Connect with us

Tech

Enemybot, un nuovo strumento per attacchi DDoS

Condividi questo contenuto

Tempo di lettura: 3 minuti. Una panoramica sulle vulnerabilità sfruttate e i comandi eseguiti

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

A metà marzo, è stata rilevata da FortiGuard Labs una nuova botnet DDoS nominata “Enemybot” e che si attribuirebbe a Keksec, un attore di minacce specializzato in cryptomining e attacchi DDoS. La botnet che principalmente deriva la sua implementazione dal codice sorgente di Gafgyt (trapelato nel 2015), prenderebbe anche in prestito diversi moduli dal codice sorgente originale di Mirai.

Enemybot utilizzerebbe diversi metodi di offuscamento per ostacolare l’analisi e nascondere i propri indici rilevatori ad altre botnet (la maggior parte delle botnet, incluso Enemybot, ricercano infatti tali indicatori per terminare altre botnet in esecuzione sullo stesso dispositivo) e si connetterebbe inoltre ad un server di comando e controllo C2 nascosto nella rete Tor, rendendo così più complicato il relativo smantellamento.

I dispositivi sotto tiro

Come la maggior parte delle botnet, anche Enemybot infetterebbe più architetture possibili per aumentare la propria possibilità di propagazione. Oltre ai dispositivi IoT, sarebbero interessati router Seowon Intech, D-Link e iRZ e varie distribuzioni desktop/server (arm, arm5, arm64, arm7, bsd, darwin, i586, i686, m68k, mips, mpsl, ppc, ppc-440 fp, sh4, spc, x64, x86).

Enemybot, i metodi di diffusione

Enemybot utilizzerebbe diversi metodi osservati anche in altre campagne per l’infezione e la diffusione di botnet IoT. Uno dei modi consisterebbe nell’utilizzare un elenco di combinazioni di username/password codificate per accedere a dispositivi configurati con credenziali deboli o di default.

Il malware tenterebbe anche di eseguire comandi shell per infettare dispositivi Android configurati in modo errato e che espongono la porta 5555 (Android Debug Bridge) e di sfruttare vulnerabilità specifiche.

Eccone alcune:

  • CVE-2020-17456  è una vulnerabilità relativa ai router SEOWON INTECH SLC-130 e SLR-120S; 
  • CVE-2018-10823 è una vulnerabilità per i router D-Link che consente a un utente autenticato di eseguire un comando arbitrario (DWR-116 fino a 1.06, DWR-512 fino a 2.02, DWR-712 fino a 2.02, DWR-912 fino a 2.02, DWR-921 fino a 2.02, DWR-111 fino a 1.01);
  • CVE-2022-27226 è una vulnerabilità recente sui router mobili iRZ. Anche questa vulnerabilità consente a un utente malintenzionato di eseguire comando arbitrari;
  • CVE-2022-25075 – 25084 per i router TOTOLINK;
  • CVE-2021-44228/2021-45046 meglio conosciuto come Log4j;
  • CVE-2021-41773/CVE-2021-42013 per i server HTTP Apache;
  • CVE-2018-20062 ThinkPHP CMS;
  • CVE-2017-18368 per i router Zyxel P660HN;
  • CVE-2016-6277 per i router NETGEAR;
  • CVE-2015-2051 per irouter D-Link;
  • CVE-2014-9118 per i router Zhone.

Le somiglianze con Mirai

Come detto sebbene Enemybot sia principalmente basato su Gafgyt, è stato osservato che alcuni dei suoi moduli sarebbero stati copiati dal codice sorgente di Mirai. Un modulo condiviso con Mirai sarebbe per esempio il modulo “bot killer” migliorato rispetto al codice originale e deputato alla ricerca di tutti i processi in esecuzione avviati da determinati percorsi file o con parole chiave specifiche. Altri moduli tra quelli copiati sarebbero rispettivamente quello per eseguire un attacco di tipo brute force e quello denominato scanner_xywz() (vedi figura).

Screenshot of obvious code similarities between Mirai and Enemybot’s scanner modules

Comandi e funzionalità del bot

Secondo la ricostruzione, una volta che il bot viene installato sul dispositivo target, si connetterebbe al server di comando e controllo C2 (nascosto nella rete Tor xfrvkmokgfb2pajafphw3upl6gq2uurde7de7iexw4aajvslnsmev5id[.]onion) attendendo ulteriori comandi da un elenco di IP proxy SOCKS hardcoded.

Di seguito una serie dei comandi supportati.

tabella dei comandi supportati dal bot
tabella dei comandi supportati dal bot

Conclusioni

L’insieme delle vulnerabilità e exploit sfruttati relativi a server Web, applicazioni, dispositivi IoT e l’ampia gamma di architetture supportate, potrebbe essere secondo FortiGuard Labs “un segno che Keksec sta testando la fattibilità dell’espansione della botnet oltre i dispositivi IoT a basse risorse per qualcosa di più dei semplici attacchi DDoS. Sulla base delle loro precedenti operazioni di botnet, utilizzarli per il cryptomining è una grande possibilità“.

Secondo le evidenze di questa ricerca gli esperti Joie Salvio e Roy Tay di FortiGuard Labs concludono affermando che è lecito aspettarsi ulteriori distribuzioni aggiornate e quindi più pericolose.

Il rapporto si conclude con gli IoC pubblicati relativi a file, URL e C2.

Iscriviti alla newsletter settimanale di Matrice Digitale

* inserimento obbligatorio

Tech

iMessage con utenti Android sono migliorate, ma anche peggiorate in iOS 17

Condividi questo contenuto

Tempo di lettura: 2 minuti. Con iOS 17, Apple migliora l’esperienza di utilizzo delle chat di gruppo iMessage con utenti Android, ma solo se si utilizza un iPhone.

Pubblicato

il

ios vs android
Condividi questo contenuto
Tempo di lettura: 2 minuti.

Il stigma della “bolla verde” è una cosa molto reale e, in parte, per una buona ragione. Quando qualcuno con un telefono Android si unisce a una chat di gruppo con utenti iMessage, si perde un sacco di funzionalità utili, ma Apple sta migliorando in parte questo in iOS 17.

Miglioramenti alle chat di gruppo iMessage in iOS 17

iOS 17, attualmente in beta, porta nuove funzionalità come StandBy e miglioramenti all’autocorrezione, tra le altre cose. Uno dei miglioramenti non menzionati da Apple riguarda le chat di gruppo in iMessage che includono utenti Android. Mentre questo aggiornamento non è purtroppo RCS, iOS 17 mantiene la maggior parte delle funzionalità di iMessage operative quando il gruppo include qualcuno su Android.

Come funzionano le chat di gruppo con utenti Android

Nelle versioni precedenti di iOS, una chat di gruppo iMessage che includeva qualcuno su Android (o chiunque utilizzasse SMS) eliminava la maggior parte delle migliori funzionalità di iMessage. Ciò includeva i thread, l’editing del testo e altro. Come hanno mostrato le persone di XDA in una demo, iMessage in iOS 17 ora mantiene molte di queste funzionalità.

Le chat di gruppo che contengono sia utenti Android che iPhone permetteranno ancora l’editing del testo, le risposte in thread e anche la piena qualità di foto/video. La trappola, però, è che questo funziona solo per gli utenti iPhone nel gruppo. I testi modificati non sono riflessi per gli utenti Android, e sia le immagini che i video rimarranno compressi per adattarsi ai limiti ormai obsoleti degli SMS/MMS. Le risposte in thread funzionano anche in modo diverso per gli utenti Android, poiché questi testi saranno trasmessi via SMS, ma non nell’ordine che l’utente iPhone intende.

Effetti collaterali delle nuove funzionalità

La cosa buona qui è che, chiaramente, gli utenti iPhone beneficeranno di chat di gruppo migliori indipendentemente da chi è nel gruppo. Tuttavia, l’effetto collaterale che non vedranno è che gli utenti Android avranno, in alcuni modi, un’esperienza peggiore a causa di questo. Con i thread fuori ordine e i messaggi modificati che semplicemente non appaiono affatto, sarà ancora più difficile comprendere il contesto di alcune conversazioni.

Dove RCS è qualcosa che potrebbe beneficiare tutti, Apple sembra solo che stia raddoppiando il suo impegno per garantire che la messaggistica tra Android e iOS sia il più terribile possibile.

Prosegui la lettura

Tech

Apple aggiunge i campi dei pronomi con un focus sulla privacy nell’app Contatti su iOS 17

Condividi questo contenuto

Tempo di lettura: 2 minuti. iOS 17 e watchOS 10 introducono un nuovo modo per scambiare facilmente le informazioni di contatto tra iPhone, Apple Watch, o entrambi.

Pubblicato

il

Apple, ecco Vision Pro
Condividi questo contenuto
Tempo di lettura: 2 minuti.

iOS 17 e watchOS 10 introducono un nuovo modo per scambiare facilmente le informazioni di contatto tra iPhone, Apple Watch, o entrambi. NameDrop, la nuova funzione in beta ora e che sarà disponibile per tutti questo autunno, ti permette di controllare quali informazioni condividi su AirDrop senza dover creare una scheda di contatto separata.

Aggiornamenti alla scheda di contatto in iOS 17

NameDrop non è l’unico aggiornamento all’esperienza della scheda di contatto in iOS 17. iOS 17 introduce una funzione molto richiesta all’app Contatti sotto forma di un nuovo campo per i pronomi.

Il nuovo campo dei pronomi

Le persone spesso includono le preferenze sui pronomi nelle firme delle email e sui social media, ma per salvare queste informazioni nell’app Contatti era necessario creare manualmente un campo nella sezione delle note. Ora c’è un campo preimpostato dove possono essere salvate le preferenze sui pronomi.

Il campo dei pronomi non è solo utile con le schede di contatto per gli altri; puoi aggiungere le tue preferenze sui pronomi alla tua scheda di contatto personale. Una volta fatto, le tue preferenze sui pronomi saranno condivise insieme alle altre tue informazioni di contatto quando scambi le schede con qualcuno.

Non è solo un semplice campo di testo. Apple ti permette di scegliere tra un numero di lingue, e l’app include una spiegazione su come utilizzare tre forme di pronomi con precisione grammaticale.

Politica sulla privacy per le voci dei pronomi

Importante, Apple include una utile politica sulla privacy per le voci dei pronomi. “I pronomi sono utilizzati solo sui tuoi dispositivi da app Apple supportate”, dice l’azienda. “Non sono condivisi con Apple o sviluppatori di terze parti”.

Puoi trovare il nuovo campo dei pronomi su iOS 17, iPadOS 17, macOS Sonoma, e watchOS 10. Le nuove piattaforme di Apple sono attualmente in beta per gli sviluppatori. Una beta pubblica sarà lanciata a luglio. Le versioni finali dovrebbero essere pronte all’inizio di settembre.

Prosegui la lettura

Tech

Gli utenti di Google Workspace possono ora accedere senza password, grazie ai passkey

Pubblicato

il

google workspace
Condividi questo contenuto
Tempo di lettura: 2 minuti.

Dopo il lancio del supporto passkey per gli account Google dei consumatori a maggio, Google ha ora esteso l’accesso senza password agli account aziendali di Google Workspace. Google definisce il lancio di Workspace come una “Beta aperta” e afferma che “più di 9 milioni di organizzazioni possono consentire ai loro utenti di accedere agli account di Google Workspace e Google Cloud utilizzando passkey invece delle password”.

Cosa sono i passkey

Google Passkey: cos’è, come funziona e come attivarlo su Windows, Android, macOs, iPhone, iPad

Se non ne avete sentito parlare, i passkey sono una nuova sostituzione della password, con il supporto di Google, Apple e Microsoft. Invece di presentare una casella di testo per la password durante l’accesso, il supporto passkey – che deve essere integrato nel tuo browser e sistema operativo – avrebbe la tua macchina che scambia coppie di chiavi pubbliche-private con il sito web utilizzando lo standard “WebAuthn”, e sei loggato. La maggior parte delle implementazioni di Passkey rendono un dispositivo portatile, tipicamente il tuo telefono, un requisito per l’accesso, anche se stai utilizzando un PC. Di solito tiri fuori il tuo telefono e lo sblocchi, un po’ come l’autenticazione a due fattori basata su app o SMS.

Vantaggi e svantaggi dei passkey

Il concetto di base è un’evoluzione ragionevole della password. Nei primi tempi, le password dovevano essere memorizzabili dall’uomo, e le avresti digitate manualmente nella casella di testo. Poi sono arrivati i gestori di password, e la pratica migliore era generare una stringa casuale e incollarla nella casella di testo del sito web, come una sorta di hack per il vecchio sistema “digita”. I passkey rimuovono completamente la casella di testo, e il browser invia quella “stringa casuale” senza l’intermediario umano. I passkey migliorano la sicurezza delle password perché non si possono mai scrivere, non possono essere riutilizzati su diversi siti, e sono molto più difficili da pescare rispetto alle password, perché il browser decide quali passkey appartengono a quali siti.

Ci sono però alcuni svantaggi. Prima di tutto, siamo ancora agli inizi, e non tutte le piattaforme sono supportate. La pagina “device support” di passkeys.dev mostra un supporto limitato per Linux e Chrome OS. L’implementazione passkey di Apple/Google/Microsoft ti costringe anche a sincronizzare i tuoi passkey con il tuo fornitore di sistema operativo, e non comunicano tra loro. Quindi, mentre oggi puoi sincronizzare le tue password con Chrome o Firefox e saranno sincronizzate ovunque tu usi quel browser, i passkey si sincronizzeranno solo con i prodotti del sistema operativo Microsoft o Google o Apple.

Come iniziare a utilizzare un passkey

Se vuoi iniziare a utilizzare un passkey, i consumatori possono visitare https://g.co/passkeys. Sembra che gli utenti Workspace aziendali saranno in grado di utilizzare i passkey come metodo di autenticazione a due fattori insieme a una password per impostazione predefinita, e gli amministratori di Workspace dovranno seguire queste istruzioni se vogliono consentire l’uso dei passkey come sostituto della password. Google afferma che la funzionalità Workspace è in una “implementazione graduale” ora e ci vorranno 15 giorni per raggiungere gli utenti aziendali, mentre ogni consumatore dovrebbe avere accesso al passkey ora.

Prosegui la lettura

Facebook

CYBERWARFARE

Notizie13 ore fa

Kimsuky si spacciano per giornalisti per raccogliere informazioni strategiche

Tempo di lettura: < 1 minuto. Gli hacker sostenuti dal governo nordcoreano stanno cercando di rubare preziose intuizioni geopolitiche a...

Notizie13 ore fa

Un appaltatore aerospaziale statunitense subisce un attacco hacker tramite il backdoor ‘PowerDrop’

Tempo di lettura: < 1 minuto. Sono stati utilizzati strumenti nativi di Windows per infettare almeno un appaltatore della difesa...

Notizie2 giorni fa

Australian Signals Directorate rivela: zero day click contro i terroristi isis

Tempo di lettura: < 1 minuto. L'Australian Signals Directorate ha rivelato di aver utilizzato attacchi zero-click sui dispositivi utilizzati dai...

Notizie5 giorni fa

Il Cremlino accusa la NSA di spiare gli utenti iPhone russi

Tempo di lettura: 2 minuti. La Russia sta accusando gli Stati Uniti di utilizzare gli iPhone per spiare i cittadini...

Notizie5 giorni fa

Kaspersky rileva un attacco su iPhone dei dipendenti attraverso un malware sconosciuto

Tempo di lettura: 2 minuti. Kaspersky, la società russa di cybersecurity, ha rivelato che hacker lavorando per un governo hanno...

Notizie5 giorni fa

Kimsuky imita figure chiave per condurre attacchi informatici mirati

Tempo di lettura: 2 minuti. Le agenzie di intelligence statunitensi e sudcoreane mettono in guardia da nuove tattiche di ingegneria...

Notizie5 giorni fa

Pentagono acquista piatti Starlink per l’Ucraina dopo disputa con SpaceX

Tempo di lettura: < 1 minuto. Il Pentagono risolve la disputa di finanziamento con SpaceX per sostenere l'Ucraina.

Notizie7 giorni fa

Attacchi informatici mirati al Medio Oriente dal 2020: gli obiettivi non rilevati

Tempo di lettura: 2 minuti. Una serie di attacchi informatici mirati al Medio Oriente, in particolare all'Arabia Saudita, sono stati...

Notizie1 settimana fa

Kimsuky – Italia | Campagna in corso utilizzando il toolkit di ricognizione su misura

Tempo di lettura: 7 minuti. Traduzione della relazione di Sentinel One, sull'attacco dei nord coreani che potrebbe coinvolgere anche l'Italia.

Notizie2 settimane fa

Spyware Android, Predator e Alien: una minaccia silenziosa più grande del previsto

Tempo di lettura: 2 minuti. Nuove scoperte evidenziano che lo spyware Android Predator, insieme al suo payload Alien, ha capacità...

Truffe recenti

Notizie20 ore fa

PostalFurious colpisce Emirati Arabi Uniti con un astuto schema di phishing via SMS

Tempo di lettura: < 1 minuto. Attenzione alle truffe di phishing! PostalFurious, una gang di lingua cinese, si finge un...

Truffe online2 giorni fa

Criminali utilizzano questa tattica Semplicissima per inviare link malevoli che Funziona

Tempo di lettura: 2 minuti. I criminali stanno utilizzando una tattica sorprendentemente semplice per cercare di indirizzare le vittime verso...

"Re dell'inganno telefonico" condannato a 13 anni per il servizio "iSpoof" "Re dell'inganno telefonico" condannato a 13 anni per il servizio "iSpoof"
Tech2 settimane fa

“Re dell’inganno telefonico” condannato a 13 anni per il servizio “iSpoof”

Tempo di lettura: 2 minuti. Il colosso delle truffe telefoniche, Tejay Fletcher, è stato condannato a 13 anni di carcere...

Inchieste4 settimane fa

Truffa Tandem – Kadena. Altri 30.000 euro incassati dai criminali senza pietà dei problemi delle vittime

Tempo di lettura: 3 minuti. Continuano le segnalazioni alla nostra redazione. Ecco i "volti" ed i numeri di telefono dei...

Inchieste1 mese fa

Le ombre dietro Vinted: truffe, blocco di account e mancanza di assistenza

Tempo di lettura: 2 minuti. Una realtà ben diversa dalla pubblicità in TV

Notizie2 mesi fa

Un anno di carcere per l’hacker di Silk Road responsabile del furto di $3,4 miliardi in Bitcoin

Tempo di lettura: < 1 minuto. James Zhong rubò 51.680 Bitcoin nel 2012, sfruttando una vulnerabilità del sistema

Truffe online2 mesi fa

Cos’è il blocco del credito e come può proteggere la tua identità e le tue finanze?

Tempo di lettura: < 1 minuto. Scopri come il blocco del credito può aiutare a prevenire furti d'identità e frodi...

Inchieste2 mesi fa

Fake Kadena, women scam continues on Tandem app. Watch out for these profiles

Tempo di lettura: 4 minuti. Three Italians scammed by a self-styled "Londoner" on a bogus trading platform that takes its...

Inchieste2 mesi fa

Falso Kadena, continua la truffa per donne su app Tandem. Attenti a questi profili

Tempo di lettura: 4 minuti. Tre italiane truffate da un sedicente "londinese" su una piattaforma di trading fasulla che trae...

Tech2 mesi fa

Proprietario di Euromediashop condannato a 4 anni per truffa su PS5 e prodotti tech

Tempo di lettura: < 1 minuto. Il titolare del sito che ha ingannato numerosi clienti in cerca di PS5 e...

Tendenza