Tech
Jester Stealer, il malware multifunzione in continuo aggiornamento
Tempo di lettura: 3 minuti. Gli attaccanti tendono a utilizzare campagne di phishing per distribuire tale malware e raccogliere credenziali utente, informazioni di sistema e persino schermate o dati dalle loro vittime

Secondo un’analisi di Cyble Research , un malware chiamato Jester Stealer starebbe guadagnando popolarità nel cyber crime grazie alle sue funzionalità e ai prezzi concorrenziali dei pacchetti personalizzabili venduti nei marketplace. Jester Stealer sarebbe una minaccia emergente apparsa per la prima volta sui forum underground nel luglio 2021 e da allora aggiornata sempre con nuove funzionalità.

Caratteristiche e funzionalità
Jester Stealer un malware basato su .Net, secondo quanto riportato dai ricercatori, in genere arriverebbe ai sistemi di destinazione tramite e-mail di phishing, con allegati mascherati da file txt, jar, ps1, bat, png, doc, xls, pdf, mp3, mp4, pp. Il binding avverrebbe attraverso un builder fornito dagli stessi sviluppatori per nascondere l’eseguibile malevolo.

Grazie alle sue multifunzionalità che combinano le caratteristiche di stealer, clipper, crypto-miner e botnet, Jester stealer riuscirebbe a utilizzare comunicazioni crittografate AES-CBC-256, supportare i server di rete Tor, reindirizzare i registri verso bot telegram e raggruppare i dati rubati nella memoria prima delle esfiltrazioni. Jester Stealer potrebbe anche acquisire schermate, profilare il sistema colpito per raccogliere informazioni di base e rubare password di rete. Ecco un elenco di tipologie di dati e applicazioni prese di mira:
- Browser: password, carte di credito, cookie, cronologia di navigazione
- Client di posta elettronica: Thunderbird, Outlook e FoxMail
- App di messaggistica istantanea: Telegram, Discord, WhatsApp, Signal e Pidgin
- Portafogli crittografici: Atomic, Coinomi, Electrum, Exodus, Guarda, Jaxx, Wasabi, Zcash, BitcoinCore, DashCore, LiteCore, MoneroCore
- Gestori di password: KeePass, NordPass, LastPass, BitWarden, 1Password, RoboForm
- Client VPN: Windscribe VPN, NordVPN, EarthVPN, ProtonVPN e OpenVPN
- Client FTP: FileZilla, CoreFTP, WinSCP e Snowflake
Il malware stealer riuscirebbe anche a raccogliere informazioni dalla macchina infetta.

Capacità di elusione
Dotato di numerosi controlli anti-sandobox e anti-VM per impedire l’analisi, il malware sarebbe in grado di interrompere la sua esecuzione in caso di presenza sui sistemi colpiti riuscendo a rilevare la presenza di ambienti virtualizzati (VirtualBox, VMBox o VWare). In particolare l’istruzione if all’interno della routine deputata controlla il verificarsi dei seguenti eventi per terminare l’esecuzione del malware:
- l’esecuzione di un debug
- l’esecuzione di applicazioni di virtualizzazione
- la presenza di una dll sandbox
- il controllo del valore di una chiave di registro per l’anti-ripetizione

Inoltre i dati una volta carpiti vengono copiati in memoria e prima dell’esfiltrazione archiviati in un file ZIP (“AttackerName_username_systemname.zip”) e passati attraverso un proxy TOR ad un server in ascolto sulla porta 9050.
Qualora non si riuscisse a inviare dati al server TOR, l’algoritmo prevederebbe il caricamento su AnonFiles, un server di file hosting pubblico.

Una volta terminata l’esfiltrazione, per ridurre al minimo le possibilità di rilevamento Jester Stealer si auto elimina dalla macchina infetta.
I consigli degli esperti
“Lo stealer trova impiego nell’effettuare vari attacchi come movimenti laterali e attacchi ransomware. L’utilizzo di credenziali compromesse per gli attacchi è un ottimo modo per i criminali di rimanere nascosti ed evitare di far scattare qualsiasi regola di monitoraggio della sicurezza o di attivare una risposta agli incidenti da parte dei blu team“, si legge nel rapporto di Cyble Research.
La prudenza pertanto è d’obbligo:
- Evitare di scaricare software pirata da siti Web warez/torrent. Tale malware è principalmente contenuto sull’“Hack tool” presente su siti come YouTube e torrent.
- Usare password complesse e applicare l’autenticazione a più fattori ove possibile.
- Attivare la funzione di aggiornamento automatico del software su computer e dispositivi.
- Utilizzare software antivirus e di sicurezza Internet affidabile sui dispositivi connessi, inclusi PC, laptop e dispositivi mobili.
- Astenersi dall’aprire collegamenti e allegati e-mail non attendibili senza prima verificarne l’autenticità.
- Educare i dipendenti in termini di protezione da minacce come phishing/URL non attendibili.
Tech
Snake keylogger, attenti ai malware via PDF
Tempo di lettura: 2 minuti. All’inizio di quest’anno una catena di infezione insolita avrebbe distribuito il malware tramite un documento PDF, un formato non comunemente usato per infettare i PC

In un nuovo rapporto gli analisti di HP Wolf Security hanno illustrato come una recente campagna malspam abbia utilizzato allegati PDF come vettore per documenti con macro dannose che scaricano e installano malware per il furto di informazioni sui computer delle vittime.
La scelta insolita, poiché la maggior parte delle e-mail dannose solitamente arriva con allegati Word o Excel corredati di codice macro per il caricamento di malware, consentirebbe, tuttavia, di ingannare le persone ormai abituate a prestare attenzione agli allegati malevoli di Microsoft Office.
La catena d’infezione
Il PDF allegato alla e-mail farebbe riferimento ad un rimborso a favore del destinatario accrescendo così l’interesse di chi legge ad aprire il PDF (REMMITANCE INVOICE.pdf).
Il PDF una volta aperto richiede all’utente di aprire un file DOCX opportunamente incorporato (l’analisi del file PDF rivela che il file .docx è archiviato come oggetto EmbeddedFile) e rinominato con un nome particolare. Gli autori infatti hanno avuto cura di usare la dicitura “has been verified. however pdf, jpeg, xlsx, ” come nome del file stesso. Questo farebbe in modo di travisare l’intestazione riportata sul prompt “Open file” inducendo i destinatari a credere che Adobe abbia verificato il file come legittimo e che il file sia sicuro da aprire.

L’apertura del DOCX abilitando l’esecuzione macro, scaricherebbe a sua volta un file RTF (f_document_shp.doc) da una risorsa remota (URL hardcoded “vtaurl[.]com/IHytw”).
Lo shellcode crittografato e interno all’RTF sfrutterebbe il difetto CVE-2017-11882 (un bug di esecuzione di codice remoto nell’editor delle equazioni di Microsoft corretto a novembre 2017 ma che ancora risulta disponibile per lo sfruttamento in natura) per scaricare Snake Keylogger (hxxp://192.227.196[.]211/FRESH/fresh.exe) un infostealer modulare con capacità di persistenza, evasione, accesso credenziali, raccolta ed esfiltrazione dei dati.

Adeguata consapevolezza e gestione delle vulnerabilità
“Che gli aggressori utilizzino documenti PDF (e non solo) per caricare exploit ospitati in remoto o shellcode crittografate sui dispositivi target è cosa nota.” , commenta per #MatriceDigitale Domenico Raguseo, Head of Cybersecurity, Exprivia, “Nel caso specifico il malware utilizza una vulnerabilità del 2017 ma che evidentemente in tanti ancora non hanno risolto per qualsivoglia ragione. Ne scaturisce l’importanza di una adeguata gestione delle vulnerabilità, perché se è vero che la vulnerabilità potrebbe non essere risolta, è pur vero che in questo caso si debbano implementare contro-misure adeguate per mitigare il rischio senza lasciare l’utente con il suo istinto di sopravvivenza. Ovviamente anche su questo istinto bisogna lavorare, perché il software perfetto non è stato ancora inventato e senza una adeguata consapevolezza del rischio, qualunque contro-misura risulterà prima o poi non sufficiente.”
Sicuramente la prudenza non è mai troppa.
Notizie
WordPress 6 diventa ufficiale e si chiama Arturo.
Tempo di lettura: < 1 minuto. Presentata la mondo dei webmaster “Arturo”, la versione 6 di WordPress ispirata al musicista jazz vincitore di un Grammy, Arturo O’Farrill. Noto per la sua influenza sul jazz latino contemporaneo, Arturo ha inciso più di 15 album che abbracciano cinque decenni di lavoro.

Presentata la mondo dei webmaster “Arturo”, la versione 6 di WordPress ispirata al musicista jazz vincitore di un Grammy, Arturo O’Farrill. Noto per la sua influenza sul jazz latino contemporaneo, Arturo ha inciso più di 15 album che abbracciano cinque decenni di lavoro.
WordPress è il software open source più utilizzato al mondo per la realizzazione e gestione di siti web. La versione 6.0 rappresenta un ulteriore passo verso il “full site editing”, ovvero la possibilità di modificare ogni pixel del tuo sito, senza utilizzare template e plug in esterni.
Per maggiori informazioni ecco il comunicato stampa ufficiale : https://wordpress.org/news/2022/05/arturo/
Avere una community così attiva alle spalle permette a WordPress di reagire in maniera veloce alla scoperta di eventuali exploit. Questo non vale però per la maggior parte dei temi e plugin disponibili in maniera più o meno gratuita in rete.
Il nostro consiglio resta sempre quello di utilizzare il numero minore possibile di plugin esterni, e di attivare l’aggiornamento automatico sui security update.
Abbiamo più volte trattato l’argomento sicurezza wordpress su Matrice Digitale e la nuova versione promette di aver risolto un gran quantitativo di bug della piattaforma.
Tech
Il Canada vieta le apparecchiature Huawei e ZTE per le reti 5G

Il Canada ha vietato l’uso delle apparecchiature Huawei e del colosso tecnologico cinese ZTE nelle sue reti 5G, lo ha annunciato il suo governo.
Seguendo la linea già percorsa da altri Paesi, anche il Canada vieta l’uso dei sistemi Huawei e ZTE in merito alle reti 5G. In una dichiarazione, ha citato le preoccupazioni per la sicurezza nazionale come spinta al Ban, affermando che i fornitori potrebbero essere costretti a rispettare “direttive extragiudiziali da governi stranieri” in modi che potrebbero “entrare in conflitto con le leggi canadesi o sarebbero dannosi per gli interessi canadesi”.
Le società di telecomunicazioni non potranno acquistare nuove apparecchiature 4G o 5G dalle società e dovranno rimuovere tutte le apparecchiature 5G a marchio ZTE e Huawei dalle loro reti entro il 28 giugno 2024. Anche le apparecchiature delle reti 4G devono essere rimosse dalla fine del 2027. “Il governo si è impegnato a massimizzare i benefici sociali ed economici del 5G e l’accesso ai servizi di telecomunicazioni a grandi linee, ma non a scapito della sicurezza”, ha scritto il governo canadese nella sua dichiarazione.
La mossa rende il Canada l’ultimo membro dell’alleanza di intelligence Five Eyes ad aver posto restrizioni all’uso delle apparecchiature Huawei e ZTE nelle loro reti di comunicazione. Le società di telecomunicazioni statunitensi stanno spendendo miliardi per rimuovere e sostituire le apparecchiature nelle loro reti, mentre il Regno Unito ha vietato l’uso delle apparecchiature Huawei nel 2020 e ne ha ordinato la rimozione entro il 2027. Anche Australia e Nuova Zelanda hanno limitato l’uso delle loro apparecchiature per motivi di sicurezza nazionale.
Al centro di queste preoccupazioni c’è la legge nazionale sull’intelligence cinese, che, secondo i critici, può essere utilizzata per far collaborare organizzazioni e cittadini cinesi con il lavoro dell’intelligence statale come riferisce CBC News. L’ipotesi è che questo possa essere utilizzato con le aziende tecnologiche cinesi per arrivare ad informazioni sensibili sulle reti straniere. Huawei contesta l’affermazione e afferma in un comunicato che si basa su una lettura sbagliata della legge cinese.
Il Canada ha impiegato circa tre anni per prendere la sua decisione sull’uso delle apparecchiature Huawei e ZTE nelle sue reti di telecomunicazioni, un periodo che secondo Bloomberg ha coinciso con il peggioramento delle relazioni tra esso e la Cina. Nel dicembre 2018 infatti il Canada ha arrestato Meng Wanzhou, Chief Financial Officer di Huawei, sospettato di aver violato le sanzioni statunitensi. Qualche giorni dopo, la Cina ha imprigionato due cittadini canadesi, l’ex diplomatico Michael Spavor e l’imprenditore Michael Kovrig. Dopo che gli Stati Uniti hanno raggiunto un accordo di rinvio dell’accusa con Meng che le ha permesso di tornare in Cina l’anno scorso, i canadesi sono stati rilasciati.
I politici dell’opposizione hanno criticato il ritardo del governo canadese. “Negli anni di ritardo, le società di telecomunicazioni canadesi hanno acquistato centinaia di milioni di dollari di apparecchiature Huawei che ora dovranno essere rimosse dalle loro reti con enormi spese”, ha affermato il parlamentare conservatore Raquel Dancho in una dichiarazione riportata dal Toronto Sun. La vicenda non peserà positivamente sui conti Huawei come abbiamo già visto nel caso del Ban dagli Stati Uniti. Vedremo se la vicenda finisce qui o se si uniranno ulteriori paesi a questa esclusione tecnologica con inevitabili ripercussioni sui rapporti tra gli Stati coinvolti.
-
Editoriali2 settimane fa
Se vi dicessi che nei riguardi di Orsini è in essere uno stupro di gruppo?
-
Inchieste2 settimane fa
KillNet ed il suo battaglione Legion ostile alla NATO. Intervista esclusiva agli hacker russi che hanno colpito l’Italia
-
Inchieste2 settimane fa
Un “cyborg” dentro Azovstal: la propaganda occidentale elogia Terminator Azov
-
Inchieste2 settimane fa
Non solo Huggy Wuggy: genitori attenzione a Phasmofobia
-
Editoriali2 settimane fa
Killnet e Legion: la nostra intervista ha scoperchiato la cyberpropaganda occidentale
-
Inchieste2 settimane fa
Clubhouse, cresce la tensione: “No a liste di proscrizione e pressioni psicologiche”
-
Inchieste3 settimane fa
Cina attacca militari del Sud Est Asiatico con l’APT OverridePanda
-
DeFi1 settimana fa
Ho perso 500 euro con il crollo di Luna, ma non ho pensato al suicidio