Categoria: Vulnerabilità

Auto Added by WPeMatico

Categorie
Sicurezza Vulnerabilità

Falsi aggiornamenti browser: allarme per una nuova campagna malware

Malware
Malware

Una campagna malware, che fa leva su falsi aggiornamenti dei browser, si sta rapidamente diffondendo online.

Attraverso un report proposto dai ricercatori di Rapid7, è stato possibile individuare questa strategia malevole che sfrutta file binari dannosi e un loader, per distribuire diversi infostealer come StealC, Lumma e Amadey.

Nonostante questo tipo di strategia non sia nuova, questa campagna si dimostra alquanto avanzata e preoccupante, anche vista la raffinatezza degli agenti malevoli utilizzati dai cybercriminali.

Rapid7 ha scoperto il lodader in questione, chiamato IDAT, nel luglio 2023. Questo si avvale di alcune tecniche avanzate per risultare più efficace, come il processo di Doppelganging e Heaven’s Gate (Un metodo per eseguire codice a 64 bit in un processo a 32 bit sfruttato dai criminali informatici per mascherare malware)..

Prima di questa tecnica, gli autori delle minacce utilizzavano file JavaScript dannosi per connettersi ai server C2 o distribuire dei RAT.

I falsi aggiornamenti browser possono costare molto caro alle vittime

IDAT è uno dei caricatori più recenti e sofisticati utilizzati attivamente dagli autori delle minacce per eseguire infostealer e agenti malevoli simili. Questo è offuscato sfruttando DLL caricati da programmi legittimi come VMWarehost, Python e Windows Defender sfruttando anche i suddetti fantomatici aggiornamenti del browser.

Il pericolo concreto, così come con tutti gli infostealer, è quello di subire la perdita di dati sensibili: si spazia dai cookie del browser, fino alla cronologia di navigazione, finendo ovviamente in ambiti ancora più critici, come password e credenziali delle carte di credito.

Come evitare rischi? Oltre all’adozione di un antivirus di alto livello e a un elevato grado di prudenza, è bene valutare bene quando vengono proposti aggiornamenti (del browser e non solo).

In caso di dubbio può essere utile, per esempio, non accettare eventuali download ma controllare prima sul sito ufficiale del browser. Se è vero che Chrome propone costanti aggiornamenti per la sicurezza, è bene controllare che le patch siano effettive e non una semplice esca.

Categorie
news Vulnerabilità

Allarme DotRunpeX: l’injector diffonde 18 diversi tipi di malware

hacker malware
hacker malware

Online si sta diffondendo un nuovo injector .NET alquanto temibile, conosciuto come DotRunpeX.

Questo agente malevolo utilizza la tecnica Process Hollowing, attraverso la esso è in grado di distribuire a sua volta una vasta gamma di altri famiglie malware. Grazie all’instancabile lavoro dei ricercatori di sicurezza informatica di Check Point, è stato possibile scoprire la strategia adottata dai cybercriminali durante questa campagna.

Gli esperti hanno inoltre confermato in un rapporto inviato a Cyber Security News che tale injector si sta sviluppando e evolvendo rapidamente, rendendo il lavoro di classificazione e contrasto ancora più difficile.

Nello specifico, l’ultima versione di DotRunpeX risulta altamente configurabile, con funzioni adibite all’aggiramento di protezioni rispetto alla crittografia e blocco di sistemi anti-malware. A ciò si aggiungono tecniche di bypass dell’UAC, abuso del driver procexp (anch’esso finalizzato a contrastare antivirus e simili).

Segno distintivo dell’injector è però la varietà di malware che, a seconda del caso, può distribuire sui dispositivi delle vittime. Tra di essi figurano:

  • AgentTesla
  • ArrowRAT
  • AsyncRat
  • AveMaria/WarzoneRAT
  • BitRAT
  • Formbook
  • LgoogLoader
  • Lokibot
  • NetWire
  • PrivateLoader
  • QuasarRAT
  • RecordBreaker – Raccoon Stealer 2.0
  • Redline
  • Remcos
  • Rhadamanthys
  • SnakeKeylogger
  • Vidar
  • XWorm.

Tra di essi, come è facile notare, figurano alcuni tra i malware più temuti degli ultimi anni.

DotRunpeX è in continua mutazione: come limitare i rischi

Altra caratteristica di DotRunpeX è che, come tanti altri agenti malevoli simili, sfrutta siti Web compromessi o e-mail phishing come principali vettori, pur non disdegnando ads malevole su Google.

Come ricordato dagli esperti, l’injector in questione sta acquisendo con una rapidità impressionante nuove funzionalità. Proprio per questo, gli stessi consigliano agli utenti massima cautela per evitare di incentivare il propagarsi di questo agente malevolo.

Fare grande attenzione alla posta elettronica, evitando link e allegati sospetti, è di certo un ottimo modo per contrastare, perlomeno in parte, i rischi legati a DotRunpeX. L’utilizzo di un antivirus di alto livello, soprattutto se aggiornato con costanza, può ulteriormente mitigare i rischi.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.
Categorie
news Vulnerabilità

Allarme malware HiatusRAT: sta arrivando anche in Europa?

infostealer malware
infostealer malware

Il trojan HiatusRAT, dopo una lunga pausa, è tornato con una nuova e temibile campagna malware.

Stiamo parlando, almeno al momento, di un’ondata di attività considerata come “ricognizione” in cui i target principali sono organizzazioni con sede a Taiwan e alcuni punti del sistema di approvvigionamento militare americano.

Sebbene al momento il malware si sta concentrando su queste due nazioni, non è detto che in futuro HiatusRAT possa virare le proprie attività verso altri territori, incluso quello europeo.

Secondo la società di sicurezza informatica Lumen Black Lotus Labs, in un rapporto pubblicato la scorsa settimana, si tratta di una delle azioni “più audaci” per malware di questo tipo, con tutti i segnali che sembrano confermare come le attività di tale RAT non siano destinate a diminuire nelle prossime settimane.

Secondo gli esperti, la massiccia campagna sfrutta alcuni servizi di server privati virtuali (VPS) durante il suo lavoro di diffusione malware. L’identità dei cybercriminali dietro tale azione, al momento, sono ancora sconosciute.

HiatusRAT, una delle campagne malware “più audaci” degli ultimi tempi

Gli obiettivi di HiatusRAT sono stati, finora, attività produttive o commerciali (soprattutto produttori di semiconduttori e prodotti chimici) oltre ad almeno un’organizzazione del governo municipale di Taiwan, nonché un server del Dipartimento della Difesa degli Stati Uniti.

L’ultima serie di attacchi, osservata da metà giugno ad agosto 2023, comporta l’uso di binari HiatusRAT predefiniti, progettati specificamente per le architetture ARM, Intel 80386 e x86-64 così come MIPS, MIPS64 e i386.

Un’analisi telemetrica per determinare le connessioni effettuate al server che ospita il malware ha rivelato che “oltre il 91% delle connessioni in entrata proveniva da Taiwan e sembrava esserci una preferenza per i dispositivi edge prodotti da Ruckus“.

Sebbene il pericolo sia attualmente distante dai nostri territori, il consiglio è quello di mantenere sempre alta l’allerta. In tal senso, oltre all’adozione di un antivirus di alto livello, è bene evitare e-mail sospette, relativi allegati o link che possono direzionare l’utente verso siti potenzialmente dannosi.

Categorie
news Vulnerabilità

Sembra un semplice ads di Amazon su Google ma in realtà è una truffa

malware
malware

Di recente è stato individuato un annuncio su Google che, seppur dall’aspetto regolare, in realtà veicola una truffa in piena regola.

L’ads in questione, a quanto pare, farebbe riferimento ad Amazon e, al passaggio del mouse sul link, andrebbe a riportare un URL del tutto legittimo verso tale piattaforma. Nonostante queste premesse, basta un clic all’utente per avviare un vero e proprio incubo.

Una volta aperta la pagina, infatti, mostra un avviso di Microsoft Defender in cui viene proposto un fittizio supporto tecnico, pronto ad intervenire per un fantomatico malware presente sulla macchina.

Queste truffe del supporto tecnico sono difficili da individuare: il browser, infatti, passa immediatamente a schermo intero. Ciò rende sia difficile uscire dalla pagina, facendo anche leva su un senso d’urgenza che trae in inganno la maggior parte degli utenti.

Il sito di  BleepingComputer ha contattato sia Google che Amazon in merito a questo caso di  malvertising fino a questo momento.

Il caso dell’ads di Amazon su Google? Solo l’ultimo di una lunga serie

Questo modus operandi, va detto, è tutt’altro che una novità. Nel giugno 2022, Malwarebytes ha scoperto un annuncio YouTube dall’aspetto legittimo che utilizzava anche l’URL della piattaforma, proponendo la stessa truffa del supporto tecnico.

D’altro canto, quando si parla di ads su Google le truffe sono molto diffuse, con diversi casi recenti che riguardano anche ransomware e altri agenti malevoli diffusi attraverso il celebre motore di ricerca.

In questo contesto, dunque, è bene porre grande attenzione a ciò che accade a schermo. Un comportamento come l’improvvisa apparizione di un messaggio a tutto schermo, con testo che spinge sull’urgenza, non deve scatenare il panico.

Se il computer dispone già di un antivirus adeguato, questo avrà già bloccato l’eventuale malware. Al di là di questo, è bene mantenere aggiornato il proprio software, il browser e lo stesso antivirus su tutti.

Categorie
news Sicurezza informatica Vulnerabilità

Nuova campagna del ransomware Cuba: allarme exploit Veeam

Ransomware
Ransomware

Una nuova campagna legata al ransomware Cuba si sta rapidamente diffondendo online, sfruttando una strategia complessa e articolata. La sicurezza informatica è ancora sotto attacco.

Secondo gli esperti del team Threat Research and Intelligence di BlackBerry, questa operazione sta coinvolgendo infrastrutture critiche nel territorio americano, prediligendo invece aziende IT in Sud America. Nonostante al momento non siano stati registrati casi in Europa, non è detto che questa campagna sposti le sue mire sul vecchio continente in un prossimo futuro.

L’operazione, individuata nel corso di giugno 2023, va a sfruttare una falla di sicurezza individuata tre mesi prima sui prodotti Veeam Backup & Replication (nome in codice CVE-2023-27532). La vulnerabilità, tra le altre cose, è già stata sfruttata da un gruppo di cybercriminali.

WithSecure, infatti, ha riferito che FIN7 (altro gruppo legato all’ambiente ransomware), ha sfruttato attivamente CVE-2023-27532 per i propri scopi illeciti.

Come funziona la nuova tattica di diffusione del ransomware Cuba

Per la diffusione del ransomware Cuba, il vettore di accesso principale utilizzato è una  compromissione delle credenziali di amministratore tramite RDP.

Una volta ottenuto un primo accesso, viene caricato sulla macchina compromessa un downloader, creato dal gruppo stesso, che viene chiamato BugHatch. Questo va a stabilire una comunicazione con il server di comando, scaricando ulteriori file DLL ed eseguendo i comandi del caso.

Per portare a buon fine l’attacco, Cuba adotta l’ormai diffusa tecnica BYOVD (Bring Your Own Vulnerable Driver) per disattivare gli strumenti di protezione degli endpoint. Inoltre, utilizza lo strumento noto come BurntCigar al fine di terminare i processi del kernel legati al contesto di sicurezza e protezione della macchina.

La gang di cybercriminali di cui stiamo parlando, secondo alcune indagini, sarebbe originaria della Russa. Questa deduzione è tratta dal fatto che, i loro attacchi ransomware, andrebbero ad escludere i dispositivi che utilizzano un layout di tastiera in lingua russa. Il gruppo, presente sulla scena da quattro anni, risulta ad oggi uno dei più attivi dell’intero settore.

Vai all’archivio della categoria: sicurezza-informatica

Categorie
Vulnerabilità

Allerta Gozi CRM: il malware “storico” che minaccia le tue cripto

malware
malware

malware

Le minacce informatiche sono in continua evoluzione e, mano a mano che quelle già esistenti vengono bloccate dagli esperti di sicurezza, ne nascono di nuove e sempre più efficaci.

In realtà, però, esistono dei rari casi in cui i malware riescono a sopravvivere al passare del tempo. Si tratta del caso di Gozi CRM, noto anche come CRM, Papras o 76Service, che è attivo sulla scena addirittura dal lontano 2006.

Inizialmente offerto come piattaforma CaaS (crimine come servizio) Gozi ha rapidamente guadagnato notorietà per le sue capacità. Come è facile capire, nel corso del tempo, Gozi ha subito una trasformazione significativa e, con il passare del tempo, è stato associato ad altri ceppi di malware, come Ursnif e Vawtrak/Neverquest.

Al giorno d’oggi, questo malware, è ancora vivo e vegeto: il suo attuale obiettivo a quanto pare, sono servizi bancari o legati alla criptovalute.

Gozi CRM è attivo dal 2006 ma resta un pericolo da non sottovalutare

La prima e storica versione di Gozi CRM è stata realizzata nel 2006 dello sviluppatore russo Nikita Kurmin. Durante lo sviluppo del malware, però, Kurmin ha preso in prestito porzioni di codice da Ursnif.

Nel settembre 2010, una parte del codice sorgente di Gozi è trapelato, svelando al mondo il funzionamento di questo agente malevolo. Ciò ha dato origine a un numero elevato degli odierni malware esistenti.

Oggi il mirino di Gozi CRM è puntato prevalentemente sulle criptovalute che, soprattutto nel territorio asiatico, risulta molto attivo. Punto di forza attuale del malware è la tecnica nota come web injects Stiamo parlando di vere e proprie iniezioni di codice dannoso sono progettate per modificare il contenuto di siti Web legittimi, facendoli sembrare autentici agli utenti.

Imitando pagine di accesso e form, Gozi induce gli utenti a inserire le proprie credenziali e informazioni finanziarie, fornendole agli aggressori.

Come evitare l’infezione?

Evitare Gozi CRM può essere difficile. In tal senso, fare attenzione alla posta elettronica, ad eventuali link e allegati sospetti.

In seconda battuta, la gestione delle password risulta fondamentale. Queste devono essere complesse, univoche e adeguatamente lunghe. L’adozione di un antivirus adeguato e mantenuto aggiornato è un altro importante mattone per realizzare un muro protettivo per i propri dispositivi.

Infine, mantenersi informati e aggiornati rispetto le tante minacce del Web, risulta un ottimo modo per ridurre ulteriormente i potenziali rischi.

Categorie
news Vulnerabilità

Gigabud RAT e Gigabud.Loan: le due minacce arrivano in Europa?

gigabud rat
gigabud rat
gigabud rat
gigabud rat

Si chiamano Gigabud RAT e Gigabud.Loan i due malware che, al momento, si stanno diffondendo con una notevole rapidità in diverse nazioni.

Nonostante tali minacce si siano apparse inizialmente in Asia (Thailandia, Indonesia, Vietnam, Filippine) sono già giunte nel continente americano, con diversi casi segnalati anche in Perù. Con questo ritmo, però, non è impossibile che nelle prossime settimane tali trojan giungano anche in Europa. Ma di cosa si tratta?

Gigabud RAT è un malware attivo in ambiente Android, che si spaccia per app bancarie o comunque nel contesto finanziario. Stando ai ricercatori di Group-IB, si tratta di un gente malevolo difficile da individuare che invece di utilizzare attacchi overlay HTML raccoglie informazioni sensibili principalmente attraverso la registrazione di ciò che avviene sul display dello smartphone.

Gigabud RAT e Gigabud.Loan sfruttano phishing e file APK per diffondersi online

Gigabud.Loan, dal canto suo, è una versione modificata del suddetto trojan. Questo differisce da Gigabud RAT per diverse caratteristiche.

L’agente malevolo in questione, oltre a concentrarsi nel “simulare” app legati ai finanziamenti, agisce in modo diverso. Nello specifico, questo rinuncia ad alcune caratteristiche tipiche dei RAT, concentrandosi sull’esfiltrazione dei dati input dell’utente.

A tal proposito, gli esperti si sono espressi affermando che “Gli obiettivi sono utenti indotti a compilare un form di richiesta con la carta di credito per ricevere un prestito a basso interesse“.

Secondo le ricerche, Gigabud RAT e Gigabud.Loan utilizzano come vettore principale siti Web di phishing, con link diffusi via social network o SMS. Non mancano, però, i casi in cui i malware vengono distribuiti via file APK.

Pur non essendo ancora attivi sul territorio europeo, i consigli per evitare questo pericolo sono quelli standard relativi all’ambiente Android. L’uso di un antivirus, grande attenzione rispetto alle app che si installano e ai relativi permessi concessi, sono precauzioni fondamentali per evitare questi due malware.