Il mondo della #cybersecurity è di nuovo sotto attacco con l'emergere di una nuova e preoccupante variante di #ransomware #DJVU, denominata "#Xaro". Questo #ransomware è stato osservato mentre si diffonde sotto mentite spoglie di #software crackato. #Ralph #Villanueva, ricercatore di sicurezza presso #Cybereason, ha segnalato che questa variante non solo cripta i file aggiungendo l'estensione .xaro, ma richiede anche un riscatto per un tool di decrittazione, colpendo i sistemi con una serie di carichi utili di #malware e #infostealer.

#DJVU, una variante del #ransomware #STOP, è noto per mascherarsi da servizi o applicazioni legittime, spesso veicolato tramite #SmokeLoader. Un aspetto significativo degli attacchi #DJVU è l'implementazione di #malware aggiuntivi, come i ladri di informazioni (ad esempio, #RedLine #Stealer e #Vidar), aumentando la pericolosità dell'attacco.

In un recente schema di attacco documentato da #Cybereason, #Xaro si propaga come file archivio da una fonte dubbia, spacciandosi per un sito che offre #freeware legittimo. L'apertura del file archivio porta all'esecuzione di un presunto installer per un software di scrittura PDF chiamato #CutePDF, che in realtà è un servizio di download di #malware pay-per-install noto come #PrivateLoader. #PrivateLoader stabilisce contatti con un server di comando e controllo (#C2) per recuperare un'ampia gamma di famiglie di #malware stealer e loader, come #RedLine #Stealer, #Vidar, #Lumma #Stealer, #Amadey, #SmokeLoader, #Nymaim, #GCleaner, #XMRig e #Fabookie, oltre a distribuire #Xaro.

#Xaro, oltre a generare un'istanza dell'infostealer #Vidar, è in grado di criptare file nell'host infetto prima di rilasciare una nota di riscatto, sollecitando la vittima a contattare l'attore della minaccia per pagare $980 per la chiave privata e lo strumento di decrittazione, un prezzo che scende del 50% a $490 se contattati entro 72 ore. Questa attività mette in luce i rischi legati al download di #freeware da fonti non affidabili e sottolinea l'inganno dietro l'

Gli esperti di fileless#cybersecurityfileless hanno recentemente lanciato un allarme riguardante un aumento significativo delle truffe e dei messaggi spam che sfruttano la funzionalità "Release scores" dei quiz di fileless#GoogleForms per inviare #e-mail ingannevoli. Queste truffe, particolarmente sofisticate, mirano a convincere le vittime a investire in fileless#criptovalute o a condividere i propri dati personali.

La società di sicurezza informatica fileless#CiscoTalos ha identificato che i truffatori utilizzano fileless#GoogleForms per creare quiz fasulli, completando questi formulari utilizzando l'email di ignare vittime. Dopo la sottomissione, i truffatori possono visualizzare le risposte e attivare la funzionalità "Release scores" su Google Forms. Ciò consente loro di inviare messaggi e-mail personalizzati, usando l'indirizzo dell'account Google, aumentando potenzialmente la probabilità che l'email raggiunga la casella di posta della vittima, dal momento che le email provengono dai server di Google.

In una di queste campagne, l'email sembrava provenire con l'intestazione dell'oggetto “Score released: Balance 1.3320 BTC”. Cliccando sul pulsante “Visualizza”, gli utenti venivano reindirizzati alla falsa risposta del modulo #Google che chiedeva di confermare il proprio indirizzo email. Successivamente, venivano indirizzati verso un link esterno che li sollecitava ad attivare i loro account contenenti fileless#Bitcoin del valore di oltre $46.000. Per rendere il tutto più convincente, le vittime venivano assistite tramite una sessione di chat dal vivo per compilare i loro nomi ed indirizzi email. Nella fase finale, alle vittime veniva chiesto di pagare una tassa di cambio dello '0,25%' o $64, scansionando un codice QR per reclamare l'importo.

Questa ultima truffa arriva pochi giorni dopo che fileless#Google ha avvertito che gli attori delle minacce stavano sfruttando il suo servizio di Calendario per ospitare infrastrutture fileless#C2. Questo sfruttamento veniva effettuato tramite uno strumento chiamato fileless#GoogleCalendarRAT, pubblicato per la prima volta su fileless#GitHub a giugno. Lo strumento permetteva agli aggressori di sfruttare le descrizioni degli eventi in Google Calendar per creare un canale nascosto.

La pianificazione meticolosa coinvolta nell'esecuzione di questo attacco evidenzia fino a che punto i criminali informatici possano spingersi per sfruttare le informazioni personali degli individui ed estrarre anche una modesta somma di denaro. Mentre questo tipo di truffe continua a emergere di tanto in tanto, è fondamentale che le organizzazioni rimangano aggiornate sugli Indicatori di Compromissione (fileless#IoC) e blocchino gli indicatori dannosi.

I ricercatori di Fortiguard Labs hanno scoperto un nuovo #infostealer chiamato #ExelaStealer. Questo #malware è comparso per la prima volta ad agosto e include una varietà di capacità di furto di dati, che vanno dal furto di dati sensibili come password, dettagli delle carte di credito, cookie e dati di sessione fino ai registri delle tastiere, da sistemi #Windows.

Secondo Fortiguard Labs, #ExelaStealer è scritto in linguaggio #Python ed è pubblicizzato su forum di #hacker e canali #Telegram. È disponibile in due varianti diverse: una è open source, mentre l'altra è una versione a pagamento. I ricercatori affermano che gli operatori offrono gratuitamente il codice sorgente del #malware. Chiunque abbia le competenze necessarie potrebbe creare un eseguibile di #ExelaStealer utilizzando il codice liberamente disponibile.

Gli #Infostealer sono generalmente #malware di basso costo che li rende strumenti perfetti per il furto di dati da parte di hacker meno esperti. Grazie alla loro vasta gamma di capacità, si è verificata una proliferazione di minacce di questo tipo nel panorama cibernetico. #Cybercriminali con sede in Vietnam sono stati individuati nell'uso di #Ducktail #infostealer, insieme al #malware #DarkGate, per mirare a organizzazioni nel Regno Unito, negli Stati Uniti e in India. Gli attori delle minacce dietro #LummaStealer sono stati trovati a utilizzare server #Discord come canale per distribuire il #malware a più persone. È stato osservato un #malware per il furto di informazioni chiamato #MetaStealer, che ha preso di mira sistemi #macOS.

In conclusione la scoperta di un altro nuovo #infostealer indica che c'è ancora spazio per nuovi attori delle minacce emergere e guadagnare popolarità. Inoltre, gli #infostealer forniscono l'opportunità agli aggressori di utilizzare i dati rubati per ricatti, spionaggio o riscatti. 

Il recente conflitto tra Israele e Hamas ha visto una nuova escalation con l'intervento di diversi gruppi hacker, che si sono uniti alla lotta in seguito all'attacco lanciato dal gruppo militante palestinese durante il fine settimana.

#Hamas ha lanciato un attacco senza precedenti su Israele dalla Striscia di Gaza, sparando migliaia di razzi e inviando i suoi combattenti nella parte meridionale del Paese. In risposta, Israele ha dichiarato guerra a Hamas, iniziando a replicare. Centinaia sono morti e migliaia sono rimasti feriti da entrambe le parti a causa di questo conflitto.

Oltre agli attori statali che probabilmente hanno intensificato le loro attività cyber in segreto, noti gruppi di hacktivist che sostengono entrambe le fazioni hanno intensificato i loro attacchi informatici.

Secondo una cronologia stilata dal consulente di cybersecurity e appassionato di OSINT, Julian Botham, i primi attacchi hacktivistici sono stati lanciati contro Israele da #AnonymousSudan meno di un'ora dopo che i primi razzi sono stati sparati da Hamas. Il gruppo ha preso di mira i sistemi di allarme d'emergenza, affermando di aver disattivato le applicazioni di allerta in Israele.

Anche il #JerusalemPost, il principale quotidiano in lingua inglese in Israele, è stato preso di mira da Anonymous Sudan.

Un gruppo pro-Hamas chiamato #CyberAv3ngers ha attaccato l'Israel Independent System Operator (#Noga), un'organizzazione della rete elettrica, affermando di aver compromesso la sua rete e chiuso il suo sito web. Hanno anche preso di mira l'#IsraelElectricCorporation, il principale fornitore di energia elettrica in Israele e nei territori palestinesi, così come una centrale elettrica.

Il noto gruppo pro-russo #Killnet ha lanciato attacchi contro i siti web del governo israeliano.

Un gruppo di hacker palestinesi chiamato #GhostsOfPalestine ha invitato hacker di tutto il mondo ad attaccare le infrastrutture private e pubbliche in Israele e negli Stati Uniti. Un gruppo chiamato #LibyanGhosts ha iniziato a vandalizzare piccoli siti web israeliani in supporto a Hamas.

Nella maggior parte dei casi, questi hacktivist hanno utilizzato attacchi di tipo #DDoS per causare interruzioni. Alcuni di loro hanno affermato di aver causato notevoli danni ai loro obiettivi, ma non è raro che gli hacktivist esagerino le loro affermazioni. Ad esempio, le rivendicazioni di hacker collegati all'Iran e altri che affermano di aver lanciato un cyberattacco al sistema di difesa aerea #IronDome di Israele sono probabilmente esagerate.

D'altra parte, gruppi come Killnet e Anonymous Sudan, entrambi legati alla Russia, sono noti per aver lanciato attacchi altamente disruptivi. In passato hanno preso di mira importanti aziende come #Microsoft, #X (precedentemente Twitter) e #Telegram con massicci attacchi DDoS.

Dall'altro lato, un gruppo pro-Israele chiamato #ThreatSec sostiene di aver compromesso l'infrastruttura dell'ISP di Gaza, #AlfaNet.

Hacktivist presuntamente operanti dall'India hanno attaccato siti web governativi palestinesi, rendendoli inaccessibili.

Un gruppo chiamato #Garuna ha annunciato il suo sostegno a Israele, mentre #TeamHDP ha preso di mira i siti web di Hamas e dell'#IslamicUniversityOfGaza.

Nel rapporto pubblicato la scorsa settimana, #Microsoft ha rivelato di aver riscontrato un'onda di attività da un gruppo di minacce con base a Gaza chiamato #Storm-1133, rivolto verso organizzazioni israeliane nei settori della difesa, energia e telecomunicazioni all'inizio del 2023. Microsoft crede che il gruppo "lavori per promuovere gli interessi di Hamas".

Come è stato ribadito più volte il passaggio al modello #RaaS (Ransomware as a Service) ha ridotto enormemente la soglia di ingresso nel modo #criminale da parte degli attori che vogliono affiliarsi a questi servizi.

Il RaaS ha permesso ai creatori delle piattaforme di concentrarsi sulle funzionalità del proprio prodotto, sulla sua usabilità e semplicità riducendo, come già detto, gli skill necessari agli affiliati per poter eseguire le proprie incursioni #criminale presso le infrastrutture delle vittime.

In uno studio che esamina i dati trapelati durante il crollo di maggio 2022 del gruppo #ransomware come servizio #Conti, un ricercatore della Università Cattolica del Sacro Cuore di Milano ha analizzato 182 indirizzi Bitcoin appartenenti a 56 affiliati di Conti. Il più delle volte, gli amministratori di Conti depositavano semplicemente i guadagni, lasciando agli affiliati il compito di trovare modi per riciclare i loro guadagni.

Spesso l’affiliato ha trasferito la maggior parte dei proventi illeciti, scrive il dottorando Mirko Nazzari, in una singola transazione diretta piuttosto che suddividerli in più transazioni nel tempo. "Questa abitudine è altamente insicura perché non aggiunge alcun strato di offuscamento tra i proventi illeciti e la loro origine criminale."

Solo una piccola parte - l'8% - ha effettuato transazioni con un #mixer criptato, un servizio che raggruppa fondi potenzialmente contaminati e li distribuisce casualmente ai portafogli di destinazione nel tentativo di rendere difficile o impossibile tracciare la criptovaluta rubata.

Più soldi un affiliato Conti riceveva dal ransomware, più era probabile che l'hacker usasse un mixer, dice Nazzari. Circa un quarto dei portafogli che hanno ricevuto più di $1.000 come pagamento ha utilizzato un mixer, mentre quasi il 40% ha utilizzato un servizio del #darkweb.

Gli affiliati non hanno completamente ignorato le pratiche di sicurezza operativa, ha scoperto Nazzari. Quasi tutti gli indirizzi che ricevevano il pagamento iniziale erano "non-custodial", il che significa che gli affiliati non si affidavano a uno scambio di criptovalute per detenere il denaro, preferendo mantenere le chiavi private dei portafogli. Tuttavia, gli scambi erano la destinazione più comune per il pagamento iniziale.

"Nonostante la narrativa dominante, non tutti i membri delle reti criminale sono altamente specializzati," dice il rapporto. "Questa mancanza di competenza sembra estendersi anche alla loro conoscenza delle pratiche di riciclaggio di denaro."

Sebbene le agenzie di governative abbiano identificato e sanzionato con successo i membri di #Conti, principalmente seguendo il denaro attraverso il tracciamento dei portafogli di criptovaluta.

Nazzari afferma che i governi devono garantire che le piattaforme cripto rispettino le normative anti-riciclaggio e "conosci il tuo cliente". Le forze dell'ordine possono emettere citazioni a queste piattaforme e ottenere informazioni chiave sui reati, come conti bancari personali, indirizzi e-mail, numeri di telefono e persino indirizzi IP.

Google ha dato il via a una nuova competizione denominata #v8CTF, che si concentra sul motore #JavaScript V8 del proprio browser Chrome. La sfida, inaugurata il 6 ottobre 2023, è aperta a tutti coloro che sono capaci di creare #exploit. Gli ingegneri di Google, Stephen Roettger e Marios Pomonis, hanno sottolineato che una volta trovata e sfruttata una #vulnerabilità nella versione in uso, i partecipanti possono catturare la bandiera.

I concorrenti possono scegliere di sfruttare vulnerabilità già conosciute (#n-days) o individuarne di inedite (#zero-days o #0-days). Google richiede che tali exploit siano affidabili, con un tempo di esecuzione non superiore a cinque minuti e una probabilità di successo dell'80%.

Google ha precisato che se un partecipante identifica un #bug e lo segnala con la stessa email con cui partecipa al #v8CTF, l'exploit sarà classificato come #0-day. Altrimenti, verrà considerato come #n-day. Gli exploit validi saranno premiati con $10.000. Questa sfida arricchisce l'offerta del Chrome Vulnerability Reward Program (#VRP) di Google, con premi extra fino a $180.000 per la scoperta di vulnerabilità #zero-day.

Altre iniziative di Google

Google ha anche annunciato #kvmCTF, una competizione legata alla macchina virtuale basata su kernel (#KVM) del suo servizio cloud. Questa sfida, prevista per i prossimi mesi, richiederà ai partecipanti di realizzare un attacco da guest a host utilizzando exploit #0-day e #1-day. I premi previsti sono:

• $99,999 per evadere completamente la #VM.
• $34,999 per exploit di scrittura nella memoria.
• $24,999 per exploit di lettura nella memoria.
• $14,999 per exploit che causa la negazione del servizio all'host (#DoS).

Google spinge i ricercatori a condividere le loro scoperte, facilitando così la crescita condivisa della comunità di #sicurezza.

Come partecipare al Chrome V8?

Se si utilizza un exploit basato su una vulnerabilità #0-day, è necessario segnalarlo al Chrome #VRP. È fondamentale controllare se l'exploit è già stato presentato per la versione V8 attuale. Dopo aver utilizzato l'exploit, i partecipanti devono creare un archivio .tar.gz dell'exploit e fornire il suo valore #sha256. Si deve poi completare un modulo fornendo queste informazioni. Google, dopo aver ricevuto l'exploit, impiegherà alcuni giorni per la sua verifica.

Il paesaggio della #sicurezzainformatica è in continuo mutamento, e uno dei protagonisti che continua a emergere con preoccupante regolarità è la Cina. Negli ultimi anni, diversi gruppi di #hacking cinesi sono balzati agli onori della cronaca, sollevando preoccupazioni a livello globale per le loro avanzate capacità tecniche e le operazioni di #cyberespionaggio.

Diversi rapporti indicano che la Cina possiede uno dei programmi di cyber-espionaggio più vasti al mondo. A confermare questi timori, recenti dichiarazioni del direttore dell'FBI, #ChrisWray, sottolineano che Pechino dispone di un programma di hacking così vasto da superare in dimensioni l'insieme di tutti i suoi principali concorrenti.

“La Cina ha già un programma di hacking più grande di ogni altra nazione principale combinata. Se ogni agente e analista del cyber dell'FBI si concentrasse esclusivamente sulla Cina, i hacker cinesi supererebbero ancora il nostro personale di almeno 50 a uno”.

Gruppi come #APT10, noto anche come Menupass Team, e #APT1, meglio conosciuto come Comment Crew, sono solo la punta dell'iceberg. Questi gruppi, sospettati di avere legami diretti o indiretti con il governo cinese, sono noti per le loro campagne mirate e l'ampio spettro di attacchi.

Ma ciò che è ancora più preoccupante è l'evoluzione delle loro tecniche. Kevin Mandia, amministratore delegato di #Mandiant, una delle principali aziende di sicurezza informatica al mondo, ha recentemente evidenziato al mWise Conference di Washington come i hacker cinesi siano "tra i migliori spie là fuori".

“il principale innovatore in attacco è la Cina”.

In risposta a queste gravi accuse, l'ambasciata cinese a Washington ha ribadito le smentite del paese riguardo all'uso di hacker per spiare gli Stati Uniti, sottolineando come le autorità e i media americani abbiano frequentemente "esagerato" le accuse di spionaggio legato alla Cina.

Queste dichiarazioni, combinate con i recenti attacchi ad alto profilo attribuiti alla Cina, mettono in evidenza una crescente tensione nel mondo della sicurezza informatica. Se da un lato la Cina nega fermamente ogni accusa, dall'altro la comunità internazionale cerca di far luce sull'entità e sulle implicazioni di queste operazioni di cyber-espionaggio.

In un'era in cui la digitalizzazione e la connettività giocano un ruolo cruciale in ogni aspetto della nostra vita, comprendere e contrastare le minacce poste da potenti gruppi di hacking come quelli associati alla Cina diventa sempre più imperativo.

Nel mondo digitale sempre più connesso in cui viviamo, la libertà di espressione e l'accesso a informazioni senza restrizioni sono considerati diritti fondamentali. Tuttavia, un'inquietante tendenza sta emergendo: la crescente maturità delle tecnologie di censura e sorveglianza implementate dai governi, in particolare da quelli con politiche restrittive sulla libertà di informazione. Uno dei sistemi più noti e controversi di censura a livello nazionale è il cosiddetto "Grande Firewall", e recenti notizie riportano che tale meccanismo sta raggiungendo nuovi livelli di potenza.

Secondo il rapporto pubblicato su The Register il 17 luglio 2023, la Cina ha compiuto passi da gigante nel rafforzamento del suo sistema di censura e sorveglianza digitale, comunemente noto come "Grande Firewall". Questo sistema, istituito molti anni fa per controllare e limitare l'accesso a contenuti stranieri, è stato oggetto di numerosi dibattiti internazionali sulla libertà di espressione e sui diritti umani.

Secondo il rapporto, il governo cinese ha stanziato risorse significative per potenziare ulteriormente il Grande Firewall, mettendo a punto nuove tecnologie sofisticate che rendono il sistema ancora più difficile da aggirare. Questi sviluppi rappresentano un significativo passo avanti nella capacità del governo cinese di controllare e filtrare il flusso di informazioni che circolano all'interno del paese.

Tra le principali preoccupazioni riguardo a questa crescente potenza del Grande Firewall vi è l'impatto sulla libertà di stampa digitale. I giornalisti e i media indipendenti, già sottoposti a una pressione significativa, potrebbero trovarsi ulteriormente limitati nel divulgare notizie e informazioni critiche riguardo al governo o ad altre questioni sensibili. Ciò potrebbe portare a una drastica riduzione della trasparenza e della capacità dei cittadini di essere informati in modo obiettivo e completo.

Oltre alla censura dei contenuti, il potenziamento del Grande Firewall solleva preoccupazioni sulla privacy e sulla sorveglianza di massa. Con la capacità di monitorare attentamente l'attività online dei cittadini, le autorità possono raccogliere dati personali e identificare potenziali dissidenti o attivisti, mettendo a rischio la sicurezza e la libertà degli individui.

Le azioni intraprese dalla Cina per rafforzare il Grande Firewall hanno anche implicazioni internazionali significative. Molti paesi hanno condannato la censura estesa operata dal sistema, sostenendo che essa minacci la libertà di espressione e il libero scambio di informazioni. Di conseguenza, tali misure potrebbero portare a tensioni diplomatiche e influenzare le relazioni commerciali e politiche tra la Cina e altre nazioni.

Alla luce del successo di #WormGPT, gli attori delle minacce hanno ora introdotto un altro strumento di cybercrime potenziato dall'intelligenza artificiale chiamato #FraudGPT. Questo #bot #AI viene promosso su numerose #darkWeb marketplace e canali #Telegram ed è in grado di progettare e-mail di #spear-phishing, generare strumenti di #cracking e facilitare attività sviluppo #malware.
Il #threat actor, che opera con lo pseudonimo online di #CanadianKingpin, si sta pubblicizzando come venditore verificato su diverse dark web marketplace sotterranee, tra cui #EMPIRE, #WHM, #TORREZ, #WORLD, #ALPHABAY e #VERSUS. L'offerta è stata pubblicizzata almeno dal 22 luglio con un costo di abbonamento di $200 al mese, $1.000 per sei mesi e $1.700 per un anno.
Secondo le affermazioni dell'autore, FraudGPT può essere utilizzato per scrivere codice maligno, sviluppare #malware indetectable e individuare perdite e vulnerabilità.
Inoltre, ci sono stati oltre 3.000 vendite confermate e recensioni di questo strumento. Al momento, il modello di linguaggio Large Language Model (LLM) specifico utilizzato nello sviluppo di questo sistema rimane non divulgato.
Un altro strumento simile è #WormGPT progettato per facilitare sofisticati attacchi di #phishing e #BEC che automatizza la creazione di e-mail false altamente convincenti, attentamente personalizzate per i destinatari, aumentando notevolmente la probabilità di successo dell'attacco. Inoltre, possiede un ampio supporto dei caratteri, mantiene la memoria della chat e ha la capacità di formattare il codice.
L'esistenza di WormGPT e FraudGPT solleva preoccupazioni, specialmente perché modelli AI come #OpenAI ChatGPT e #Google #Bard hanno adottato misure per prevenire il loro abuso in e-mail ingannevoli e codice maligno. L'uso di intelligenza artificiale generativa in questi attacchi allarga la loro accessibilità a una più ampia gamma di cybercriminali. Questi strumenti non solo elevano il modello di #Phishing-as-a-Service (#PhaaS), ma servono anche da piattaforma per individui inesperti che cercano di portare avanti attacchi di phishing e BEC su larga scala e persuasivi.