Connect with us

Tech

QRishing: cos’è e come la truffa si nasconde dietro un QR Code

Condividi questo contenuto

Tempo di lettura: 2 minuti. La sua diffusione, emersa ancor di più nel corso dell’emergenza pandemica, ha reso il QR code interessante anche per i criminali informatici che hanno dato vita a una nuova tipologia di minaccia informatica detta per l’appunto QRishing

Pubblicato

il

Lettura QRcode da smartphone
Condividi questo contenuto
Tempo di lettura: 2 minuti.

Il QR Code (che significa Quick Response Code, codice a risposta veloce) altro non è che una immagine rappresentata da un quadrato con al suo interno una serie di moduli neri su sfondo bianco che può contenere specifiche informazioni. Ovvero una sorta di codice a barre presente su giornali, manifesti e vetrine che una volta scansionato con uno smartphone, tramite la sua fotocamera, può reindirizzare verso un sito web, un contatto o un’applicazione. La sua diffusione, emersa ancor di più nel corso dell’emergenza pandemica, ha reso il QR code interessante anche per i criminali informatici che hanno dato vita a una nuova tipologia di minaccia informatica detta per l’appunto QRishing (QR + phishing).

Il QRishing

Il QRishing essendo un attacco di phishing attuato per il tramite di codici QR come tale punta sulla curiosità della malcapitata vittima inducendola, inconsapevolmente, ad eseguire programmi arbitrari o visitare siti trappola scansionando dei codici che in realtà nascondono link malevoli e contraffatti (spesso le applicazioni per la lettura dei codici QR non mostrano l’URL della pagina web di destinazione). Inoltre mentre per gli attacchi e-mail esistono già diversi sistemi di sicurezza dedicati, lo stesso non sembra valere per il QRishing, pratica meno conosciuta e investigata, che ha fornito ai criminali informatici un ulteriore strumento per perpetrare i propri inganni.

L’esca come funziona

Il QRishing solitamente si serve di un’esca per far sì che le potenziali vittime scannerizzino il codice malevolo. Ecco alcune modalità di diffusione che sfruttano una minore soglia di attenzione nell’impiego dello smartphone da parte della gente e una consueta convinzione che questo sia un dispositivo più sicuro ed immune a certi tipi di attacchi:

  • sovrapporre il QR code con una pellicola trasparente sopra ai codici originali confidando nella percezione che la scansione del codice QR proposto dal locale, dal negozio e in generale dal luogo di fiducia, sia esente da rischi;
  • utilizzare un codice malevolo che menziona un marchio reale, simulando una pubblicità, diffuso attraverso un volantino o un depliant;
  • usare finti buoni promozione, sfruttando il fatto che gli utenti sono molto più propensi ad aprire i codici QR che offrono sconti.

Il green pass, un piccolo inciso

Nel caso del Green Pass, poiché l’app VerificaC19 è in grado di rendere accessibili e consultabili le informazioni riguardanti la validità del certificato con il nominativo e la data di nascita del titolare, emergono anche altri problemi:

  • la comunicazione e diffusione del QR code soprattutto via social network sono assolutamente da evitare per proteggere la propria privacy;
  • diffondendo o comunicando i propri dati personali, ci si espone sempre a vari scenari di rischio;
  • il QR code contiene anche altre informazioni, per cui evitarne la diffusione è una cautela assolutamente necessaria.

Come proteggersi

Purtroppo, quando un utente viene indirizzato tramite un QR Code malevolo a una pagina di landing potrebbe non essere in grado di riconoscere facilmente il pericolo. La consapevolezza del problema e l’adozione delle tipiche cautele impiegate contro il phishing tradizionale, opportunamente adattate, rimangono i migliori strumenti di difesa per l’utente:

  • Osservare il formato dei codici QR. Uno sguardo attento può aiutare a scoprire se è stato incollato sull’originale un QR code fasullo;
  • prestare attenzione agli URL abbreviati , espandendoli prima di aprirli;
  • dotare anche i propri dispositivi mobili di programmi di sicurezza affidabili.

Si ricordi, infine, che codici QR generati da applicazioni sicure, che svolgono una specifica funzionalità non portano solitamente a siti in cui vengono richieste informazioni personali e sono certamente meno pericolosi di quei codici esposti pubblicamente e che rimandano a siti e link improbabili.

Iscriviti alla newsletter settimanale di Matrice Digitale

* inserimento obbligatorio

Tech

Chaos, il malware multipiattaforma è in rapida espansione. Italia coinvolta

Condividi questo contenuto

Tempo di lettura: 3 minuti. Il malware basato su Go sta crescendo rapidamente prendendo di mira una una vasta gamma di architetture software Windows e Linux compresi

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

I ricercatori di Black Lotus Labs presso Lumen Technologies, hanno recentemente scoperto il malware multifunzionale Chaos scritto in Golang e sviluppato per colpire dispositivi basati su sistemi operativi Windows e Linux, nonché una vasta gamma di architetture software (ARM, Intel (i386), MIPS e PowerPC) utilizzate in dispositivi che vanno dai router SOHO (Small Office/Home Office) ai server aziendali.

Gli esperti avrebbero analizzato circa 100 campioni del malware Chaos, constatando che risulta essere scritto in lingua cinese, si basa su un’infrastruttura C2 con sede in Cina e include funzionalità precedentemente documentate nella botnet Kaiji Linux .

Inoltre secondo il rapporto, alcuni campioni analizzati dagli esperti sarebbero stati in grado di sfruttare le vulnerabilità CVE-2017-17215 e CVE-2022-30525 , impattando rispettivamente sui dispositivi Huawei e Zyxel.

La catena d’infezione

A differenza delle botnet di distribuzione di ransomware su larga scala come Emotet che sfruttano lo spam per diffondersi e crescere, Chaos si propaga attraverso CVE noti e chiavi SSH brute force e rubate.” commentano i ricercatori.

La catena d’infezione può essere così riassunta:

  • Chaos viene installato su un dispositivo host, stabilisce la persistenza e invia segnali al C2 integrato. 
  • L’host riceve quindi una serie di comandi di staging a seconda del campione e dell’ambiente host (comandi per inizializzare la propagazione sfruttando un CVE noto, per propagarsi tramite SSH, tramite brute force, chiavi SSH rubate e IP spoofing). 
  • L’host riceve una serie di comandi di esecuzione aggiuntivi, inclusa l’esecuzione della propagazione tramite il CVE designato, ulteriori sfruttamenti del target corrente, i lancio di attacchi DDoS e il cryptomining.

Gli obiettivi

Gli esperti sono stati in grado di enumerare i C2 e gli obiettivi di più cluster Chaos distinti, alcuni dei quali sono stati impiegati in recenti attacchi DDoS contro i settori dei servizi finanziari e della tecnologia, dei media e dell’intrattenimento. 

L’analisi dei contagi da metà giugno a metà luglio 2022 ha rivelato che la maggior parte dei bot si trovava in Europa e in particolare in Italia. Altre infezioni sono state osservate in Nord e Sud America e Asia Orientale.

Malware del caos

In crescita i malware scritti in Golang

Prima riflessione da fare nell’analisi del Chaos Malware è la capacità del codice malevolo di infettare una ampia gamma di sistemi basati su molteplici piattaforme, ciò grazie al fatto che è stato scritto nel linguaggio di programmazione Go. Il linguaggio Go conferisce ai malware portabilità, flessibilità, capacità di eludere sistemi di difesa e di analisi, per questo motivo negli ultimi anni si è assistito ad un incremento delle minacce scritte in Go.” – commenta per #MatriceDigitale Pierluigi Paganini CEO Cybhorus, esperto di cybersecurity ed intelligence.

Preoccupante il tasso di crescita delle infezioni

Chaos malware è estremamente insidioso, la capacità di supportare oltre 70 differenti commandi lo rende uno strumento ottimale per condurre molteplici attività malevole, dall’esecuzione di attacchi DDoS ad attività di crypto mining.”prosegue l’esperto e conclude – “Sebbene ad oggi la botnet basata su Chaos non sia comparabile alle principali nel panorama delle minacce, preoccupa il tasso di crescita delle infezioni, ad aggravare la situazione una prevalenza di sistemi compromessi da questa minaccia proprio in Italia Abbiamo pochi dubbi sul fatto che questa minaccia continuerà a crescere grazie ai fattori illustrati.

I consigli dei ricercatori

Poiché uno dei modi principali in cui si diffonde Chaos è lo sfruttamento di vulnerabilità note è consigliabile garantire una gestione efficace delle patch dei CVE scoperti e monitorare le connessioni a qualsiasi infrastruttura sospetta. In questo contesto gli utilizzatori di router SOHO dovrebbero sempre assicurare l’installazione di aggiornamenti e patch di sicurezza disponibili sui propri dispositivi e gli smart worker dovrebbero sempre modificare le password predefinite e disabilitare l’accesso root remoto sui computer qualora non necessario.

Prosegui la lettura

Tech

Erbium, il nuovo infostealer si nasconde nei software crack

Condividi questo contenuto

Tempo di lettura: 3 minuti. Il nuovo MaaS viene distribuito tramite applicazioni e videogiochi pirata per rubare credenziali e crypto wallet

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

I ricercatori di sicurezza Cyfirma hanno scoperto una campagna che sfrutta falsi software e giochi pirata per distribuire l’infostealer noto con il nome di Erbium, di cui ne ha parlato anche Cluster25 in un altrettanto recente rapporto, rilevando attacchi in diversi paesi, Italia inclusa (Stati Uniti, Francia, Colombia, Spagna, India, Vietnam e Malesia).

Erbium sta riscuotendo successo e in un mese è stato possibile osservare un crescente livello di diffusione di questa minaccia in tutto il mondo.

ErbiumStealer come MaaS

Erbium è un nuovo Malware-as-a-Service (MaaS) che fornisce agli abbonati uno strumento per il furto di informazioni che sta guadagnando sempre più popolarità nella comunità underground della criminalità informatica grazie alle sue funzionalità, all’assistenza offerta e ai prezzi competitivi.

Il campione analizzato sarebbe un binario eseguibile a 32 bit, con dati offuscati (per eludere il rilevamento da parte di prodotti di sicurezza e firewall) che vengono decrittografati utilizzando la logica XORing, che stabilisce infine una comunicazione di comando e controllo C2.

Ecco le principali capacità del malware:

  • Capacità di enumerare le unità.
  • Possibilità di enumerare percorsi, file e cartelle.
  • Possibilità di caricare librerie, processi e DLL in memoria.
  • Capacità di raccogliere informazioni di sistema.
  • Capacità di comunicazione di rete.
  • Raccolta di credenziali utente, come password, da una gamma di popolari programmi chat, e-mail e browser Web.
  • Possibilità di ottenere informazioni da varie applicazioni installate.
  • Possibilità di ottenere informazioni su crypto wallet [credenziali di accesso e fondi archiviati].
  • Possibilità di raccogliere dati di autenticazione (2FA) e software di gestione password.

Erbium, le funzionalità

In pratica si legge che l’infostealer può raccogliere dai browser (Cyberfox, Firefox, K-Meleon, BlackHawk, Pale Moon, Google Chrome e Thunderbird) diversi tipi di dati quali password, cookie, numeri di carte di credito e altre informazioni che vengono salvate nei moduli web oltre ad esfiltrare i dati da diversi Crypto Wallet installati come estensioni browser.

Inoltre il malware sarebbe anche in grado di carpire i codici per l’autenticazione multifattore dalle applicazioni EOS Authenticator, Authy 2FA e Authenticator 2FA, acquisire schermate, rubare file di autenticazione Telegram e profilare gli host in base al loro sistema operativo e all’hardware installati, inviando il tutto ad un server di presidio C2  tramite un sistema API integrato, scaricando persino payload aggiuntivi.

Tutte le operazioni inoltre possono essere monitorate da un pannello di controllo generale. La dashboard Erbium sarebbe raggiungibile tramite tre URL (https[://] panel[.]erbium [.]ml, raw[. ]githubusercontent[.]com e cdn[.]discordapp[.]com) tra cui figura anche il CDN di un server Discord, la nota piattaforma chat già nota per essere sfruttata dagli operatori malware.

Conclusioni

Sebbene Erbium sia ancora in fase di sviluppo, i prezzi concorrenziali e la volontà di venire incontro alle richieste dei clienti senz’altro stanno influenzando il mercato del MaaS (l’uso di malware stealer può ridurre di molto i costi e i tempi operativi), portando anche verso una diversificazione dei vettori di distribuzione dell’infostealaer Erbium (spear-phishing, malvertising, kit di exploit e loader vari).

Consigli

Ricordiamo che scaricare software pirata è sempre da bandire. Oltre ad essere illegale, può mettere a serio rischio la privacy e sicurezza di chi scarica, in quanto è possibile subire infezioni malware con probabili perdite finanziare, estorsioni e furti di identità.

 “Una volta che l’attore delle minacce infostealer ottiene le informazioni raccolte dai sistemi delle vittime, agirà come broker di accesso iniziale [IAB], pubblicizzando i dettagli ottenuti come violati sul dark web, su forum XSS clandestini in lingua russa, forum ad accesso speciale e marketplace dei criminali informatici“, è il commento di Cyfirma.

Si consiglia pertanto di:

  • evitare i siti che distribuiscono software pirata;
  • evitare la memorizzazione delle password nei moduli browser;
  • installare una soluzione di sicurezza adeguata.
Prosegui la lettura

Tech

Apple inizia a produrre l’iPhone 14 in India

Condividi questo contenuto

Tempo di lettura: 2 minuti. L’iPhone 14 è il primo dispositivo di punta di Apple a essere prodotto in India poco dopo il lancio

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Secondo quanto riportato da TechCrunch e Bloomberg, Apple ha iniziato ad assemblare l’iPhone 14 in India. È la prima volta che Apple sposta la produzione dalla Cina all’India così rapidamente dopo il lancio di un nuovo iPhone. Come riportato da TechCrunch, Apple sta utilizzando gli impianti di Foxconn a Sriperumbudur, in India, per produrre il dispositivo. In passato Apple ha prodotto i suoi iPhone di punta in India, ma in genere lo ha fatto ben dopo il lancio iniziale del telefono. L’azienda ha iniziato a produrre l’iPhone 13 in India solo ad aprile e ha fatto lo stesso con altri modelli di iPhone, tra cui l’iPhone 12 e l’iPhone 11. Abbiamo appreso per la prima volta che Apple intendeva colmare il divario tra i tempi di trasferimento della produzione dalla Cina all’India già ad agosto, sperando inizialmente di terminare la produzione dei primi iPhone in India a fine ottobre. Una fonte che ha familiarità con la situazione ha dichiarato a Bloomberg che Apple e Foxconn sono riuscite ad appianare i problemi della catena di fornitura, consentendo ad Apple di spostare la produzione in India più velocemente.

“Siamo entusiasti di produrre l’iPhone 14 in India”, ha dichiarato un portavoce di Apple a TechCrunch. Apple non ha risposto immediatamente alla richiesta di commento di The Verge. Apple ha iniziato a produrre iPhone in India nel 2017 con l’obiettivo di ridurre la dipendenza dell’azienda dalla Cina a causa dei crescenti conflitti con gli Stati Uniti. Questo rende inoltre i dispositivi più interessanti per il mercato indiano, in quanto la produzione locale dei dispositivi in India può renderli più accessibili nel Paese. Secondo TechCrunch, l’iPhone 14 standard costa attualmente 79.900 rupie (circa 980 dollari) in India, contro i 799 dollari degli Stati Uniti. Anche altre aziende, come Google, sembrano prendere in considerazione centri di produzione al di fuori della Cina. Google starebbe pensando di spostare la produzione del suo smartphone Pixel in India o in Vietnam. Samsung produce dispositivi nel Paese dal 2007 e nel 2018 ha aperto in India la più grande fabbrica di telefoni al mondo.

Prosegui la lettura

Facebook

CYBERWARFARE

Notizie1 settimana fa

Israele: la guerra informatica con l’Iran è senza precedenti

Tempo di lettura: 2 minuti. I comandanti delle unità di difesa e di cyber intelligence israeliane hanno annunciato che il...

Notizie1 settimana fa

Sandworm sta modificando i suoi attacchi alle infrastrutture ucraine

Tempo di lettura: 2 minuti. Il gruppo di hacker sponsorizzato dallo Stato russo noto come Sandworm è stato osservato mentre...

Notizie2 settimane fa

Gli attacchi informatici dell’Iran contro Israele sono aumentati, dice l’esercito

Tempo di lettura: < 1 minuto. La radio ha citato ufficiali militari secondo cui gli attacchi sono aumentati del "70%".

Multilingua2 settimane fa

Anonymous viola i siti web dello Stato iraniano dopo la morte di Mahsa Amini

Tempo di lettura: 2 minuti. I due principali siti web del governo iraniano e alcuni siti dei media sono stati...

Notizie2 settimane fa

Russia guerra cibernetica coinvolge anche i i satelliti

Tempo di lettura: 2 minuti. Il Committee of Concerned Scientists ha lavorato per sensibilizzare l'opinione pubblica sulla situazione degli scienziati....

Notizie3 settimane fa

Documenti NATO rubati all’insaputa del Portogallo: messi in vendita nel Dark Web

Tempo di lettura: 4 minuti. I fascicoli top secret sono stati sottratti dall'Agenzia di Stato Maggiore delle Forze Armate del...

Notizie3 settimane fa

Taiwan vigila mentre la Cina scatena la sua guerra informatica

Tempo di lettura: 2 minuti. Nel tentativo di resistere alle aggressioni cinesi, Taiwan ha aumentato le spese per la difesa...

Notizie3 settimane fa

Hacker iraniani colpiscono obiettivi nella sicurezza nucleare e nella ricerca genomica

Tempo di lettura: 3 minuti. La società di sicurezza aziendale Proofpoint ha attribuito gli attacchi mirati a un attore di...

Notizie3 settimane fa

La Cina accusa l’unità TAO della NSA di aver violato la sua università di ricerca militare

Tempo di lettura: 2 minuti. La Cina ha accusato la National Security Agency (NSA) degli Stati Uniti di aver condotto...

Notizie3 settimane fa

Tempo di lettura: 2 minuti. Diversi gruppi di hacker iraniani hanno partecipato a un recente attacco informatico contro il governo...

Truffe recenti

Truffe online7 ore fa

I truffatori e i disonesti al telefono: è possibile fermarli?

Tempo di lettura: 4 minuti. I consigli di Sophos e l'invito di Matrice Digitale a segnalarli al nostro modello

Truffe online6 giorni fa

Curriculum Online, la denuncia: CVfacile.com attiva abbonamenti nascosti

Tempo di lettura: 3 minuti. C'è anche il sito expressCV ed è stato già segnalato per illeciti.

Truffe online6 giorni fa

Truffa Vinted: spillati 195 euro grazie a un link falso di Subito

Tempo di lettura: 2 minuti. Altro utente truffato, ma le responsabilità non sono tutte della piattaforma.

Truffe online1 settimana fa

Truffe della rete Theta e phishing di MetaMask

Tempo di lettura: 3 minuti. Questa settimana abbiamo trovato altre ingannevoli truffe di criptovalute a cui dovete prestare attenzione.

Truffe online3 settimane fa

Truffa su Kadena per 50.000 euro: donna vittima di relazione sentimentale

Tempo di lettura: 4 minuti. Dopo il caso dell'uomo raggiunto su Tinder, ecco un nuovo grave schema criminale che ha...

Truffe online3 settimane fa

4 messaggi e SMS WhatsApp “pericolosi” inviati per truffa

Tempo di lettura: 4 minuti. Vi spieghiamo alcune tipologia di attacco più frequenti sul programma di messaggistica

Notizie1 mese fa

15 truffatori di bancomat arrestati a Gangtok

Tempo di lettura: 2 minuti. 11 provengono da Kanpur

Notizie1 mese fa

Truffatori telefonici causano danni per oltre 320.000 euro a Berlino

Tempo di lettura: 2 minuti. Migliaia di persone sono già cadute nel tranello di truffatori telefonici che si fingono dipendenti...

Notizie2 mesi fa

Ecco come si può acquistare una identità nel dark web e fare le truffe. Lo studio

Tempo di lettura: 2 minuti. Sappiamo tutti che le informazioni rubate vengono scambiate sul dark web e una nuova ricerca...

scam scam
Notizie2 mesi fa

Spagna e Romania: sventata banda di truffatori online

Tempo di lettura: 2 minuti. Condividi questo contenutoLe autorità spagnole, insieme alla polizia rumena ed Europol, hanno chiuso lunedì un’operazione...

Tendenza