Ancora una volta una nuova forma di occultamento porta alla distribuzione di malware per il mondo mobile, ed in particolare per Android. La cosa più drammatica è che questo avviene attraverso lo store ufficiale, o meglio sotto il suo naso. A beneficiare di questa nuova strategia è ora il famigerato trojan bancario per Android già visto nel 2021, TeaBot, anche noto come Anatsa. 

Si tratta di un pericoloso malware bancario in grado di intercettare messaggi SMS e credenziali di accesso da utenti inconsapevoli (anche codici 2FA “rubato” dallo schermo del dispositivo), di propagarsi in rete (RAT) tramite lo streaming live dello schermo dei dispositivi (attivato a richiesta, quindi con la ignara “complicità” dell’utente). 

L’evoluzione della minaccia ha scelto come forma di distribuzione le cosiddette “applicazioni dropper” (applicazioni che non contengono il malware, ma il modo per portarlo nel dispositivo) attraverso il Google Play Store ufficiale, con un fortissimo aumento nell’ultimo periodo che ha elevato a 400 il numero delle applicazioni contaminate, tutte di natura bancaria, portafoglio di criptovaluta, assicurazioni e affine, tutto al fine di rendersi utili agli usi e necessità delle vittime designate. 

Infatti, tutto quanto è coerente con il profilo delle vittime può occultare questa minaccia, come è stato ad esempio per “QR Code Reader – Scanner App” (ha distribuito 17 varianti di TeaBot con più di 100000 download), “QR Scanner 2021”, “PDF Document Scanner” e “CryptoTracker”, oppure come l’ultimo caso scoperto, quella “QR Code & Barcode – Scanner” già scaricata più di 10000 volte che, con la classica struttura da dropper, attraverso una finta procedura di aggiornamento richiesta subito dopo la sua installazione attraverso un popup, incastra l’utente vittima facendogli scaricare il codice del malware. Quindi è evidente che il comportamento anomalo dell’utente è il migliore alleato degli agenti di minaccia: contrariamente alla normale prassi di aggiornamento attraverso il Google Play Store ufficiale, questa applicazione chiede di scaricare e installare una

L’immagine che abbiamo di un analista forense è quella del “poliziotto della scientifica” che con un pennellino spolvera una superficie a caccia di impronte digitali, scatta foto o recupera capelli e altri residui organici dal luogo di un delitto. Alternativamente abbiamo l’immagine del patologo legale che esamina il cadavere nella sala delle autopsie, analizza i risultati di prelievi e osservazioni. Vabbè è chiaro: questa ultima immagine non è molto accattivante. In tutti i casi abbiamo però chiaro il loro fine: scoprire cause e autori di un delitto. 

Ma se il crimine venisse commesso contro o mediante strumenti informatici? 

Certamente cambierebbero le forme e gli strumenti dell’indagine, ma anche in questo caso si avrebbero “armi del delitto”, “impronte digitali” ed in qualche circostanza anche dei “cadaveri ancora caldi”, naturalmente “a base silicio” e non “a base carbonio”, come si direbbe tra amanti della fantascienza: insomma, tutto ruoterebbe attorno e dentro i circuiti di un computer (e di altre sue componenti). Ecco il mondo della Computer Forensic. 

Probabilmente sarà pure una attività meno movimentata (sbilanciata maggiormente sull’attività in laboratorio che sul campo), e certamente sarà meno impressionante per i deboli di stomaco; quello che sicuramente non mostrerà cambiamenti è la sussistenza delle medesime motivazioni, procedure, e finalità, che anche nella analisi forense nell’ambito informatico hanno il loro spazio tra le tante conoscenze tecniche indiscutibilmente necessarie (come d’altronde nelle altre specializzazioni forensi). Queste conoscenze hanno inoltre necessità di crescere costantemente: un analista forense deve essere al passo con gli sviluppi tecnologici, avere familiarità quindi con tecnologie e prodotti differenti, deve conoscere i sistemi operativi in uso, deve capire di networking in maniera approfondita (l’ispezione del traffico in termini di protocollo è tra le sue armi segrete), deve capire e gestire componenti hardware, e tanto altro ancora. Il termine analista poi non

Il noto gruppo di minaccia avanzata persistente (APT) Lazarus non è nuovo ad attività di abuso della reputazione. 

Già nel passato, al pari di altre minacce persistenti, sfruttarono, in attività di phishing, società del calibro di Northrop Grumman e BAE Systems, spacciando false offerte di lavoro ai malcapitati, sfruttando (abusando del) la reputazione delle aziende impersonate per raggiungere le vittime e, naturalmente, abusando di loro. 

Si è trattato di vere e proprie frodi nel reclutamento: questa hanno tipicamente il solo intento di ottenere informazioni personali (dai dati anagrafici alle coordinate bancarie, ecc) delle vittime sfruttando la reputazione del mittente falsificato, in genere aziende grandi e famose. 

L’obiettivo del gruppo Lazarus si è spostato recentemente verso l’industria della difesa, con una nuova campagna che va all’attacco di aspiranti candidati a lavori legati al settore della difesa, ed in particolare impersonando, in questa ultima operazione rilevata da Qualys, la Lockheed Martin, società con base a Bethesda (Maryland, USA) legata come noto all'aeronautica statunitense. Lockheed Martin offre soluzioni di varia tecnologia militare, dai sistemi di missione all'esplorazione spaziale: si tratta quindi certamente di un “pesce grosso” (più di 65 miliardi di dollari di fatturato nel 2020 e oltre 100 mila dipendenti in tutto il mondo) che per il suo peso strategico è naturalmente obiettivo sensibile per tutti gli agenti di minaccia collegati a stati nazionali (come Lazarus con i suoi legami con la Corea del Nord). 

Le capacità del gruppo Lazarus sono tristemente note: il gruppo è sofisticato nelle strategie e motivato finanziariamente, e non

Di WordPress già abbiamo parlato l’ultima volta, inseguendo il momento, la cronaca di nuove vulnerabilità emergenti. 

Ma ora che il 2021 è alle spalle, è anche il momento di fare un consuntivo delle vulnerabilità nell’ecosistema WordPress che abbiamo già detto essere vasto e quindi importante. 

Avete in mente un evento significativo del 2021 che abbia attirato l’interesse dei più? Ebbene, mai quanto WordPress per gli agenti di minaccia: nel solo 2021 sono state segnalate 2.240 vulnerabilità di plug-in terze parti per WordPress, portanto a 10359 il numero delle vulnerabilità note per questo sistema (dalla sua nascita che risale al 2007). 

Si tratta di un incremento pari al 142% rispetto al 2020: se non è indice di interesse questo. 

La cosa può sembrare già di per sé allarmante considerando questo in termini numerici assoluti, ma quando si guarda anche alla qualità delle vulnerabilità, le cose, per quanto possibile, peggiorano ulteriormente: 7993 vulnerabilità, più di ¾, il 77% del totale posseggono un exploit pubblico, ossia un metodo, un software capace dello sfruttamento delle stesse. 

Ci sono altri numeri che aumentano l’agitazione degli addetti ai lavori. 

Di tutte le vulnerabilità note, 7592 (73%) sono sfruttabili da remoto contro le 2767 che lo sono altrimenti. Un altro indicatore significativo è esistenza di 4797 vulnerabilità (46% sul totale e 60% sulle 7993 vulnerabilità con exploit pubblico) che possiedono un exploit pubblico ma non sono state mai censite da un CVE ID. 

Questo è il dato più allarmante, in

L’utilizzo di WordPress quale piattaforma CMS è uno di quelle cose che si definiscono tipicamente come uno “standard de facto”; il motore open-source per la costruzione di siti, blog e tutto quello che potete immaginare nel mondo del Web 2.0 è tra i più diffusi al mondo.

Sviluppato nel lontano 2003 in PHP con il backend dei dati realizzato mediante una istanza MySQL (ora Oracle), conta ad oggi oltre 700 milioni di siti, pari a circa il 43% del totale (stimato) del web pubblico.

Vanta tra i suoi utilizzatori alcune tra le “Fortune-500” (vedi https://wordpress.org/showcase/tag/fortune-500/), ossia le 500 più grandi aziende statunitensi così come stilate dalla periodica classifica redatta dalla rivista di settore Fortune. Tra queste ricordiamo solamente alcune aziende come Disney, Sony Music, Microsoft, ed altre certamente di grande calibro.

Purtroppo (parafrasando un altro detto) da gradi onori derivano grandi oneri, ed in questo l’onere più pesante è certamente quello di mantenere alto il livello di sicurezza del prodotto.

Compito difficile quando si ha una struttura estremamente personalizzabile mediante software di terze parti, quindi fuori dal controllo diretto. Sia chiaro: non è che il cuore del sistema CMS WordPress sia di per sé perfetto e che non soffra storicamente di limiti e problemi di sicurezza, ma è innegabile che la pletora di plug-in abbia innescato innumerevoli problemi di sicurezza, nonché una enorme difficoltà nell’analizzare le differenti condizioni di utilizzo delle componenti in uso nei siti.

Abbiamo appena finito di parlarne (e aggiornare i nostri dispositivi), che ancora una volta Apple deve correre ai ripari per altre vulnerabilità zero-day, ancora una volta con obiettivo il motore WebKit per i suoi browser e naturalmente con il coinvolgimento dell’intero suo ecosistema (dagli iPhone ai dispositivi macOS). 

Come sempre accade in queste circostanze, Apple, come qualsiasi altro vendor in procinto di mitigare il rischio di uno zero-day appena svelato, non ha rilevato molti dettagli tecnici riguardo a queste vulnerabilità, così come non vi è ancora traccia documentale sul database NVD del NIST. 

Stiamo solo agli annunci relativi alle patch di sicurezza che Apple ha diffuso per i suoi dispositivi: si tratta dell’annuncio https://support.apple.com/en-us/HT213092 per i sistemi macOS (stiamo parlando dell’ultimo della famiglia, ossia la versione 12, che ha nome Monterey) e dell’annuncio per l’insieme più recente dell’ecosistema mobile di Apple (iPhone, iPad, iPod) https://support.apple.com/en-us/HT213093. 

Pur in ambienti differenti, tutti i casi citati derivano da problema che colpisce il framework WebKit, componente che gestisce la navigazione dei contenuti in questi ambienti, quindi la vulnerabilità consente la violazione semplicemente attraverso l’elaborazione di contenuti Web appositamente congegnati per il suo sfruttamento. 

In particolare la debolezza in termini di sviluppo software è la CWE-416, che indica un problema di utilizzo di memoria dopo che questa sia stata liberata (“use after free”), che

Una nuova minaccia si affaccia sull’orizzonte degli utilizzatori di Microsoft Office.

La minaccia da macrovirus in ambiente Microsoft Office è ormai endemica, ma non smettono di stupire le forme sempre nuove di occultamento di questa minaccia che riescono a veicolare il vettore di attacco in casa dei malcapitati. Il metodo è sempre lo stesso: ingegneria sociale per recapitare il “pacco regalo” attraverso la posta elettronica.

Naturalmente tutto questo è noto agli strumenti ed analisti di difesa che da anni osservano il traffico di rete dei loro perimetri alla ricerca delle forme note di questa minaccia.

I formati Microsoft Office nel tempo sono mutati, ma la necessità di eseguire macro per l’automazione delle operazioni d’ufficio è rimasta coerente, pertanto è normale veder circolare, e dunque è necessario vigilare su, vecchi e nuovi formati che presuppongono l’inclusione di tali operazioni automatiche.

È dunque evidente come la questione si sia spostata ora sulle forme di occultamento più che sulla tecnologia si, tecnologia no. Tipicamente le forme di occultamento per questa minaccia erano legate alle forme del malware stesso. Ora una nuova minaccia incombe: un nuovo formato file si è dimostrato capace di veicolare la minaccia fino in casa, in barba a certa euristica e casi d’uso che prevedevano il diffondersi di tale minacce con i più canonici formati .doc, .xlts, ecc.

L’inatteso arriva da un

Il nome che si sente comunemente è “Virus”, ma questa è solo una delle forme che un “software malevolo” (questo il significato del nome malware) può assumere. Le forme sono in questo caso anche sostanza, sostanza che in un nome proprio (virus, worm, trojan, rootkit, keylogger, botware, adware, crimeware, ransomware, ecc) descrive il comportamento di questi programmi che hanno nel loro DNA solo intenti minacciosi verso di noi, le vittime designate. I malware in realtà intendono fornire un’arma per gli aggressori del cyberspazio per raggiungere i loro scopi: rubare informazioni, ricattarci al fine di estorcere denaro (tipicamente solo criptovaluta), spiare le nostre abitudini, rubare le nostre credenziali al fine di costruire nuove forme di aggressione, e tanto altro. Giungono a noi mediante varie forme di inganno, ovvero falsificazione (spoofing) delle forme di identità che governano a vari livelli la conversazione del cyberspazio, e per questo possono carpire la nostra buonafede e consentire loro di esistere così nei nostri computer: infatti un malware, ad oggi, viene veicolato nei nostri dispositivi tipicamente attraverso forme di comunicazione in realtà sotto il nostro controllo (quando scarichiamo programmi da siti e store) o comunque di nostro utilizzo quotidiano (come quando leggiamo la nostra posta elettronica). Proprio quest’ultimo caso è uno dei metodi di diffusione più perseguiti dagli attori di minaccia, il cosiddetto “phishing”, una strategia di diffusione di malware che come la pesca d’altura cerca di catturare con le sue reti più pesci possibile, ed in questo caso i

Con un recente annuncio di sicurezza Cisco lancia l’allarme sulla presenza di differenti vulnerabilità per alcuni suoi prodotti per il mercato Small Business, ed in particolare i router della serie RV quando utilizzati come SSL Gateway, ossia come noti per accesso VPN.

La serie RV infatti è una famiglia di appliance per realizzare VPN in modo conveniente per l’accessibilità del personale aziendale da remoto. Si tratta di prodotti integrati dotati di firewall, crittografia avanzata e funzionalità di autenticazione per risolvere tutte le necessità relative alla gestione di una VPN in un unico box.

L’allarme deriva dal fatto che il numero di vulnerabilità è davvero alto: ben 15 differenti vulnerabilità, di cui 3 con punteggio massimo CVSS (10.0); un bouquet degno di nota, dunque: abbiamo esecuzione remota di codice, elevazione di privilegio, esecuzione di comandi arbitrari, violazione della sessione, caricamento e sovrascritture di file arbitrari (con la conseguente esecuzione degli stessi), possibile denial of service.

Per i curiosi le vulnerabilità sono CVE-2022-20699, CVE-2022-20700 e CVE-2022-20708 quelle da 10.0; CVE-2022-20706, CVE-2022-20701 e CVE-2022-20703 quelle sopra 8.0 ed infine le restanti CVE-2022-20710, CVE-2022-20709, CVE-2022-20749, CVE-2022-20702, CVE-2022-20704, CVE-2022-20705, CVE-2022-2070, CVE-2022-20711 e CVE-2022-20712.

Naturalmente, come Cisco stesso evidenzia, non tutte e 15 le

Non è la prima volta che accade, ma ci risiamo! 

Era il lontano 2016 quando il codice sorgente del malware alla base della botnet Mirai fu sottratto agli autori e finì pubblicato sulla piattaforma github (https://github.com/jgamblin/Mirai-Source-Code). Questo è evidente portò ad una più rapida evoluzione del fenomeno: la possibilità di avere questa piattaforma software consentitì a differenti attori di produrre una propria variante del malware Mirai (Moobot, Satori, Masuta, ecc), ognuna con proprie funzionalità e caratteristiche che le rese uniche e sempre più aggressive. Il risultato: l’esplosione di milioni di infezioni. 

Il terreno di cultura per queste infezioni è stato ed è il mondo IoT, ormai proverbialmente noto per essere refrattario ai più ordinari e semplici principi di sicurezza. 

Medesimo destino sembra ora aver portato un'altra vecchio gloria del mondo del malware orientato all’IoT al medesimo approdo. 

Correva il 2021 quando i laboratori Alien Labs della AT&T scoprivano il primo malware realizzato nel linguaggio di programmazione golang (Mirai era in C), il linguaggio di programmazione open-source di