Tech
Ducktail infostealer, la nuova variante viola gli account Facebook Business e raccoglie cookie dai browser
Tempo di lettura: 3 minuti. La versione PHP viene distribuita attraverso programmi di installazione gratuiti per una varietà di applicazioni

Il team di Zscaler Threatlabz ha di recente scoperto una campagna veicolante l’infostealer Ducktail con nuove Tattiche, Tecniche e Procedure (TTP).
Ducktail attivo dal 2021
Ducktail attivo dal 2021 (si ritiene che il malware sia stato gestito da un gruppo criminale di nazionalità vietnamita), nel luglio 2022 è stato scoperto dai ricercatori di WithSecure (ex F-Secure Business) essere distribuito in una campagna rivolta a individui e organizzazioni che operano sulla piattaforma Business e Ads di Facebook, con l’intento di rubare dati e dirottare gli account.
Mentre i campioni osservati da WithSecure Labs erano dei binari scritti in .NetCore che impiegavano Telegram come canale C2 per esfiltrare i dati, in quest’ultima campagna, Zscaler ha rilevato una variante scritta in PHP che impiega un sito web per conservare le informazioni carpite in una struttura dati JSON. Inoltre il target ora sarebbe più generico, piuttosto che dipendenti con accesso amministrativo o finanziario agli account Facebook Business.
Secondo quanto riportato da Zscaler, questa versione dell’infostealer avrebbe le seguenti funzionalità:
- Recupera le informazioni sul browser installato nel sistema.
- Estrae dal sistema le informazioni memorizzate dei cookie del browser .
- Mira agli account Facebook Business.
- Cerca le informazioni sull’account crittografico nel file wallet.dat.
- Raccoglie e invia i dati al server di comando e controllo (C&C).
Le due parti del flusso di attacco
Durante l’esplorazione della nuova campagna, i ricercatori hanno osservato che i file eseguibili malevoli sarebbero per lo più distribuiti in archivi .ZIP e ospitati su piattaforme di condivisione file (“mediafire[.]com”), spacciandoli come versioni craccate o gratuite di applicazioni Office, giochi, file porno e altro.

Al momento dell’esecuzione, il falso programma di installazione farebbe apparire un popup che avvisa l’utente di una presunta verifica di compatibilità in corso, mentre in background genera un file .tmp che riavvia il programma di installazione e genera un altro file .tmp deputato a scaricare tutti i file di supporto e a eseguire due processi distinti.
Invece di creare un processo di esecuzione unico, gli attori delle minacce avrebbero suddiviso l’esecuzione in due parti in base allo scopo previsto:
- Pianificazione della persistenza. Lo script PHP (denominato “switcher.php”) provvede a decrittografare un file di testo codificato in base64 (denominato “switcher.txt”) la cui esecuzione porterà all’esecuzione del binario di pianificazione dei lavori personalizzato.
- Esecuzione dell’esfiltrazione. Analogamente anche il codice per il furto dei dati viene decrittografato in fase di esecuzione per le operazioni di esfiltrazione:
- Raccolta delle informazioni sui browser installati nel sistema ed estrazione dell’ID macchina e versione del browser;
- Accesso ai dettagli degli account Facebook Business e dei cicli di pagamento.
Raccomandazioni
Il malware Ducktail originale (.NetCore ) e la sua variante in PHP condividono molte similitudini e rappresentano una minaccia concreta per la sicurezza e la privacy degli account Facebook Business.
“Sembra che gli attori delle minacce dietro la campagna dei ladri di Ducktail apportino continuamente modifiche o miglioramenti nei meccanismi di consegna e nell’approccio per rubare un’ampia varietà di informazioni sensibili su utenti e sistemi che prendono di mira gli utenti in generale.”, concludono gli esperti di Zscaler.
Poichè le migliorie via via apportate al codice originale potrebbero accrescere ulteriormente l’efficacia degli attacchi, nel frattempo è sempre bene prestare la massima attenzione evitando di scaricare software pirata e mettendo in sicurezza l’account Facebook con una serie di misure:
- impostare una password sicura;
- adottare l’autenticazione a due fattori;
- Abilitare gli avvisi sugli accessi non riconosciuti;
- procedere ad autorizzare dei contatti fidati.
Tech
WhatsApp ruberà una funzionalità a Telegram: scorpi qual è

Nonostante la sua popolarità e l’enorme base di utenti, WhatsApp non è ricco di funzioni come la concorrenza. Tuttavia, Meta ha cambiato in parte la situazione, con il servizio di messaggistica che ha ottenuto diversi miglioramenti nel corso dell’ultimo anno. Inoltre, WhatsApp ha acquisito le basi della comunicazione fin dall’inizio, il che ha contribuito a mantenere la sua popolarità nonostante la mancanza di alcune funzioni essenziali. WhatsApp sta ora lavorando per risolvere una di queste limitazioni e garantire che le conversazioni non si allontanino dall’argomento: l’impossibilità di appuntare un messaggio in una conversazione.
WABetaInfo ha individuato la piattaforma di messaggistica di proprietà di Meta che sta lavorando alla possibilità di appuntare i messaggi nella beta 2.23.3.17 di WhatsApp Business per Android. Lo screenshot chiarisce che se vi trovate in una chat con un messaggio appuntato, dovrete aggiornare all’ultima versione di WhatsApp per vedere (e utilizzare) i messaggi appuntati. Appuntare i messaggi in WhatsApp può essere utile per le conversazioni di gruppo. Inoltre, aiuta a mantenere l’attenzione su un argomento importante in una chat, che altrimenti verrebbe oscurato dai messaggi più recenti.
Appuntare i messaggi non è una funzione nuova, visto che Telegram ce l’ha già da qualche anno. È anche possibile appuntare più messaggi in Telegram, se lo si desidera. Tuttavia, l’opzione non è disponibile in Signal, che consente solo di appuntare le chat importanti in cima all’elenco delle conversazioni. In base all’implementazione di Telegram, chiunque in una chat di gruppo dovrebbe essere in grado di appuntare un messaggio. Questo non è però l’unico miglioramento che WhatsApp potrebbe introdurre in futuro. Sta anche testando la condivisione di foto ad alta risoluzione nella qualità prevista. Per ora, WhatsApp sta ancora lavorando sulla possibilità di appuntare i messaggi nelle chat e nelle conversazioni di gruppo. Non c’è una tempistica precisa su quando la funzione sarà disponibile per il pubblico, anche se dovrebbe apparire prima nel canale beta.
Tech
Virtual Box: come utilizzare più sistemi operativi contemporaneamente sullo stesso PC

VirtualBox è un software di virtualizzazione che consente di eseguire sistemi operativi diversi su un unico computer. Con VirtualBox, è possibile eseguire Windows su un Mac, Linux su Windows e così via. Ecco una guida passo-passo per iniziare ad utilizzare VirtualBox:
- Scarica VirtualBox dal sito ufficiale: https://www.virtualbox.org/wiki/Downloads
- Installa VirtualBox seguendo le istruzioni fornite dal programma di installazione.
- Avvia VirtualBox.
- Clicca su “Nuova” per creare una nuova macchina virtuale.
- Assegna un nome alla tua macchina virtuale e seleziona il sistema operativo che vuoi installare.
- Assegna la quantità di memoria RAM che vuoi assegnare alla tua macchina virtuale.
- Crea un nuovo disco virtuale cliccando su “Crea”.
- Seleziona la dimensione del disco e il tipo di archiviazione (dinamica o fissa).
- Seleziona la tua macchina virtuale appena creata dall’elenco delle macchine virtuali e clicca su “Inizia”.
- Seleziona l’immagine ISO del sistema operativo che vuoi installare e clicca su “Apri”.
- Segui le istruzioni per installare il sistema operativo sulla tua macchina virtuale.
- Dopo l’installazione, la tua macchina virtuale sarà pronta per l’uso.
- Per accedere alla tua macchina virtuale, clicca su “Avvia” nella finestra principale di VirtualBox.
- Una volta acceduta alla tua macchina virtuale, puoi utilizzare il sistema operativo come se fosse installato sul tuo computer fisico.
- Per uscire dalla tua macchina virtuale, clicca su “Disconnetti” o premi “CTRL + ALT + LEFT ARROW”
- Per salvare lo stato della tua macchina virtuale in modo da poter riprendere il lavoro in un secondo momento, seleziona la tua macchina virtuale nell’elenco delle macchine virtuali e clicca su “Sospendi”
- Per riprendere il lavoro su una macchina virtuale sospesa, seleziona la tua macchina virtuale nell’elenco delle macchine virtuali e clicca su “Riprendi”
- Per eliminare una macchina virtuale, seleziona la macchina virtuale nell’elenco delle macchine virtuali e clicca su “Elimina” e confermare l’eliminazione.
- Per configurare le impostazioni della tua macchina virtuale, clicca su “Impostazioni” nella finestra principale di VirtualBox e seleziona la scheda desiderata per modificare le impostazioni.
- Per utilizzare i file del tuo computer fisico all’interno della tua macchina virtuale, puoi utilizzare la funzione “Condivisione cartelle” in Impostazioni > scheda “Condivisione”.
Spero che questa guida ti sia stata utile. In caso di dubbi o problemi, non esitare a chiedere ulteriore aiuto.
Tech
NetStat: conoscere la propria rete con Linux

Netstat è un comando Linux utilizzato per visualizzare informazioni sulle connessioni di rete attive sul sistema. Con questo comando è possibile visualizzare informazioni sui socket attivi, come l’indirizzo IP, la porta e lo stato delle connessioni. Netstat può essere utilizzato per identificare problemi di rete, trovare eventuali connessioni non autorizzate e monitorare l’utilizzo della banda.
Per utilizzare netstat, è sufficiente digitare il comando “netstat” nel terminale. Di default, netstat visualizzerà le connessioni TCP attive sul sistema.
Ecco alcune opzioni utili di netstat:
-a
mostra tutte le connessioni e le porte in ascolto.-t
mostra solo le connessioni TCP.-u
mostra solo le connessioni UDP.-l
mostra solo le porte in ascolto.-p
mostra i processi associati alle connessioni.-n
mostra gli indirizzi IP e le porte numeriche invece di risolvere i nomi.
Ad esempio, per visualizzare tutte le connessioni TCP attive sul sistema, si può utilizzare il comando “netstat -at”
Netstat può anche essere utilizzato per visualizzare statistiche sull’utilizzo della rete, come ad esempio il numero di pacchetti inviati e ricevuti.
-s
mostra statistiche sulle connessioni.
Ad esempio, per visualizzare statistiche sulle connessioni TCP, si può utilizzare il comando “netstat -s -t”
Netstat può anche essere utilizzato per visualizzare informazioni sulle tabelle di routing utilizzate dal sistema, utilizzando l’opzione -r
.
Inoltre, è possibile utilizzare netstat in combinazione con altri comandi come grep
per filtrare i risultati e visualizzare solo le informazioni pertinenti. Ad esempio, per visualizzare tutte le connessioni in entrata sulla porta 80, si può utilizzare il comando “netstat -at | grep :80”
In sintesi, netstat è un comando versatile e potente che consente di visualizzare informazioni sulle connessioni di rete attive sul sistema. Può essere utilizzato per identificare problemi di rete, trovare eventuali connessioni non autorizzate e monitorare l’utilizzo della banda. Con le varie opzioni disponibili, netstat consente di visualizzare informazioni specifiche su connessioni, statistiche e tabelle di routing. può essere utilizzato in combinazione con altri comandi per filtrare i risultati e visualizzare solo le informazioni pertinenti.
-
L'Altra Bolla3 settimane fa
Greta Thunberg: arrestata dalla polizia tedesca con foto in posa. Che spettacolo !
-
Inchieste3 settimane fa
Microsoft licenzia 11.000 dipendenti, 100.000 assunti in Italia grazie all’ACN
-
L'Altra Bolla2 settimane fa
Azov riabilitato da Meta: Facebook e Instagram danno l’ok alla propaganda militare ucraina
-
OSINT2 settimane fa
World Economic Forum: piovono critiche e preoccupazioni nel mondo social. Le donne ne salvano l’immagine
-
Editoriali2 settimane fa
Le elezioni di MidTerm sono state decise dalla magistratura e dall’FBI?
-
Editoriali2 settimane fa
A causa di Chatgpt, Google deve correre ai ripari per salvare il suo algoritmo
-
Editoriali2 settimane fa
Guasto Libero e Virgilio: cosa è successo, cosa non torna
-
Editoriali2 settimane fa
Facebook censura i meme: l’ironia e la satira censurate dai fact checker