Un malintenzionato può benissimo buttarti fuori dall’applicazione utilizzando semplicemente il tuo numero di telefono, senza che tu possa fare assolutamente nulla. 

Se utilizzi Whatsapp, ti conviene fare attenzione ad un nuovo attacco in cui i criminali informatici sospendono il tuo account utilizzando solo il tuo numero di telefono. Secondo Forbes, la falla alla base è una mancanza di sicurezza in due processi indipendenti di Whatsapp, citando una ricerca di Luis Márquez Carpintero ed Ernesto Canales Pereña. 

Per capirci, la prima volta che si passa attraverso il processo di configurazione dell’account Whatsapp su un dispositivo, viene richiesto il numero di telefono a cui viene inviato un codice di verifica. Una volta inserito il codice, si procede con l’immettere il numero di autenticazione a due fattori (2FA) per confermare la propria identità. 

Tuttavia, non c'è modo di impedire a qualcuno di utilizzare il tuo numero nel processo di verifica.

Di recente è stato scoperto che Golden Chickens, un gruppo di criminali informatici, utilizza attacchi di spear-phishing rivolti a professionisti aziendali su LinkedIn, con offerte di lavoro false. Nel loro attacco, i truffatori inviano un malware fileless chiamato more_eggs in grado di creare una backdoor. La campagna è stata scoperta dai ricercatori di eSentire, che hanno messo in guardia le aziende e i singoli individui.

Che cosa è successo?

Secondo il team di ricerca di eSentire, i criminali informatici inviano e-mail di spear-phishing con un file zip dannoso che utilizza il nome della vittima per una posizione di lavoro elencata sul profilo LinkedIn.

•    Dopo aver aperto l'offerta di lavoro falsa, senza saperlo la vittima avvia l'installazione della backdoor more_eggs,  che apre la porta all’arrivo di ulteriori malware e fornisce l'accesso al sistema.

•    La backdoor è in grado di evadere gli antivirus.

Quattro gruppi criminali - Twisted Spider, Viking Spider, Wizard Spider e Lockbit Gang - hanno annunciato in momenti diversi durante l'estate 2020 che avrebbero lavorato insieme, ma hanno dato pochi altri dettagli in merito.  

In un rapporto di quasi 60 pagine, Jon Dimaggio, un ex dirigente per la National Security Agency (NSA) e ora capo stratega di sicurezza presso la società di intelligence Analyst1, ha indagato se i gruppi avessero effettivamente unito le forze. Mentre documentava le varie tecniche utilizzate, dalla violazione e cross-posting di dati, alle tecniche di condivisione, non ha mai notato alcuna condivisione delle entrate o coordinamento tra i gruppi, dice. 

"Se andate a cercare la definizione di cartello, l'unico tema trainante è l’unione di più organizzazioni che lavorano insieme e condividono i profitti", dice Dimaggio. "Quello che non ho mai visto, nemmeno una volta, è una gang di questo tipo che condivide profitti con un'altra gang. Alla fine, possono definirsi un cartello, ma non penso che lo siano veramente." 

Pillole di #MalwareAnalysis
Utilizzo di #ProcessDump nell’analisi dinamica
L’analisi dinamica di base di un #malware prevede di lanciarlo all’interno di una sandbox, sia essa fisica che virtuale, per analizzarne il comportamento senza l’ausilio di un #Debugger come #OllyDbg.
Ci sono però comportamenti come il #ProcessHollowing o una #DLLinjection che sono difficili da identificare con tool come #ProcessMonitor o #ProcessExplorer, allora come fare?
Un tool estremamente utile è Process Dump che consente di eseguire il dump di un processo in esecuzione. E’ un tool #OpenSource che può essere facilmente trovato su #GitHub
Come funziona?
Per prima cosa lanciamo il comando pd -db gen questo ci permetterà di crearci un database contenenti il codice #hash di tutti i #processi #Windows caricati in memoria.
Ottenuto il db, lanciamo il nostro malware!
Lanciamo pd -system
Questo comando ci permetterà di eseguire il #dump di tutti quei processi il cui hash non corrisponde con quello generato con il comando precedente.
Se il nostro malware andrà ad eseguire un #hooking all’interno di un pocesso, andrà anche a modificarne l’hash e questo verrà scoperto da process dumper con il conseguente dumping.
Bingo!
Abbiamo il trovato il processo sul quale è stato eseguito l’hooking!

Il server per il linguaggio di scripting è stato compromesso domenica.

Il progetto PHP ha annunciato domenica che gli attaccanti sono stati in grado di ottenere l'accesso al suo server principale Git, caricando due commit dannosi, tra cui una backdoor. La scoperta è avvenuta prima della produzione.

PHP è un linguaggio di scripting open-source molto usato per lo sviluppo web. Può essere incorporato in HTML. I commit sono stati inseriti nel repository php-src, offrendo così agli attaccanti l'opportunità di infettare a catena siti web che utilizzano il codice dannoso credendolo legittimo.

I commit "correggevano un errore di battitura" nel codice sorgente. Sono stati caricati utilizzando i nomi dei manutentori di PHP, Rasmus Lerdorf e Nikita Popov, secondo un messaggio inviato da Popov alla mailing list del progetto domenica. Ha aggiunto che non pensava fosse un semplice caso di furto di credenziali.

Dopo aver recentemente annunciato la fine dell'operazione, l'amministratore del ransomware Ziggy ha affermato di voler restituire i soldi alle vittime.

Sembra che questa sia stata una mossa pianificata, dal momento che la “buona notizia” è stata condivisa poco più di una settimana fa, ma senza dettagli.

Chiusura e poi rimborso

Il ransomware Ziggy è stato chiuso all'inizio di febbraio. In un breve annuncio, l’attore dell'operazione ha affermato che il gruppo è “dispiaciuto” per quello che ha fatto in passato e che "ha deciso di pubblicare tutte le chiavi di decrittazione."

E così è stato il giorno successivo, il 7 febbraio, quando hanno pubblicato un file SQL con 922 chiavi di decrittazione che le vittime possono utilizzare per sbloccare i loro file.

Secondo gli specialisti di sicurezza informatica di Zimperium, l’app non ufficiale sembra uno strumento di aggiornamento del sistema, ma è in realtà un malware Android. Una volta installato su dispositivi tramite download esterno, ruberebbe dati che spaziano dai messaggi SMS, alle informazioni contenute negli appunti. Può addirittura hackerare le telecamere del telefono e i microfoni per spiare utenti ignari.

Zimperium ha pubblicato un post sul blog che avverte gli utenti Android di non installare un’app chiamata "System Update", affermando che è in realtà una forma di malware in grado di rubare moltissime informazioni personali e sensibili dai loro telefoni o tablet. Questo software può essere trovato on-line cercando il nome in questione, e può anche avere un convincente logo Google come icona, ma non si trova sul Play Store.

Quando si parla di “teams” (squadre) è normale pensare in termini di colori. Tifi per i bianco-celesti, i giallo-rossi, i bianco-neri ecc.? 

Nel gioco della sicurezza informatica, si tifa per la Squadra Rossa o Red Team o per la Squadra Blu, Blue Team. Questo post ti aiuterà a capire cosa significa “Red Team” e come questo servizio può aiutare le aziende e le industrie di tutte le dimensioni a identificare e affrontare le minacce informatiche. 

Ci sono una varietà di strategie che aziende grandi e piccole possono adottare per proteggere le loro reti e i loro dati da eventuali attacchi informatici. Una di queste prevede la verifica della solidità di sicurezza in un ambiente aziendale. Per semplificare, è il modo in cui si testa quanto bene un'organizzazione se la caverebbe di fronte a un attacco informatico vero e proprio. 

Ma poiché i punti deboli hanno forme diverse, è necessario disporre di un team di sicurezza focalizzato che pensi come un attaccante e agisca come tale. 

Con il 2021 iniziato da pochi mesi, come si evolverà la situazione della sicurezza informatica per le aziende? Quali saranno i principali focus, rischi e considerazioni di quest’anno per i leader e i professionisti della sicurezza informatica? Ecco un elenco di sette previsioni che interesseranno le aziende e i professionisti della sicurezza informatica:

1. I lavoratori a distanza saranno il bersaglio principale dei criminali informatici per tutto il 2021

Le vittime preferite dei cyber-criminali saranno sempre gli utenti comuni, a cui verranno lanciati attacchi che sfruttano i loro comportamenti e le loro abitudini. Lo abbiamo visto molto chiaramente nel 2020, quando i dipendenti di vari settori sono improvvisamente diventati lavoratori a distanza per rispettare la quarantena, spostando i loro dispositivi a casa. I criminali informatici hanno approfittato di questo cambiamento per lanciare attacchi di phishing, vishing, ransomware, e tutta una serie di altri attacchi che sfruttano le lacune di sicurezza delle aziende, dal momento che molte di esse non erano pronte a sostenere una forza lavoro da remoto in totale sicurezza.

Apple prevedere di iniziare a rafforzare l’App Tracking Transparency dopo il rilascio di iOS 14.5, e tutte le applicazioni che accedono all’iPhone AD identifier (IDFA) dovranno chiedere il permesso dell’utente prima di consentire il tracciamento. 

Secondo un nuovo rapporto del Financial Times, tuttavia, la China Advertising Association (CAA) sta testando uno strumento che potrebbe essere utilizzato per aggirare le nuove regole sulla privacy di Apple e consentire alle aziende di continuare a monitorare gli utenti senza il loro consenso. 

Il nuovo metodo di monitoraggio degli utenti si chiama CAID, ed è in fase di testing da parte di aziende tecnologiche e inserzionisti in Cina. Secondo il rapporto, il proprietario di Tiktok, Bytedance, ha già fornito ai suoi sviluppatori una guida di 11 pagine, suggerendo che gli inserzionisti "utilizzeranno il CAID come sostituto, se l'IDFA dell'utente non fosse disponibile."