I ricercatori di sicurezza Cyfirma hanno scoperto una campagna che sfrutta falsi software e giochi pirata per distribuire l’infostealer noto con il nome di Erbium, di cui ne ha parlato anche Cluster25 in un altrettanto recente rapporto, rilevando attacchi in diversi paesi, Italia inclusa (Stati Uniti, Francia, Colombia, Spagna, India, Vietnam e Malesia).

“Erbium sta riscuotendo successo e in un mese è stato possibile osservare un crescente livello di diffusione di questa minaccia in tutto il mondo.“

ErbiumStealer come MaaS

Erbium è un nuovo Malware-as-a-Service (MaaS) che fornisce agli abbonati uno strumento per il furto di informazioni che sta guadagnando sempre più popolarità nella comunità underground della criminalità informatica grazie alle sue funzionalità, all’assistenza offerta e ai prezzi competitivi.

Il campione analizzato sarebbe un binario eseguibile a 32 bit, con dati offuscati (per eludere il rilevamento da parte di prodotti di sicurezza e firewall) che vengono decrittografati utilizzando la logica XORing, che stabilisce infine una comunicazione di comando e controllo C2.

Ecco le principali capacità del malware:

• Capacità di enumerare le unità.
• Possibilità di enumerare percorsi, file e cartelle.
• Possibilità di caricare librerie, processi e DLL in memoria.
• Capacità di raccogliere informazioni di sistema.
• Capacità di comunicazione di rete.
• Raccolta di credenziali utente, come password, da una gamma di popolari programmi chat, e-mail e browser Web.
• Possibilità di ottenere informazioni da varie applicazioni installate.
• Possibilità di ottenere informazioni su crypto wallet [credenziali di accesso e fondi archiviati].
• Possibilità di raccogliere dati di autenticazione (2FA) e software di gestione password.

Erbium, le funzionalità

In pratica si legge che l’infostealer può raccogliere dai browser (Cyberfox, Firefox, K-Meleon, BlackHawk, Pale Moon, Google Chrome e Thunderbird) diversi tipi di dati quali password, cookie, numeri di carte di credito e altre informazioni che vengono salvate nei moduli web oltre ad esfiltrare i dati da diversi Crypto Wallet installati come estensioni browser.

Inoltre il malware sarebbe anche in grado di carpire i codici per l’autenticazione multifattore dalle applicazioni EOS Authenticator, Authy 2FA e Authenticator 2FA, acquisire schermate, rubare file di autenticazione Telegram e profilare gli host in base al loro sistema operativo e all’hardware installati, inviando il tutto ad un server di presidio C2  tramite un sistema API integrato, scaricando persino payload aggiuntivi.

Tutte le operazioni inoltre possono essere monitorate da un pannello di controllo generale. La dashboard Erbium sarebbe raggiungibile tramite tre URL (https[://] panel[.]erbium [.]ml, raw[. ]githubusercontent[.]com e cdn[.]discordapp[.]com) tra cui figura anche il CDN di un server Discord, la nota piattaforma chat già nota per essere sfruttata dagli operatori malware.

Conclusioni

Sebbene Erbium sia ancora in fase di sviluppo, i prezzi concorrenziali e la volontà di venire incontro alle richieste dei clienti senz’altro stanno influenzando il mercato del MaaS (l’uso di malware stealer può ridurre di molto i costi e i tempi operativi), portando anche verso una diversificazione dei vettori di distribuzione dell’infostealaer Erbium (spear-phishing, malvertising, kit di exploit e loader vari).

Consigli

Ricordiamo che scaricare software pirata è sempre da bandire. Oltre ad essere illegale, può mettere a serio rischio la privacy e sicurezza di chi scarica, in quanto è possibile subire infezioni malware con probabili perdite finanziare, estorsioni e furti di identità.

 “Una volta che l’attore delle minacce infostealer ottiene le informazioni raccolte dai sistemi delle vittime, agirà come broker di accesso iniziale [IAB], pubblicizzando i dettagli ottenuti come violati sul dark web, su forum XSS clandestini in lingua russa, forum ad accesso speciale e marketplace dei criminali informatici“, è il commento di Cyfirma.

Si consiglia pertanto di:

• evitare i siti che distribuiscono software pirata;
• evitare la memorizzazione delle password nei moduli browser;
• installare una soluzione di sicurezza adeguata.

Secondo quanto riportato da TechCrunch e Bloomberg, Apple ha iniziato ad assemblare l’iPhone 14 in India. È la prima volta che Apple sposta la produzione dalla Cina all’India così rapidamente dopo il lancio di un nuovo iPhone. Come riportato da TechCrunch, Apple sta utilizzando gli impianti di Foxconn a Sriperumbudur, in India, per produrre il dispositivo. In passato Apple ha prodotto i suoi iPhone di punta in India, ma in genere lo ha fatto ben dopo il lancio iniziale del telefono. L’azienda ha iniziato a produrre l’iPhone 13 in India solo ad aprile e ha fatto lo stesso con altri modelli di iPhone, tra cui l’iPhone 12 e l’iPhone 11. Abbiamo appreso per la prima volta che Apple intendeva colmare il divario tra i tempi di trasferimento della produzione dalla Cina all’India già ad agosto, sperando inizialmente di terminare la produzione dei primi iPhone in India a fine ottobre. Una fonte che ha familiarità con la situazione ha dichiarato a Bloomberg che Apple e Foxconn sono riuscite ad appianare i problemi della catena di fornitura, consentendo ad Apple di spostare la produzione in India più velocemente.

“Siamo entusiasti di produrre l’iPhone 14 in India”, ha dichiarato un portavoce di Apple a TechCrunch. Apple non ha risposto immediatamente alla richiesta di commento di The Verge. Apple ha iniziato a produrre iPhone in India nel 2017 con l’obiettivo di ridurre la dipendenza dell’azienda dalla Cina a causa dei crescenti conflitti con gli Stati Uniti. Questo rende inoltre i dispositivi più interessanti per il mercato indiano, in quanto la produzione locale dei dispositivi in India può renderli più accessibili nel Paese. Secondo TechCrunch, l’iPhone 14 standard costa attualmente 79.900 rupie (circa 980 dollari) in India, contro i 799 dollari degli Stati Uniti. Anche altre aziende, come Google, sembrano prendere in considerazione centri di produzione al di fuori della Cina. Google starebbe pensando di spostare la produzione del suo smartphone Pixel in India o in Vietnam. Samsung produce dispositivi nel Paese dal 2007 e nel 2018 ha aperto in India la più grande fabbrica di telefoni al mondo.

Jeong-ui Son, presidente di SoftBank, ha ufficializzato la sua visita in Corea il mese prossimo, si prevede che le discussioni sulla vendita di ARM accelerino.

ARM è la più grande società mondiale di asset di progettazione di semiconduttori ed è di proprietà di SoftBank. Poiché il presidente Son incontrerà Jae-yong Lee, vicepresidente di Samsung Electronics, è molto probabile che Samsung Electronics parteciperà all’acquisizione di ARM. Ci sono però diversi nodi da sciogliere, come il prezzo di vendita e l’approvazione normativa da parte dei governi in merito a fusioni e acquisizioni (M&A).

Secondo Bloomberg, il presidente Son visiterà la Corea il mese prossimo per avere discussioni strategiche con Samsung Electronics in merito a ARM. Il vicepresidente Lee ha anche detto ai giornalisti di un viaggio d’affari all’estero il 21: “Se il presidente Son viene a Seoul il mese prossimo, farebbe una proposta del genere (relativa ad ARM)”. Sembra infatti che il presidente Son chiederà a Samsung Electronics di partecipare all’acquisizione di ARM.

Quali sono i precedenti?

ARM è stata in diverse occasioni proposta come candidata per M&A di Samsung Electronics. ARM ha una forte influenza sul mercato infatti rappresentando il 90% del mercato dei semiconduttori per dispositivi mobili. Se Samsung Electronics acquisisce ARM, può rafforzare le proprie capacità nel settore come Exynos. All’inizio di quest’anno, il vicepresidente di Samsung Electronics, Jong-hee Han, ha dichiarato: “Stiamo valutando fusioni e acquisizioni in varie aree di business. Ci aspettiamo dei buoni risultati molto presto”.

Conosciamo bene le mire di Samsung nel settore della produzione dei semiconduttori, come abbiamo approfondito anche qui:

Anche se Samsung Electronics partecipasse all’acquisizione di ARM, sembra difficile che possa subentrare in solitaria. Questo perché è difficile ottenere l’approvazione dalle autorità di regolamentazione nazionali. È lo stesso background in cui Nvidia ha cercato di acquisire ARM per 66 miliardi di dollari ma ha fallito. A quel tempo, le autorità di regolamentazione come gli Stati Uniti, il Regno Unito e l’Unione Europea (UE) espressero tutte voto negativo. Samsung Electronics, Intel, AMD e Qualcomm erano anche preoccupati che il possesso di ARM da parte di una società specifica potesse causare una battuta d’arresto nella fornitura stabile di semiconduttori per dispositivi mobili.

Alla fine l’alternativa potrebbe essere la forma consortile. Oltre a Samsung Electronics, anche Intel, SK hynix e Qualcomm stanno valutando l’acquisizione di ARM. Se l’acquisizione di ARM viene effettuata sotto forma di consorzio, si prevede che seguirà la competizione per l’acquisizione di quote.

Il problema del Prezzo

Recentemente, l’industria stima che il valore massimo di ARM sia di circa 100 trilioni di KRW (Won Sudcoreano) e stima un valore di vendita compreso tra 50 e 70 trilioni di KRW. Si prevede che la proposta di Nvidia, 66 miliardi di dollari, possa essere utilizzata come indicatore del prezzo di vendita. Considerando che SoftBank ha acquisito ARM nel 2016 per circa 32 miliardi di dollari (circa 37 trilioni di KRW), sarebbe un ottimo affare. Tuttavia, il prezzo di vendita può variare poiché le circostanze di SoftBank non sono favorevoli. SoftBank ha registrato una perdita netta di 3,16 trilioni di JPY (circa 31,3 trilioni di KRW) nel secondo trimestre 2022 e per il secondo trimestre consecutivo. Sembra stiano valutando la vendita di vari beni per assicurarsi fondi, anche a rischio di perdite di investimento. Poiché la vendita di Nvidia da parte di ARM è fallita, non si può escludere che SoftBank, che si trova in una situazione finanziaria urgente, possa mettere sul mercato ARM a un prezzo inferiore.

Parallelamente è probabile che il consorzio di acquisizione offra un prezzo inferiore per mettersi al riparo da possibili penali in caso di fallimento dell’acquisto. Nello specifico l’assetto di ARM è il seguente: SoftBank detiene una quota del 75% e il resto del 25% è di proprietà del Vision Fund (sempre di SoftBank).

Se l’acquisizione andrà in porto sarà una delle maggiori nel settore in questo momento storico e potrebbe incidere notevolmente sugli assetti delle aziende coinvolte.

FONTE