Connect with us

Tech

Emotet e la pausa di primavera

Tempo di lettura: 3 minuti. Il gruppo TA542 starebbe testando nuove tecniche di consegna

Pubblicato

in data

matrix
Tempo di lettura: 3 minuti.

I ricercatori di Proofpoint avrebbero osservato tra il 4 aprile 2022 e il 19 aprile 2022 una attività di Emotet di minore intensità che differisce drasticamente dai suoi comportamenti tipici, durante un momento di fermo apparente definito dagli stessi ricercatori come la “pausa di primavera“.

Secondo il rapporto tale attività sarebbe attribuibile al gruppo di minacce TA542 (gli analisti riterrebbero molto probabile la paternità perché è dal 2014 che tale attore controlla da vicino il malware Emotet in via esclusiva) che starebbe probabilmente testando nuove tattiche, tecniche e procedure su piccola scala prima di adottarle in futuro in campagne più ampie.

Come si vede in grafica dal mese di novembre 2021, dopo la sua temporanea scomparsa dal panorama delle minacce (operazione LadyBird), si è osservato un riemergere della botnet Emotet e da allora il gruppo associato avrebbe a più riprese colpito con decine di migliaia di messaggi malspam in diverse aree geografiche (in alcuni casi, il volume dei messaggi supererebbe anche il milione per campagna) fino ad arrivare all’apparente fermo attività (OneDrive campaign).

Trama dei volumi di posta elettronica di Emotet da novembre 2021

I dettagli della campagna insolita

Secondo la ricostruzione durante questo periodo osservato, il gruppo TA542 avrebbe continuato in realtà lo sviluppo e il test di nuovi vettori di attacco, in particolare adoperando URL di OneDrive e file XLL, nel tentativo di bypassare la nuova politica adottata da Microsoft per le macro (come è noto Microsoft sta rendendo sempre più difficile per gli attaccanti utilizzare le macro come vettore di infezione, bloccando le macro Internet per impostazione predefinita in Office).

“Il caso in analisi”, commenta Pierluigi Paganini CEO Cybhorus, esperto di cybersecurity ed intelligence, “dimostra la reattività di alcune tra le piu’ prolifiche gang criminali in grado di rispondere tempestivamente a migliorie introdotte dai vendor dei principali software per evitare lo sfruttamento di falle e funzionalità in attacchi su larga scala.
Altro elemento interessante è la modalità con la quale si testino nuove metodiche di attacco prima di adottarle in via definitiva in campagne su larga scala.

Nella fattispecie il flusso di email in questione e veicolanti Emotet (sfruttando la botnet Epoch 4) non sarebbero state inviate dal modulo spam di Emotet ma piuttosto da caselle di posta elettronica probabilmente compromesse. 

Avente per oggetto tipicamente la parola “Salary”, il corpo dei messaggi conterrebbe solo URL OneDrive ospitanti archivi .zip contenenti file del componente aggiuntivo Microsoft Excel (XLL) che richiamano nel nome lo stesso oggetto (i file XLL, una volta eseguiti, rilasciano ed eseguono Emotet):

  • “Salary_new.zip”;
  • “Salary_and_bonuses-04.01.2022.xll”.  
Esempio di URL di OneDrive che ospita un archivio zip

Riassumendo l’attività identificata differirebbe dalle precedenti campagne Emotet per i seguenti motivi secondo Proofpoint:

  • La natura a basso volume dell’attività. In genere, Emotet distribuisce campagne e-mail ad alto volume e a livello globale;
  • L’uso degli URL di OneDrive. In genere, Emotet fornisce allegati o URL che collegano ai file di Office ospitati su siti compromessi.
  • L’uso di file XLL. In genere, Emotet utilizza documenti Microsoft Excel o Word contenenti macro VBA o XL4. Gli XLL sono un tipo di file DLL (Dynamic Link Library) per Excel e sono progettati per aumentare la funzionalità dell’applicazione.

“I test individuati da Proofpoint“, continua Paganini, “evidenziano la capacità degli operatori Emotet di elaborare nuove strategie e di constatarne l’efficienza in attacchi mirati e limitati, mentre continuano le campagne di malspam ordinarie. Questa tecnica consente di ridurre al minimo la possibilità che le nuove metodiche vengano individuate prima del loro utilizzo su larga scala. Gli attacchi su larga scala avranno luogo solo quando le nuove tecniche avranno dimostrato l’efficacia desiderata.
Nel caso specifico l’esecuzione di Microsoft Excel Add-in (XLL) contenuti in archivi ZIP consentono di scaricare ed eseguire il payload Emotet.
Per eludere i sistemi di difesa, gli attori delle minacce stanno testando una attack chain che a differenza di quella tipica utilizzata da Emotet, non sfrutta allegati Microsoft Excel o Word, contenenti macro malevoli, come vettori di attacco.”

Pertanto non bisogna mai abbassare la guardia.

Consigli

Per tali motivi agli amministratori di rete e professionisti della sicurezza si consiglia di valutare l’implementazione sui propri apparati di sicurezza degli IoC pubblicati per arginare tale attività della botnet.

IndicatorDescription
https[:]//1drv[.]ms/u/s!AnTRAbuGZ8jie3V-jtcrv7-8xx0Example URL leading to zipped XLL
2da9fa07fef0855b4144b70639be4355507612181f9889960253f61eddaa47aa SHA256 Salary_new.zip
f83e9f85241d02046504d27a22bfc757ea6ff903e56de0a617c8d32d9f1f8411 SHA256 Salary_and_bonuses-01.01.2022.xll
8ee2296a2dc8f15b374e72c21475216e8d20d4e852509beb3cff9e454f4c28d1SHA256 Emotet Payload ezesqrmrsbhftab.lft

Inoltre, si consiglia alle aziende di fornire periodiche sessioni di training formativo per accrescere l’awareness e prestare sempre la massima attenzione ai link e agli URL che ci vengono propinati giornalmente.

Tech

Vulnerabilità WallEscape in Linux: vecchia di un decennio, ma ancora pericolosa

Tempo di lettura: 2 minuti. Scopri i dettagli della vulnerabilità WallEscape in Linux, che permette di creare falsi prompt sudo e rubare password, e come proteggersi.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Una vulnerabilità nel comando wall del pacchetto util-linux, parte integrante del sistema operativo Linux, è stata scoperta potenzialmente in grado di permettere ad un attaccante non privilegiato di rubare password o alterare gli appunti (clipboard) della vittima. Questo bug, noto come WallEscape e tracciato come CVE-2024-28085, è stato presente in ogni versione del pacchetto negli ultimi 11 anni, fino alla recente release 2.40.

WallEscape colpisce il comando ‘wall’, comunemente utilizzato nei sistemi Linux per trasmettere messaggi ai terminali di tutti gli utenti connessi allo stesso sistema, come un server. L’insufficiente filtraggio delle sequenze di escape durante l’elaborazione dell’input attraverso gli argomenti della riga di comando consente a un utente non privilegiato di sfruttare la vulnerabilità usando caratteri di controllo di escape per creare un falso prompt SUDO sui terminali di altri utenti e indurli a digitare la propria password di amministratore.

Condizioni per l’esposizione

L’exploit di questa vulnerabilità richiede condizioni specifiche: l’utilità mesg deve essere attiva e il comando wall deve avere i permessi setgid. Queste condizioni sono soddisfatte su sistemi come Ubuntu 22.04 LTS (Jammy Jellyfish) e Debian 12.5 (Bookworm), ma non su CentOS.

Scenari di attacco

Uno scenario di attacco include la creazione di un falso prompt sudo per il terminale Gnome, ingannando l’utente affinché digiti la propria password. Questo può essere realizzato inviando tramite il comando wall uno script che modifica l’input nel terminale dell’obiettivo, nascondendo la digitazione e cambiando il colore di primo piano, in modo che il falso prompt per la password appaia come una richiesta legittima.

Un altro metodo di attacco potrebbe mirare a cambiare gli appunti di un utente target attraverso sequenze di escape, sebbene questo metodo non funzioni con tutti gli emulatori di terminali, inclusi quelli di Gnome.

Misure di mitigazione

Gli amministratori di sistema possono mitigare immediatamente CVE-2024-28085 rimuovendo i permessi setgid dal comando ‘wall’ o disabilitando la funzionalità di trasmissione dei messaggi usando il comando ‘mesg’ per impostare la sua flag su ‘n’.

Gli utenti sono invitati ad aggiornare alla versione 2.40 di linux-utils per correggere la vulnerabilità, normalmente disponibile tramite il canale di aggiornamento standard della distribuzione Linux nel gestore di pacchetti, sebbene possano verificarsi dei ritardi.

L’exploit di WallEscape dipende dall’accesso locale (fisico o remoto tramite SSH), limitandone la gravità, ma il rischio persiste per utenti non privilegiati con accesso allo stesso sistema della vittima in contesti multi-utente come i server di un’organizzazione.

Prosegui la lettura

Tech

Grok si aggiorna alla versione 1.5: risultati eccezionali in vista?

Tempo di lettura: < 1 minuto. Scopri Grok 1.5, l’ultimo modello AI di X.ai, con avanzamenti significativi in programmazione e matematica e una capacità di contesto estesa.

Pubblicato

in data

Grok
Tempo di lettura: < 1 minuto.

L’avviamento di Elon Musk, X.ai, è in procinto di introdurre un significativo aggiornamento per il suo chatbot Grok, elevandolo alla versione 1.5. Questo nuovo modello promette avanzamenti notevoli in termini di capacità di ragionamento, soprattutto in ambiti quali la programmazione e la matematica. Grok 1.5 ha infatti ottenuto risultati eccezionali, superando di gran lunga il predecessore nei benchmark matematici MATH e migliorando sensibilmente nelle competenze di generazione del linguaggio di programmazione e risoluzione di problemi, come evidenziato dal test HumanEval.

Contesto ampliato e prestazioni superiori

Una delle migliorie più rilevanti di Grok 1.5 è la sua capacità di gestire un contesto significativamente più ampio, con una finestra di 128.000 token.

BenchmarkGrok-1Grok-1.5Mistral LargeClaude 2Claude 3 SonnetGemini Pro 1.5GPT-4Claude 3 Opus
MMLU73%
5-shot
81.3%
5-shot
81.2%
5-shot
75%
5-shot
79%
5-shot
83.7%
5-shot
86.4%
5-shot
86.8
5-shot
MATH23.9%
4-shot
50.6%
4-shot
40.5%
4-shot
58.5%
4-shot
52.9%
4-shot
61%
4-shot
GSM8K62.9
8-shot
90%
8-shot
81%
5-shot
88%
0-shot CoT
92.3%
0-shot CoT
91.7%
11-shot
92%
5-shot
95%
0-shot CoT
HumanEval63.2%
0-shot
74.1%
0-shot
45.1%
0-shot
70%
0-shot
73%
0-shot
71.9%
0-shot
67%
0-shot
84.9%
0-shot
Tabella comparativa

Questo ampliamento consente al modello di analizzare e utilizzare informazioni estratte da documenti molto più estesi, affrontando prompt più complessi senza perdere di vista le istruzioni ricevute.

Svolta nel dialogo AI

Grok si distingue per la sua tendenza a trattare argomenti spesso evitati da altri modelli AI, inclusi quelli di natura controversa o politica. Questa caratteristica, unita alla capacità di esprimersi con un “tono ribelle” descritto da Musk, rende Grok un modello unico nel suo genere. Non sono ancora chiare le specifiche novità che Grok 1.5 apporterà in questo ambito.

Prossimi passi e accessibilità

Grok 1.5 verrà presto reso disponibile ai tester anticipati sulla piattaforma social X, arricchito da nuove funzionalità che Musk ha lasciato intendere potrebbero includere la sintesi di discussioni e la proposta di contenuti per i post. L’annuncio di Grok 1.5 segue la recente decisione di X.ai di rendere open source il modello base di Grok-1, sebbene senza il codice per il suo ulteriore sviluppo.

Prosegui la lettura

Tech

Nuovi iPad Pro e iPad Air in arrivo a maggio: rivoluzione OLED da Apple

Tempo di lettura: 2 minuti. Scopri i dettagli sui prossimi iPad Pro e iPad Air di Apple, con schermi OLED e innovazioni all’avanguardia, previsti per il lancio a maggio.

Pubblicato

in data

iPad pro e Magik Key
Tempo di lettura: 2 minuti.

Le attese novità in casa Apple stanno per diventare realtà: i nuovi modelli di iPad Pro e iPad Air sono previsti per l’inizio di maggio. Questa generazione di iPad Pro sarà caratterizzata da schermi OLED, una feature che ha alimentato il tam tam delle anticipazioni. Per la prima volta, l’iPad Air si presenterà non più come un singolo dispositivo, ma come una serie, disponibile in due dimensioni, seguendo l’esempio della linea iPad Pro.

Dopo oltre un anno dall’ultimo rilascio degli iPad Pro, Apple si appresta a interrompere il più lungo intervallo di tempo mai trascorso senza nuovi lanci nella storia dei suoi tablet. Gli schermi OLED promettono di rendere i nuovi dispositivi estremamente sottili, alzando ulteriormente l’asticella della qualità costruttiva.

Un’Innovazione che vale l’attesa

La produzione dei nuovi iPad è stata intensificata in vista del lancio, con Apple che punta a rinvigorire le vendite dei suoi tablet, in calo negli ultimi anni. In particolare, durante l’ultima stagione natalizia si è registrato un ulteriore decremento del 25%, periodo in cui tradizionalmente gli iPad riscuotevano grande successo come regali.

Caratteristiche all’avanguardia

Gli iPad Pro saranno dotati del nuovo chip M3 e presenteranno versioni aggiornate della Magic Keyboard e dell’Apple Pencil. Quest’ultima potrebbe addirittura essere compatibile con il Vision Pro headset, stando a recenti indiscrezioni. L’iPad Air, dal canto suo, vedrà l’introduzione di un nuovo processore e sarà disponibile anche nella versione da 12.9 pollici, offrendo così un’alternativa più accessibile a chi desidera un dispositivo di dimensioni maggiori senza optare per la versione Pro.

Lancio posticipato per perfezionamenti

Inizialmente previsti per la fine di marzo, i nuovi tablet sono stati posticipati per permettere ad Apple di ultimare lo sviluppo del software. Anche la produzione degli schermi OLED, che richiede tecniche di fabbricazione avanzate, potrebbe aver contribuito al ritardo.L’imminente lancio dei nuovi iPad Pro e iPad Air di maggio segna un momento cruciale per Apple, promettendo di portare innovazione e freschezza nella sua gamma di tablet.

Prosegui la lettura

Facebook

CYBERSECURITY

Notizie17 ore fa

Attacchi di password spraying su VPN Cisco e tanti aggiornamenti di sicurezza

Tempo di lettura: 2 minuti. Cisco avverte di attacchi di password spraying su VPN e rilascia aggiornamenti di sicurezza per...

Notizie21 ore fa

ZenHammer: nuova minaccia alle difese Rowhammer su CPU AMD

Tempo di lettura: 2 minuti. ZenHammer: nuova minaccia alle difese Rowhammer su CPU AMD Zen 2 e Zen 3 dopo...

Notizie23 ore fa

Nuovo servizio Phishing “Darcula” mira gli utenti iPhone tramite iMessage

Tempo di lettura: 2 minuti. Il servizio di phishing Darcula rappresenta un'avanzata minaccia nel panorama della sicurezza informatica

Notizie2 giorni fa

Edge vulnerabilità consentiva installazioni occulte di estensioni dannose

Tempo di lettura: 2 minuti. Una vulnerabilità in Microsoft Edge avrebbe potuto permettere installazioni occulte di estensioni dannose, evidenziando preoccupazioni

Notizie2 giorni fa

India, malware HackBrowserData mira Difesa ed Energia

Tempo di lettura: 2 minuti. Un attacco di phishing utilizzando malware HackBrowserData mascherato da invito dell'Indian Air Force mira al...

Notizie3 giorni fa

Confermato: APT31 dietro al cyberattacco al Parlamento Finlandese del 2021

Tempo di lettura: 2 minuti. La polizia finlandese conferma che il gruppo APT31 del MSS cinese è responsabile della violazione...

Raspberry pi GEOBOX Raspberry pi GEOBOX
Notizie3 giorni fa

Raspberry Pi diventa uno strumento di frode con GEOBOX

Tempo di lettura: 4 minuti. GEOBOX trasforma Raspberry Pi in uno strumento di frode, complicando il tracciamento dei cybercriminali e...

CISA CISA
Notizie3 giorni fa

CISA mette in guardia sulle vulnerabilità Fortinet, Ivanti e Nice

Tempo di lettura: 2 minuti. CISA segnala l'attiva sfruttamento di vulnerabilità critiche nei prodotti Fortinet, Ivanti e Nice, sollecitando l'applicazione...

Notizie4 giorni fa

Discord ancora problemi: colpita la piattaforma BOT più importante

Tempo di lettura: 3 minuti. Hacker compromettono top.gg, la principale piattaforma di bot Discord, avvelenando il codice sorgente e sollevando...

CISA CISA
Notizie4 giorni fa

Nuove direttive CISA e FBI contro le vulnerabilità SQL

Tempo di lettura: 3 minuti. CISA e FBI esortano a eliminare le vulnerabilità all'iniezione SQL, sottolineando l'importanza delle pratiche di...

Truffe recenti

OSINT2 settimane fa

USA interviene per recuperare 2,3 Milioni dai “Pig Butchers” su Binance

Tempo di lettura: 2 minuti. Il Dipartimento di Giustizia degli USA interviene per recuperare 2,3 milioni di dollari in criptovalute...

dimarcoutletfirenze sito truffa dimarcoutletfirenze sito truffa
Inchieste1 mese fa

Truffa dimarcoutletfirenze.com: merce contraffatta e diversi dalle prenotazioni

Tempo di lettura: 2 minuti. La segnalazione alla redazione di dimarcoutletfirenze.com si è rivelata puntuale perchè dalle analisi svolte è...

sec etf bitcoin sec etf bitcoin
Economia3 mesi fa

No, la SEC non ha approvato ETF del Bitcoin. Ecco perchè

Tempo di lettura: 3 minuti. Il mondo delle criptovalute ha recentemente assistito a un evento senza precedenti: l’account Twitter ufficiale...

Notizie3 mesi fa

Europol mostra gli schemi di fronde online nel suo rapporto

Tempo di lettura: 2 minuti. Europol’s spotlight report on online fraud evidenzia che i sistemi di frode online rappresentano una grave...

Notizie4 mesi fa

Polizia Postale: attenzione alla truffa dei biglietti ferroviari falsi

Tempo di lettura: < 1 minuto. Gli investigatori della Polizia Postale hanno recentemente individuato una nuova truffa online che prende...

app ledger falsa app ledger falsa
Notizie5 mesi fa

App Falsa di Ledger Ruba Criptovalute

Tempo di lettura: 2 minuti. Un'app Ledger Live falsa nel Microsoft Store ha rubato 768.000 dollari in criptovalute, sollevando dubbi...

keepass pubblicità malevola keepass pubblicità malevola
Notizie5 mesi fa

Google: pubblicità malevole che indirizzano a falso sito di Keepass

Tempo di lettura: 2 minuti. Google ospita una pubblicità malevola che indirizza gli utenti a un falso sito di Keepass,...

Notizie5 mesi fa

Nuova tattica per la truffa dell’aggiornamento del browser

Tempo di lettura: 2 minuti. La truffa dell'aggiornamento del browser si rinnova, con i criminali che ora ospitano file dannosi...

Notizie6 mesi fa

Oltre 17.000 siti WordPress compromessi negli attacchi di Balada Injector

Tempo di lettura: 2 minuti. La campagna di hacking Balada Injector ha compromesso oltre 17.000 siti WordPress sfruttando vulnerabilità nei...

Truffe online6 mesi fa

ChatGPT cerca di ingannare cuori solitari appassionati di AI

Tempo di lettura: < 1 minuto. La truffa LoveGPT rappresenta una nuova minaccia nel mondo degli appuntamenti online, sfruttando l'AI...

Tendenza