Tech
QBot e la campagna di distribuzione non convenzionale
Tempo di lettura: 2 minuti. Usata una falsa DLL di Windows per infettare i dispositivi

Il ricercatore di sicurezza ProxyLife in un post su Twitter ha riferito che gli attaccanti stanno infettando i PC Windows con il malware QBot e il codice dannoso viene distribuito tramite una falsa DLL della funzione Calc.exe di Windows.
L’applicazione in questione viene sfruttata per attacchi DLL sideloading. Questa è una tecnica utilizzata per eseguire codice dannoso mettendo insieme applicazioni legittime e file .DLL dannosi in una directory comune.
“Il nome del file .dll dannoso è lo stesso di un file legittimo caricato dall’applicazione durante l’esecuzione. L’attaccante sfrutta questo trucco ed esegue il file .dll dannoso.
In questo caso, l’applicazione è calc.exe e il file dannoso denominato WindowsCodecs.dll si maschera come file di supporto per calc.exe .” Si legge anche nel rapporto Cyble.
Qbot, un malware modulare
QBot (noto anche con il nome di Qakbot) è un malware modulare tipicamente distribuito da campagne malspam. Attivo dal 2007 è progettato per rubare dati finanziari ed informazioni dai sistemi colpiti, ma anche come primo stadio d’infezione (note le relazioni con diversi gruppi ransomware Maze, ProLock, Egregor e Revil).
Il flusso di attacco attuale
Tutto ha inizio con un allegato HTML. Questo allegato scarica un archivio ZIP protetto da password contenente un file ISO.
Nell’archivio ISO sono presenti due file DLL WindowsCodecs.dll e 102755.dll, una versione dell’app calcolatrice di Windows (calc.exe) e un file .LNK.

Quando il malcapitato apre il file ISO ed esegue il file .LNK, questo apre l’app Calc e il sistema viene infettato dal malware QBot tramite prompt dei comandi:
La calcolatrice carica automaticamente il file WindowsCodecs.dll malevolo che avvia l’altra DLL (102755.dll) il malware QBot vero e proprio.

L’utilizzo di file zip protetti da password e programmi affidabili per il sistema Windows, consente l’elusione del rilevamento.
Alcune considerazioni
Questo tipo di attacco DLL sideloading non può essere sfruttato in Windows 10/11 ma solo su sistemi Windows 7. Pur non ricevendo aggiornamenti da gennaio 2020, sono ancora milioni gli utenti Microsoft che usano Windows 7 sul proprio PC (fonte ZDNet). Motivo per cui tutto il bacino di utenti interessato dovrebbe prestare attenzione a tali e-mail sospette ed evitare di aprire file ISO e .LNK. Potrebbero essere vettori di qualsiasi tipo di malware.
Tech
Il sistema Starlink è stato hackerato

E’ bastato un modchip da 25 dollari ad un ricercatore belga per hackerare il sistema Starlink, non dimentichiamoci però le competenze necessarie per un’impresa del genere.
Lennert Wouters, un ricercatore di sicurezza belga, è stato in grado di hackerare la rete di Starlink ed esplorare liberamente l’intero sistema. L’attività, in questo caso, non aveva scopi malevoli, infatti prima di parlarne pubblicamente, ha segnalarlo tutto a Starlink. Anche grazie a questo tipo di verifiche molte aziende riescono a ridurre le possibilità di essere hackerate considerando anche la crescente frequenza di attacchi.
Per entrare in Starlink, Wouters ha smontato la parabola satellitare Starlink di sua proprietà. Ha integrato un suo circuito stampato personalizzato, composto da un micro-controllore Raspberry Pi, interruttori elettronici, memoria flash e un regolatore di tensione. Ha saldato il tutto sul circuito di alimentazione Starlink (PCB) esistente e l’ha collegato. Una volta connesso, lo strumento è stato in grado di cortocircuitare temporaneamente il sistema, consentendo a Wouters di entrare nel sistema stesso. Wouters ha descritto l’hack per intero su Black Hat, sottolineando come sia stato in grado di esplorare la rete liberamente, una volta ottenuto l’accesso ad essa.

Wouters ha presentato tutte le sue scoperte a SpaceX attraverso il suo programma di ricompense dedicato alla scoperta di bug. Questa scoperta lo ha inserito di diritto nella Hall of Fame della caccia agli bug di SpaceX, in cui ora occupa il secondo posto. SpaceX, presumibilmente, ha pagato l’hacker per aver trovato il bug, poiché questo è il punto centrale del programma, sebbene l’importo non sia stato reso pubblico.
Molte grandi organizzazioni si affidano a ricercatori di terze parti per rintracciare bug e vulnerabilità che potrebbero sfuggire durante i cicli di test in pre-produzione. Ad esempio, Apple ha recentemente pagato a uno studente 100.000 dollari per aver hackerato con successo un Mac.
Una volta che Wouters ha pubblicato la sua versione della storia, SpaceX ha risposto con entusiasmo tramite un documento di sei pagine. Già dal titolo si intuisce come SpaceX apprezzi e valorizzi questo tipo di attività invitando le persone a fare ciò che ha appena fatto Wouters.
SpaceX si è congratulato con Wouters per questo risultato, ma si è anche assicurato di sottolineare che questo tipo di hack è a basso impatto per la rete e i suoi utenti.
SpaceX infatti afferma: “Miriamo a dare a ciascuna parte del sistema l’insieme minimo di privilegi necessari per svolgere il proprio lavoro”.
È un buon promemoria del fatto che, sebbene gli hack possano sembrare sempre più diffusi in questi giorni, non tutti gli exploit sono creati uguali o ugualmente pericolosi.
Generalmente gli hack sono di due tipologie: fisica o remota. Per gli hack fisici è necessario avere un contatto effettivo con il dispositivo per manipolarlo. In questa categoria rientra l’hack di cui abbiamo parlato oggi. Wouters infatti aveva bisogno di aprire fisicamente la parabola, accedere all’elettronica e collegare i suoi componenti per manipolare il sistema.
Come ci si può aspettare, gli hack remoti sono molto più preoccupanti. Con un hack remoto, infatti, non ci si renderebbe conto della sua esistenza fino a quando non entra in azione oppure ad azione fraudolenta conclusa.
Questa volta, specifica SpaceX, “i normali utenti di Starlink non devono preoccuparsi di questo attacco, né intraprendere alcuna azione in risposta”. Non c’è modo di utilizzare questo particolare exploit per influenzare da remoto una connessione Starlink, o addirittura i satelliti che SpaceX ha lanciato negli ultimi anni, o per estrarre i dati degli utenti o monitorare quale traffico potrebbe passare attraverso la connessione satellitare. Per chi ha una connessione Starlink è molto più saggio stare attenti ai tentativi di phishing nella casella di posta elettronica o al telefono, dove le persone, che affermano di rappresentare il tuo ISP, tentano di ottenere l’accesso all’account o ad informazioni come password o dettagli di pagamento.
Tech
SHARPEXT, il nuovo malware che spia la posta elettronica
Tempo di lettura: 2 minuti. Allertati gli utenti Gmail che usano Microsoft Edge, Google Chrome e Naver Whale

I ricercatori di sicurezza Volexity hanno scoperto SHARPEXT un malware che non tenta di rubare nomi utente e password, ma piuttosto è capace di ispezionare ed esfiltrare direttamente i dati dagli account webmail Gmail e AOL delle vittime.
SHARPEXT, alcuni dettagli
Il malware SHARPEXT, la cui origine è stata fatta risalire a un gruppo nordcoreano chiamato Kimsuky (SharpTongue), sarebbe in grado di infettare i dispositivi tramite estensioni del browser su Google Chrome e piattaforme basate su Chromium, inclusi il browser coreano Naver Whale e Microsoft Edge.

I suoi obiettivi principali sarebbero gli utenti negli Stati Uniti, in Corea del Sud e in Europa.
La campagna attiva da più di un anno, secondo l’analisi condotta, avrebbe rubato migliaia di file e messaggi di posta elettronica prendendo di mira principalmente i dispositivi Windows.
La catena d’infezione
Il malware viene distribuito tramite truffe di ingegneria sociale e spear phishing inducendo le vittime ad aprire un documento armato.

Secondo quanto ricostruito, una volta installato sul dispositivo, SHARPEXT si inserisce dapprima all’interno dei browser tramite le Preferences e le Secure Preferences e dopo abilita le proprie capacità di lettura della posta elettronica, riuscendo a nascondere ogni tipo di avviso che possa allertare l’utente.
Si legge nel rapporto Volexity:
“Prima di distribuire SHARPEXT, l’attaccante esfiltra manualmente i file necessari per installare l’estensione (spiegata di seguito) dalla workstation infetta. SHARPEXT viene quindi installato manualmente da uno script VBS scritto da un utente malintenzionato. Il flusso di lavoro dello script di installazione è il seguente:
1.Scarica i file di supporto:
1.1 I file di estensione del browser dannosi
1.2 I file di configurazione del browser
1.3 Gli script aggiuntivi ( pow.ps1 e dev.ps1 ) per garantire che l’estensione sia caricata
2. Esegue lo script di installazione ( pow.ps1 ).”.
Consigli
Volexity ha pubblicato un elenco di IoC e regole YARA su Github.
Per prevenire questi attacchi specifici si consiglia anche di:
- Ispezionare tutte le estensioni del browser installate e verificare se tutte possono essere trovate su Chrome Web Store.
- Rimuovere tutte le estensioni che sembrano sospette o che si sono scaricate da una fonte non ufficiale.
- Utilizzare sempre delle buone soluzioni antivirus per proteggere i dispositivi.
Tech
Durov contro Apple: ritardo nell’update di Telegram su App Store
Tempo di lettura: 2 minuti. Apple ritarda il rilascio di un importante aggiornamento dell’App Store da parte di Telegram, dice l’amministratore delegato di Telegram

L’amministratore delegato di Telegram, Pavel Durov, si scaglia contro Apple per l'”oscuro” processo di revisione dell’App Store da parte della società, che sta ritardando il rilascio da parte di Telegram di un aggiornamento della sua app che “rivoluzionerà il modo in cui le persone si esprimono nella messaggistica”.
Nel suo canale Telegram, Durov afferma che un aggiornamento di Telegram per iOS che cambierà il modo in cui le persone comunicano è rimasto bloccato nel processo di revisione dell’App Store di Apple per oltre due settimane, senza alcuna comunicazione da parte dell’azienda sul perché o quando sarà approvato. Durov sottolinea che se un’app così popolare come Telegram riceve questo trattamento, si possono “immaginare le difficoltà incontrate dagli sviluppatori di app più piccole”.
Ad esempio, il nostro prossimo aggiornamento – che sta per rivoluzionare il modo in cui le persone si esprimono nella messaggistica – è rimasto bloccato nella “revisione” di Apple per due settimane, senza alcuna spiegazione o feedback da parte di Apple.
Se Telegram, una delle 10 app più popolari a livello globale, riceve questo trattamento, si possono solo immaginare le difficoltà incontrate dagli sviluppatori di app più piccole. Non è solo demoralizzante: causa perdite finanziarie dirette a centinaia di migliaia di app mobili a livello globale.
Durov, che in passato ha criticato aspramente Apple e il suo App Store, sottolinea la controversa “tassa Apple”, che dà ad Apple un taglio del 30% su alcuni acquisti in-app di applicazioni idonee che superano il milione di dollari all’anno. Durov definisce il comportamento di Apple “abusivo” e afferma che il danno inflitto dall’azienda “non può essere annullato”.
Questo danno si aggiunge alla tassa del 30% che Apple e Google prelevano dagli sviluppatori di app e che, secondo loro, dovrebbe servire a pagare le risorse necessarie per la revisione delle app. Le autorità di regolamentazione nell’UE e altrove stanno lentamente iniziando a esaminare queste pratiche abusive. Ma il danno economico già inflitto da Apple all’industria tecnologica non sarà cancellato.
Non è chiaro perché Apple stia ritardando l’aggiornamento dell’app di Telegram per raggiungere i milioni di utenti di Telegram. La maggior parte delle app viene in genere revisionata abbastanza rapidamente, quindi la lunga attesa in questo caso è particolarmente interessante. Telegram è uno dei servizi di messaggistica più popolari sull’App Store, in concorrenza con WhatsApp, Instagram, Signal e il servizio iMessage di Apple.
Sul suo sito web, Apple afferma che “ogni settimana, oltre 500 esperti dedicati in tutto il mondo esaminano più di 100.000 app”, aggiungendo che oltre 1 milione di proposte vengono respinte.
-
Tech2 settimane fa
iPhone violato da Pegasus nel 2021, l’UE ha le prove
-
Tech2 settimane fa
Cybercrime, proxyware sfruttati per trarre profitti illecitamente
-
Editoriali2 settimane fa
Ecco perchè il giornalismo occidentale ha le mani sporche del sangue innocente ucraino
-
Inchieste2 settimane fa
Zero Day cosa sapere, come difendersi e chi li usa
-
DeFi3 settimane fa
Nonostante la crisi gli ATM di criptovalute cresceranno a dismisura nei prossimi 5 anni
-
Inchieste1 settimana fa
Five Eyes: ecco i malware in uso nel mondo
-
Tech2 settimane fa
Il dark web in Europa: ecco la classifica delle nazioni che lo usano di più
-
Tech1 settimana fa
WhatsApp: in arrivo novità sull’accesso da altri dispositivi