di un nuovo iPhone. Come riportato da TechCrunch, Apple sta utilizzando gli impianti di Foxconn a Sriperumbudur, in India, per produrre il dispositivo. In passato Apple ha prodotto i suoi iPhone di punta in India, ma in genere lo ha fatto ben dopo il lancio iniziale del telefono. L’azienda ha iniziato a produrre l’iPhone 13 in India solo ad aprile e ha fatto lo stesso con altri modelli di iPhone, tra cui l’iPhone 12 e l’iPhone 11. Abbiamo appreso per la prima volta che Apple intendeva colmare il divario tra i tempi di trasferimento della produzione dalla Cina all’India già ad agosto, sperando inizialmente di terminare la produzione dei primi iPhone in India a fine ottobre. Una fonte che ha familiarità con la situazione ha dichiarato a Bloomberg che Apple e Foxconn sono riuscite ad appianare i problemi della catena di fornitura, consentendo ad Apple di spostare la produzione in India più velocemente.

“Siamo entusiasti di produrre l’iPhone 14 in India”, ha dichiarato un portavoce di Apple a TechCrunch. Apple non ha risposto immediatamente alla richiesta di commento di The Verge. Apple ha iniziato a produrre iPhone in India nel 2017 con l’obiettivo di ridurre la dipendenza dell’azienda dalla Cina a causa dei crescenti conflitti con gli Stati Uniti. Questo rende inoltre i dispositivi più interessanti per il mercato indiano, in quanto la produzione locale dei dispositivi in India può renderli più accessibili nel Paese. Secondo TechCrunch, l’iPhone 14 standard costa attualmente 79.900 rupie (circa 980 dollari) in India, contro i 799 dollari degli Stati Uniti. Anche altre aziende, come Google, sembrano prendere in considerazione centri di produzione al di fuori della Cina. Google starebbe pensando di spostare la produzione del suo smartphone Pixel in India o in Vietnam. Samsung produce dispositivi nel Paese dal 2007 e nel 2018 ha aperto in India la più grande fabbrica di telefoni al mondo.

Prosegui la lettura

Facebook

CYBERWARFARE

Notizie1 settimana fa

Israele: la guerra informatica con l’Iran è senza precedenti

Tempo di lettura: 2 minuti. I comandanti delle unità di difesa e di cyber intelligence israeliane hanno annunciato che il...

Notizie1 settimana fa

Sandworm sta modificando i suoi attacchi alle infrastrutture ucraine

Tempo di lettura: 2 minuti. Il gruppo di hacker sponsorizzato dallo Stato russo noto come Sandworm è stato osservato mentre...

Notizie2 settimane fa

Gli attacchi informatici dell’Iran contro Israele sono aumentati, dice l’esercito

Tempo di lettura: < 1 minuto. La radio ha citato ufficiali militari secondo cui gli attacchi sono aumentati del "70%".

Multilingua2 settimane fa

Anonymous viola i siti web dello Stato iraniano dopo la morte di Mahsa Amini

Tempo di lettura: 2 minuti. I due principali siti web del governo iraniano e alcuni siti dei media sono stati...

Notizie2 settimane fa

Russia guerra cibernetica coinvolge anche i i satelliti

Tempo di lettura: 2 minuti. Il Committee of Concerned Scientists ha lavorato per sensibilizzare l'opinione pubblica sulla situazione degli scienziati....

Notizie3 settimane fa

Documenti NATO rubati all’insaputa del Portogallo: messi in vendita nel Dark Web

Tempo di lettura: 4 minuti. I fascicoli top secret sono stati sottratti dall'Agenzia di Stato Maggiore delle Forze Armate del...

Notizie3 settimane fa

Taiwan vigila mentre la Cina scatena la sua guerra informatica

Tempo di lettura: 2 minuti. Nel tentativo di resistere alle aggressioni cinesi, Taiwan ha aumentato le spese per la difesa...

Notizie3 settimane fa

Hacker iraniani colpiscono obiettivi nella sicurezza nucleare e nella ricerca genomica

Tempo di lettura: 3 minuti. La società di sicurezza aziendale Proofpoint ha attribuito gli attacchi mirati a un attore di...

Notizie3 settimane fa

La Cina accusa l’unità TAO della NSA di aver violato la sua università di ricerca militare

Tempo di lettura: 2 minuti. La Cina ha accusato la National Security Agency (NSA) degli Stati Uniti di aver condotto...

Notizie3 settimane fa

Tempo di lettura: 2 minuti. Diversi gruppi di hacker iraniani hanno partecipato a un recente attacco informatico contro il governo...

Truffe recenti

Truffe online8 ore fa

I truffatori e i disonesti al telefono: è possibile fermarli?

Tempo di lettura: 4 minuti. I consigli di Sophos e l'invito di Matrice Digitale a segnalarli al nostro modello

Truffe online6 giorni fa

Curriculum Online, la denuncia: CVfacile.com attiva abbonamenti nascosti

Tempo di lettura: 3 minuti. C'è anche il sito expressCV ed è stato già segnalato per illeciti.

Truffe online6 giorni fa

Truffa Vinted: spillati 195 euro grazie a un link falso di Subito

Tempo di lettura: 2 minuti. Altro utente truffato, ma le responsabilità non sono tutte della piattaforma.

Truffe online1 settimana fa

Truffe della rete Theta e phishing di MetaMask

Tempo di lettura: 3 minuti. Questa settimana abbiamo trovato altre ingannevoli truffe di criptovalute a cui dovete prestare attenzione.

Truffe online3 settimane fa

Truffa su Kadena per 50.000 euro: donna vittima di relazione sentimentale

Tempo di lettura: 4 minuti. Dopo il caso dell'uomo raggiunto su Tinder, ecco un nuovo grave schema criminale che ha...

Truffe online3 settimane fa

4 messaggi e SMS WhatsApp “pericolosi” inviati per truffa

Tempo di lettura: 4 minuti. Vi spieghiamo alcune tipologia di attacco più frequenti sul programma di messaggistica

Notizie1 mese fa

15 truffatori di bancomat arrestati a Gangtok

Tempo di lettura: 2 minuti. 11 provengono da Kanpur

Notizie1 mese fa

Truffatori telefonici causano danni per oltre 320.000 euro a Berlino

Tempo di lettura: 2 minuti. Migliaia di persone sono già cadute nel tranello di truffatori telefonici che si fingono dipendenti...

Notizie2 mesi fa

Ecco come si può acquistare una identità nel dark web e fare le truffe. Lo studio

Tempo di lettura: 2 minuti. Sappiamo tutti che le informazioni rubate vengono scambiate sul dark web e una nuova ricerca...

scam scam
Notizie2 mesi fa

Spagna e Romania: sventata banda di truffatori online

Tempo di lettura: 2 minuti. Condividi questo contenutoLe autorità spagnole, insieme alla polizia rumena ed Europol, hanno chiuso lunedì un’operazione...

Tendenza