#Cyfirma e #Zscaler hanno pubblicato due rapporti simultanei su un nuovo #info-stealer chiamato #MysticStealer. Debuttando su forum clandestini nell'aprile 2023, ha attirato l'attenzione, è stato sottoposto a test e ha incorporato feedback. Gli aggiornamenti continui hanno rafforzato la presenza di #MysticStealer, come dimostra il crescente numero di pannelli #C2 osservati.
Il #malware prende di mira una vasta gamma di applicazioni e piattaforme.
Può sfruttare 40 browser web, 70 estensioni per browser, 21 applicazioni di #criptovalute, 9 applicazioni di autenticazione multifattoriale e gestori di #password, 55 estensioni per #browser di criptovalute, oltre alle credenziali di #Steam e #Telegram.
In particolare, l'info-stealer può raccogliere dati di autocompletamento, cronologia di navigazione, file arbitrari, #cookie e informazioni associate a vari popolari portafogli di criptovalute, tra cui #Bitcoin, #DashCore ed #Exodus.
Esiste anche un canale #Telegram gestito dai criminali chiamato "#MysticStealerNews". Il progetto facilita discussioni sugli aggiornamenti dello sviluppo, richieste di nuove funzionalità e altri argomenti pertinenti.
Questo #malware è compatibile con tutte le versioni di #Windows da #XP a 11, supportando sia architetture di sistema a 32 bit che a 64 bit. Opera in memoria, riducendo al minimo la sua presenza nei sistemi infetti e sfuggendo alla rilevazione degli #antivirus.
Per evitare l'esecuzione in ambienti #sandbox, il malware effettua controlli #anti-virtualizzazione, esaminando i dettagli del #CPUID.
Dal 20 maggio, #MysticStealer include una funzionalità di caricamento per scaricare #payload aggiuntivi dal server #C2, come varianti di #ransomware.
La comunicazione con il #C2 è crittografata utilizzando un protocollo personalizzato su #TCP, mentre i dati rubati vengono inviati direttamente al server senza essere archiviati su disco, un approccio unico per un malware info-stealer, che aiuta nell'evasione.
Il futuro di #MysticStealer rimane incerto, data la natura precaria dei progetti illeciti di #MalwareAsAService (#MaaS). Tuttavia, la sua comparsa comporta rischi maggiori per individui e organizzazioni. Pertanto, è fondamentale esercitare estrema cautela nel scaricare software da Internet e implementare regolarmente la condivisione e il monitoraggio delle informazioni sulle minacce.
Un recente rapporto del Nokia #Threat #Intelligence Center getta luce sull'allarmante aumento degli attacchi #DDoS delle #botnet #IoT che prendono di mira le reti di telecomunicazione in tutto il mondo. Lo studio rivela un aumento cinque volte superiore di tali attacchi nell'ultimo anno, con i #criminali informatici che sfruttano dispositivi IoT non sicuri e collettivi di #hacker guidati dal profitto.
Questa impennata di attività malevole inizialmente osservata durante il conflitto tra #Russia e #Ucraina si è ora diffusa in varie regioni del mondo, mettendo a rischio infrastrutture critiche e servizi al di là delle reti di telecomunicazioni.
La proliferazione dei dispositivi #IoT tra i consumatori ha contribuito in modo significativo all'escalation degli attacchi #DDoS guidati dalle #botnet. Il numero di dispositivi IoT compromessi utilizzati in questi attacchi è aumentato da 200.000 a circa 1 milione, rappresentando attualmente oltre il 40% di tutto il traffico #DDoS.
Il rapporto sottolinea che questo aumento degli attacchi è dovuto al crescente numero di collettivi di #hacker guidati dal profitto, che approfittano della crisi in Ucraina.
Con le misure di sicurezza scarse presenti in miliardi di dispositivi IoT in tutto il mondo, che comprendono tutto, dai frigoriferi intelligenti ai sensori medici e agli #smartwatch, i criminali informatici hanno trovato numerosi bersagli da sfruttare.
La vulnerabilità dei dispositivi #IoT è un problema fondamentale che alimenta gli attacchi delle botnet. Molti dispositivi intelligenti sono progettati con misure di sicurezza scarse o addirittura assenti. Spesso mancano aggiornamenti regolari del #firmware e delle #patch di #sicurezza, il che rende i dispositivi aperti agli attacchi dei #cybercriminali. Inoltre, molte persone trascurano la necessità di cambiare le #password predefinite o utilizzano password deboli, rendendo i dispositivi ancora più vulnerabili. Queste debolezze consentono ai criminali informatici di compromettere i dispositivi IoT e utilizzarli come parte di una botnet per condurre attacchi su vasta scala.
La presenza di dispositivi IoT vulnerabili rappresenta, quindi, un serio pericolo per gli utenti e la società nel suo complesso. Innanzitutto, gli #attacchi delle botnet IoT possono compromettere la privacy degli utenti, consentendo ai criminali informatici di accedere ai dati personali sensibili memorizzati sui dispositivi. Inoltre, gli attacchi DDoS delle botnet IoT possono paralizzare le reti di telecomunicazione, interferendo con i servizi essenziali come le comunicazioni, il trasferimento dati e la connettività Internet. Ciò può avere un impatto significativo sull'infrastruttura critica e sulla continuità operativa di interi settori, come la sanità, il trasporto e l'energia.
Nell'era digitale in cui viviamo, la diffusione dei dispositivi personali come telefoni #cellulari, computer e dispositivi domestici intelligenti è sempre più ampia. Tuttavia, con questa crescita esponenziale, sorgono anche nuove minacce, come le infezioni da #malware. Secondo il recente Nokia Threat Intelligence report 2023, queste infezioni colpiscono un'ampia gamma di dispositivi, con implicazioni significative per la sicurezza e la privacy degli utenti.
Uno sguardo alle cifre rivela che il 30% dell'attività di malware è attribuibile ai telefoni cellulari e ai dispositivi domestici che utilizzano il sistema operativo #Android. Questa percentuale significativa mette in luce quanto i dispositivi Android siano diventati un bersaglio privilegiato per gli autori di malware, probabilmente a causa della diffusione globale di questa piattaforma e della sua popolarità tra gli utenti.
Un altro 24% delle# infezioni è causato da malware che è indipendente dalla piattaforma, il che significa che può colpire sistemi operativi diversi come #Windows, #Linux e una varietà di smartphone. Questo tipo di malware rappresenta una sfida particolare per gli utenti e gli sviluppatori di software, poiché richiede una protezione più ampia che vada oltre le misure di sicurezza specifiche per un sistema operativo.
La piattaforma Windows è responsabile del 20% delle infezioni, il che non sorprende considerando la sua ampia adozione in ambito #desktop e #laptop. La sua diffusione lo rende un obiettivo appetibile per gli autori di malware, che cercano di sfruttare le vulnerabilità presenti su questo sistema operativo ampiamente utilizzato.
Seguono nell'elenco le infezioni da malware su piattaforme #OSX (16%), #IoT (8%) e Linux (2%). Anche se le percentuali possono sembrare relativamente basse in confronto, è importante sottolineare che ogni sistema operativo ha le sue peculiarità e sfide uniche in termini di sicurezza. È fondamentale per gli utenti di questi sistemi prendere misure preventive per proteggere i propri dispositivi dai malware.
Dobbiamo considerare che Android, essendo il sistema operativo più diffuso per dispositivi mobili, attira l'attenzione degli autori di malware. La natura aperta di Android, che consente l'installazione di applicazioni provenienti da fonti esterne al #GooglePlay Store, aumenta il rischio di malware proveniente da fonti non affidabili.
Inoltre le policy di accettazione delle App sul Google Play non sono molto stringenti e spesso vengono emessi comunicati che riportano applicazioni contenenti malware scaricate dallo store. Ultima in ordine di tempo, a giugno 2023 il malware #SpinOK ha infettato oltre 100 applicazioni che in totale sono state scaricate da milioni di utenti.
Anche se #macOS ha una quota di infezioni da malware inferiore rispetto ad Android, i dispositivi #Apple non sono immuni da minacce. Negli ultimi anni, sono emersi diversi esempi di malware mirati a macOS, dimostrando che anche gli utenti di questo sistema operativo devono adottare misure preventive per proteggere la propria sicurezza e privacy.
Le infezioni da malware rappresentano, quindi, una minaccia significativa per i dispositivi personali, indipendentemente dal sistema operativo utilizzato. Mentre Android e macOS hanno percentuali di infezioni diverse, entrambi richiedono una consapevolezza e azioni preventive per proteggere la sicurezza e la privacy degli utenti. Scaricare applicazioni da fonti affidabili, mantenere i sistemi operativi aggiornati e utilizzare software antivirus sono solo alcune delle misure che possono essere adottate per ridurre il rischio di infezioni da malware.
In un recente attacco di phishing di grande portata, un gruppo di #hacker noto come #PinkDrainer è riuscito a rubare oltre 3 milioni di dollari in asset digitali impersonando un giornalista. Utilizzando tecniche sofisticate, i membri del gruppo hanno preso di mira gli account di #Discord e #Twitter di 1.932 vittime, tra cui importanti personalità e progetti nel campo delle criptovalute.
Secondo gli analisti di #ScamSniffer, un'organizzazione specializzata nella lotta contro le truffe online, il gruppo #PinkDrainer ha raggiunto un notevole successo nel compromettere gli account delle vittime, riuscendo a sottrarre circa 3 milioni di dollari in asset digitali sulla #Mainnet e su #Arbitrum. Uno dei colpi più significativi è stato quando hanno rubato token non fungibili (NFT) dal valore di 327.000 dollari a una singola persona, un colpo che ha attirato l'attenzione dei sistemi di monitoraggio di #ScamSniffer.
L'approccio utilizzato coinvolge l'impersonificazione di giornalisti di famosi media come #Cointelegraph e #Decrypt. I membri del gruppo trascorrono diversi giorni a fingere di essere giornalisti legittimi, creando un falso senso di fiducia nelle loro vittime. Si introducono nelle conversazioni con le vittime, organizzando interviste fasulle e richiedendo loro di fornire un'identificazione #KYC (know your customer) per verificare la loro identità.
Una volta che le vittime hanno abbassato le loro difese e si sono convinte della legittimità delle richieste, #PinkDrainer indirizza le vittime verso siti web progettati per rubare i token di autenticazione di #Discord. Questi siti si presentano come bot dannosi, ad esempio il falso bot di verifica "Carl", e istruiscono le vittime ad aggiungere dei segnalibri contenenti codice #JavaScript maligno utilizzando un pulsante "Trascina qui" presente sulla pagina fraudolenta.
Il codice JavaScript dannoso ruba i #token di autenticazione di #Discord, consentendo agli attaccanti di prendere il controllo degli account senza bisogno delle credenziali degli utenti o di intercettare i codici di autenticazione a due fattori.
Una volta ottenuto l'accesso agli account, #PinkDrainer si autopromuove come amministratore e rimuove gli altri amministratori per operare indisturbato. Utilizzando gli account compromessi di personalità di rilievo e progetti importanti nel settore delle criptovalute, gli hacker promuovono falsi giveaway, operazioni di minting fasulle, truffe di criptovalute e pagine di phishing.
La persistenza di #PinkDrainer e la sua capacità di perpetrare attacchi sofisticati sottolineano l'importanza della vigilanza e della diffidenza nelle comunicazioni provenienti dai media. In caso di contatti da parte di giornalisti o di richieste sospette, è fondamentale verificare l'autenticità dei messaggi contattando direttamente i media tramite i contatti ufficiali forniti sul loro sito web.
I investitori nel settore delle criptovalute devono anche prestare attenzione alle promozioni pubblicate dagli account legittimi, in quanto #PinkDrainer ha dimostrato di utilizzare gli account compromessi per diffondere truffe e pagine di phishing. Si consiglia di confermare sempre l'autenticità di giveaway e distribuzioni di token verificando le informazioni sui siti web ufficiali delle piattaforme coinvolte e su altri canali di social media affidabili.
#RoyalRansomware è uno dei numerosi #gruppi che sono emersi dopo lo scioglimento del famigerato gruppo #Conti ed è noto per il suo stretto legame con altri gruppi #ransomware nati dalla scissione di Conti. Secondo Yelisey Bohuslavskiy, chief research officer della società di #threatintelligence Red Sense, Royal ha affinato il suo #downloader utilizzando tattiche e tecniche che sembrano essere ispirate direttamente ad altri gruppi post-Conti. I downloader sono progettati per infettare un #endpoint e installare funzionalità aggiuntive su richiesta. Gli attaccanti che utilizzano il malware Conti, secondo gli studi condotti dai ricercatori, sono rimasti fedeli utilizzatori di diversi tipi di downloader, tra cui #Emotet, #IcedID e #QBot. Recentemente, Royal ha sviluppato il proprio #loader. Secondo Bohuslavskiy, il malware presenta caratteristiche notevoli come la sua dimensione ridotta, inferiore a 250 KB, e uno scopo ben preciso: installare #CobaltStrike e stabilire immediatamente una connessione con un #C2 di Royal. Il principale sviluppatore di Royal ha affermato in chat online che questa caratteristica è stata appositamente progettata. "In particolare, il loader non include un modulo o una funzione per la crittografia, una caratteristica che il principale programmatore ha affermato di aver incluso per dare agli utenti finali la flessibilità di incorporare i loro algoritmi di crittografia preferiti", ha dichiarato Bohuslavskiy in un post su #LinkedIn.
Royal è emerso all'inizio del 2022 come uno dei tanti gruppi nati dopo la scissione di Conti, tra cui #Alphv/BlackCat, #AvosLocker, #BlackBasta, #HelloKitty, #Quantum, #Roy/Zeon e #SilentRansom. Inizialmente, Royal utilizzava #ransomware sviluppati da altri gruppi. Tuttavia, a partire da settembre dello scorso anno, ha cominciato ad utilizzare una propria variante di #ransomware, che aggiunge l'estensione ".royal" ai nomi dei file criptati. Bohuslavskiy ha affermato che gli attacchi di Royal sono perpetrati da piccoli team di quattro o cinque persone che operano in modo molto "gerarchico e aziendale". L'organizzazione conta tra i "50 e 60 partecipanti attivi", anche se la struttura complessiva è complicata. Bohuslavskiy ritiene che ci siano almeno due centri di potere: il #Team2 di Conti, che è diventato il gruppo #Quantum e svolge un ruolo amministrativo, e una divisione tecnica separata. Le responsabilità di entrambe le divisioni si sovrappongono notevolmente. Gli attacchi sono condotti sia dal gruppo Royal che da individui fidati che utilizzano il loro ransomware, basandosi su connessioni personali preesistenti con ex membri dei gruppi #Conti, #REvil ed ex-#Hive. Gli attaccanti di Royal collaborano anche con molti altri servizi, come #Emotet e #IcedId/#Anubis, così come con altre persone che fanno parte dell'orbita post-Conti.
Gli attaccanti di #RoyalRansomware ottengono l'accesso iniziale a una vittima attraverso campagne di #phishing, lavorando con intermediari per l'accesso iniziale, sfruttando vulnerabilità note e accedendo a connessioni remote desktop non sufficientemente protette.
Il gruppo ha colpito una varietà di settori, inclusi settori critici come #sanità, #istruzione e #manifattura, come hanno avvertito l'FBI e l'#AgenziaPerLaSicurezzaDelleInfrastruttureInformatiche e della #SicurezzaCibernetica in un avviso di marzo.
"Gli attori di Royal esfiltrano i dati dalle reti delle vittime riutilizzando strumenti legittimi di #penetrationtesting, come #CobaltStrike, e strumenti malware e derivati come #Ursnif/Gozi, per l'aggregazione ed #esfiltrazione dei dati", hanno dichiarato le agenzie. "Dopo aver ottenuto l'accesso alle reti delle vittime, gli attori di Royal disabilitano il software #antivirus ed esfiltrano grandi quantità di dati prima di infettare infine i sistemi con il #ransomware e crittografarli".
Le richieste di #riscatto iniziali di solito vanno da 1 a 11 milioni di dollari, da pagare in #bitcoin.
A marzo, Red Sense ha segnalato che più di 1.000 organizzazioni sembravano essere state prese di mira da una campagna di #socialengineering organizzata da Royal. La campagna ha inviato alle organizzazioni un'email in cui affermava che erano state vittime del gruppo #Midnight e ha inviato loro un file che presumibilmente conteneva un elenco di ciò che era stato rubato. In realtà, il file era una versione del #malwareloader di Royal, progettato per consentire agli attaccanti di entrare nella rete della vittima, consentendo loro di esfiltrare dati e criptare i sistemi.
Royal si ispira fortemente a strategie che si sono dimostrate efficaci. Come #Qbot, il loader di Royal è progettato per eludere gli antivirus "sfruttando una DLL a alta fiducia senza oscuramento" e per sfruttare una vulnerabilità del print spooler di Microsoft Windows, nota come CVE-2022-41073, per ottenere #privilegi dopo aver ottenuto l'accesso iniziale. Incorpora inoltre "funzionalità chiave" di Anubis, una versione di #IcedID che è stata ulteriormente potenziata da Conti, ha affermato Bohuslavskiy.
L'uso di una DLL di fiducia richiama quanto fatto da Qbot l'anno scorso, quando ha sfruttato varie falle di elevazione dei privilegi, compresa la calcolatrice di Windows 7 e successivamente il pannello di controllo di Windows 10, per caricare ed eseguire un file DLL maligno contenente il suo downloader, come riportato da #BleepingComputer.
Un altro gruppo ransomware nato dalla scissione di Conti, #BlackBasta, è un altro utilizzatore frequente di Qbot, infettando i sistemi con il downloader e utilizzandolo per installare Cobalt Strike e lo strumento simile #BruteRatel.
Bohuslavskiy ha dichiarato che non è chiaro se Black Basta sia ora l'unico utilizzatore o proprietario di Qbot: le conversazioni tra i criminali suggeriscono che il gruppo #Clop potrebbe utilizzarlo anche. Tuttavia, sembra che l'accesso a Qbot sia diventato più limitato, il che ha probabilmente spinto gruppi come Royal a sviluppare i propri loader.
Come evidenziato, molti gruppi #ransomware utilizzano strategie di attacco collaudate che hanno prodotto risultati illegali per anni, anche se i nomi dei gruppi stessi o dei loro strumenti continuano a cambiare.
Il gruppo #RoyalRansomware rappresenta un'evoluzione del panorama ransomware, derivato dal noto gruppo Conti. Si ispira ad altre organizzazioni simili, mantendo una stretta collaborazione con loro. Il gruppo ha sviluppato un proprio loader e ha colpito diversi settori con attacchi condotti in modo gerarchico e aziendale. Utilizzano strategie collaudate, incorporando caratteristiche e funzionalità da altri gruppi ransomware. Questo sottolinea come molti gruppi ransomware adottino playbook con strategie di attacco comprovate che hanno generato profitti illegali nel corso degli anni, nonostante i nomi dei gruppi stessi o degli strumenti utilizzati possano cambiare.
Il regime nordcoreano guadagna circa la metà dei suoi introiti in valuta estera attraverso attacchi #hacker su #criptovalute e altri obiettivi, ha dichiarato un diplomatico statunitense.
Un alto funzionario dell'amministrazione Biden riferische che gli attacchi diretti dalla Nord Corea sono aumentati rapidamente dal 2018, in parallelo con i suoi programmi nucleari e missilistici.
Il funzionario dichiare di sapere che i furti di criptovalute siano una fonte significativa di finanziamento per il regime di Pyongyang e che circa il 50% dei loro guadagni in valuta estera provenga da furti informatici.
L'amministrazione Binden è molto concentrata nel contrastare la Nord Corea, lavorando a stretto contatto con gli alleati sudcoreani e collaborando con partner chiave in tutto il mondo. Dichiarano anche di essere preoccupati e desiderare la sensibilizzazione al riguardo, affinché le aziende siano più consapevoli dei pericoli di queste pratiche.
Stime sudcoreane citate affermano che il regime di Kim Jong-un impiega circa 10.000 agenti per sostenere una vasta campagna di attacchi informatici a scopo finanziario.
Il rapporto prosegue affermando che migliaia di altri lavoratori IT vengono inviati all'estero con documentazione falsa per lavorare come freelance nelle economie sviluppate.
Gli hacker nordcoreani sono stati accusati di alcuni dei più grandi furti di criptovalute di sempre, tra cui i 620 milioni di dollari rubati dalla rete Ronin di Sky Mavis l'anno scorso e i 281 milioni di dollari presi da KuCoin nel 2020.
Stanno utilizzando tecniche sempre più sofisticate per ottenere ciò che vogliono. Si ritiene che gli attacchi alla catena di distribuzione di 3CX, in cui un malware backdoor è stato impiantato in un aggiornamento software dall'omonimo fornitore di comunicazioni, siano stati un tentativo mirato di colpire gli scambi di criptovalute.
Una stima delle Nazioni Unite del 2019 affermava che la Corea del Nord aveva accumulato fino a 2 miliardi di dollari attraverso attacchi storici a società di criptovalute e banche tradizionali.
I #deepfake stanno aggiungendo un aspetto insidioso agli schemi di #sextorsion, avverte il #FederalBureauofInvestigation (#FBI). C'è stato un tempo in cui gli schemi di sextorsion coinvolgevano principalmente materiale digitale ottenuto con coercizione o rubato alle vittime. Ma il FBI sta ora lanciando l'allarme sul fatto che i deepfake stanno cambiando la natura di questo crimine.
Alcuni estorsori stanno ricorrendo alla tecnologia per creare immagini o video sessualmente espliciti partendo da contenuti apparentemente innocui pubblicati online, secondo un nuovo avviso del centro di reclami per i crimini informatici del bureau (#IC3).
L'obiettivo è generalmente lo stesso di un classico schema di sextorsion: il criminale vuole un pagamento per mantenere il materiale compromettente offline, o talvolta utilizza i file come leva per spingere la vittima a inviare nuovi contenuti espliciti. La differenza con i deepfake è che una persona potrebbe apparire in un'immagine o in un video credibile senza mai averlo intenzionalmente voluto, avverte il FBI.
"L'FBI continua a ricevere segnalazioni da vittime, compresi minori e adulti non consenzienti, le cui foto o video sono stati alterati in contenuti espliciti", ha dichiarato il bureau. "Le foto o i video vengono poi diffusi pubblicamente sui social media o su siti pornografici, con lo scopo di perseguitare le vittime o per schemi di sextorsion".
I warning sui deepfake, noti anche come "media sintetici" generati con strumenti di apprendimento automatico o intelligenza artificiale, circolano da anni, poiché tecnologi, esperti di sicurezza informatica ed enti governativi cercano di combatterne l'uso in truffe, operazioni di influenza o spionaggio.
Le materie prime per i deepfake sono aumentate negli ultimi anni, con il FBI che segnala un aumento delle segnalazioni da parte di vittime che sono apparse in contenuti espliciti basati su materiale "pubblicato sui loro siti di social media o su post sul web, fornito all'attore malintenzionato su richiesta o registrato durante videochat".
Questa nuova forma di sextorsion, alimentata dalla tecnologia dei deepfake, mette in evidenza sia i vantaggi che gli svantaggi dell' #intelligenzaartificiale. Mentre l'IA ha portato numerosi progressi e opportunità positive in vari settori, inclusi l'elaborazione delle immagini e la generazione di contenuti creativi, è anche diventata una minaccia per la sicurezza online.
I deepfake offrono la possibilità di creare immagini e video incredibilmente realistici, ma questa stessa capacità è stata sfruttata da individui malintenzionati per scopi illegali e dannosi. La facilità con cui si possono manipolare e alterare i contenuti digitali rappresenta una grave minaccia per la privacy, l'integrità e la sicurezza delle persone.
L'FBI e altre agenzie di sicurezza stanno cercando di contrastare l'abuso dei deepfake attraverso avvisi pubblici, collaborazioni internazionali e lo sviluppo di tecnologie di rilevamento. Tuttavia, il fenomeno dei deepfake rappresenta una sfida in continua evoluzione, in quanto le tecniche di creazione e manipolazione migliorano costantemente.
È fondamentale che le persone mantengano un atteggiamento di cautela quando si tratta di condividere contenuti online e interagire con estranei. La consapevolezza dei rischi legati ai deepfake e l'adozione di buone pratiche di sicurezza digitale sono essenziali per proteggersi da questo tipo di truffe.
Nell'era digitale in cui viviamo, le applicazioni mobili sono diventate una parte indispensabile della nostra vita quotidiana. Tuttavia, la sicurezza delle app è diventata una preoccupazione sempre più grande. Di recente, è emersa una nuova minaccia che ha messo a rischio la #privacy e la sicurezza degli utenti #Android: lo #SpinOk #SDK. Inoltre, questa situazione ha portato a una riflessione più ampia sull'inaffidabilità di Google Play, la piattaforma ufficiale per il download di app Android. Vediamo più da vicino questa minaccia e il contesto in cui si sviluppa.
Lo SpinOk SDK è un kit di sviluppo software per il marketing che ha trovato la sua strada in oltre 101 applicazioni Android, totalizzando più di 421 milioni di download. Originariamente presentato come un pacchetto di funzioni di marketing, come mini giochi e estrazioni di premi, si è rivelato essere un vero e proprio #spyware. Gli sviluppatori ignari hanno contribuito involontariamente a diffondere questa minaccia, nel più classico degli attacchi supply chain pensando di offrire un valore aggiunto ai propri utenti.
Una volta installata, l'applicazione compromessa si connette a un server #C2, inviando una vasta quantità di informazioni tecniche sul dispositivo infetto. Questi dati includono informazioni dai sensori del dispositivo, che possono essere utilizzate per rilevare ambienti di emulazione e impedire la rilevazione da parte dei ricercatori di sicurezza. In risposta, il modulo riceve una lista di URL dai server C2 e visualizza banner pubblicitari all'interno dell'app tramite WebView.
Uno dei fattori che ha contribuito alla diffusione dello SpinOk SDK è l'inaffidabilità di #GooglePlay come piattaforma per il download di app. Anche se Google ha implementato rigorose politiche di sicurezza e processi di screening, alcune app dannose riescono ancora a eludere le misure di sicurezza e a infiltrarsi nel negozio ufficiale di Android.
Nonostante gli sforzi di Google per affrontare le #app dannose, il problema persiste. Molte delle app compromesse, come quelle che contenevano lo SpinOk SDK, sono state scaricate milioni di volte prima di essere rimosse. Questo mette a rischio un numero significativo di utenti che hanno già installato queste app sul proprio dispositivo.
Tra le principali app colpite troviamo:
- Noizz - editor video con musica (almeno 100.000.000 di installazioni)
- Zapya - Trasferimento file, condivisione (almeno 100.000.000 di installazioni;
- VFly - editor video e creatore di video (almeno 50.000.000 di installazioni)
- MVBit - creatore di video MV per stati (almeno 50.000.000 di installazioni)
- Biugo - creatore di video ed editor video (almeno 50.000.000 di installazioni)
- Crazy Drop (almeno 10.000.000 di installazioni)
- Cashzine - Guadagna premi in denaro (almeno 10.000.000 di installazioni)
- Fizzo Novel - Lettura offline (almeno 10.000.000 di installazioni)
- CashEM - Ottieni ricompense (almeno 5.000.000 di installazioni)
- Tick - Guarda per guadagnare (almeno 5.000.000 di installazioni)
SpinOk SDK rappresenta una minaccia significativa per la privacy e la sicurezza degli utenti Android, sfruttando apparenze innocue per infiltrarsi nei dispositivi. Tuttavia, la sua scoperta solleva anche interrogativi più ampi sull'affidabilità di Google Play come piattaforma per il download di app. È fondamentale che gli sviluppatori adottino pratiche di sviluppo sicure e che Google rafforzi i suoi processi di screening per garantire un ambiente più sicuro per gli utenti Android. Solo attraverso una collaborazione continua tra gli attori coinvolti sarà possibile proteggere gli utenti e preservare l'integrità dell'ecosistema delle app Android.
Il mercato dei malware per il furto di informazioni è in costante evoluzione, con diverse operazioni di #malware che competono per i clienti #cybercriminali promuovendo una maggiore capacità di elusione e di furto di dati dalle vittime.
Gli #InfoStealer sono malware specializzati utilizzati per rubare #password degli account, #cookie, dettagli delle carte di credito e dati dei #wallet di #criptovalute dai sistemi infetti, che vengono poi raccolti in archivi chiamati "log" e caricati nuovamente dagli attori minacciosi.
Questi log di dati rubati vengono utilizzati per alimentare ulteriori attacchi o venduti su mercati a prezzi che variano da 1 a 150 dollari, a seconda della vittima.
La società di intelligence sulla sicurezza informatica #KELA ha compilato un rapporto che presenta l'aumento delle varianti e delle operazioni di #malware-as-a-service (#MaaS) che si sono sviluppate notevolmente nel primo trimestre del 2023, aumentando il rischio associato per le organizzazioni e gli individui.
"In questo rapporto, KELA si concentra su nuovi infostealer come Titan, LummaC2, WhiteSnake e altri che sono emersi di recente dal mondo del crimine informatico e hanno già guadagnato popolarità tra gli attori minacciosi", ha dichiarato l'analista di intelligence sulle minacce informatiche Yael Kishon in un rapporto condiviso con #BleepingComputer.
Sebbene ceppi più vecchi come #RedLine, #Raccoon e #Vidar continuino ad avere una presenza significativa e nuove famiglie come #Aurora, #Mars e #Meta stiano ancora crescendo, nuove famiglie di malware stanno cercando di farsi un nome quest'anno.
KELA evidenzia le seguenti quattro operazioni di furto di informazioni che sono state lanciate nell'ultimo anno:
#Titan: Titan è apparso per la prima volta su forum di hacker di lingua russa nel novembre 2022, promosso come un info-stealer basato su Go che mira ai dati memorizzati in 20 #browser web.
Il suo canale #Telegram conta oltre 600 iscritti. Il 1° marzo 2023, gli autori hanno rilasciato la versione 1.5 e il 14 aprile hanno anticipato una nuova versione imminente, indicando che si tratta di un progetto molto attivo.
Titan viene venduto a 120 dollari al mese (per principianti), 140 dollari al mese (per utenti avanzati) o 999 dollari al mese (per team).
#LummaC2: LummaC2 prende di mira oltre 70 browser, portafogli di #criptovalute e estensioni di autenticazione a due fattori.
Nel gennaio 2023, il progetto ha avuto un riavvio su Telegram, che attualmente conta più di mille iscritti, e da febbraio 2023 è stato offerto in vendita tramite il "RussianMarket".
LummaC2 viene venduto a 250-1000 dollari al mese, a seconda delle funzionalità selezionate, e KELA afferma che il malware gode di una buona reputazione nel sottobosco del crimine informatico.
LummaC2 gestisce anche un programma di rivenditori, offrendo agli agenti una commissione del 20% per le nuove sottoscrizioni che portano sulla piattaforma.
#Stealc: Analizzato per la prima volta da #SEKOIA nel febbraio 2023, Stealc è un information stealer leggero con esfiltrazione automatica che mira a oltre 22 browser web, 75 plugin e 25 portafogli desktop.
Viene venduto a 200 dollari al mese e la sua popolarità è in costante aumento.
In passato, è stato diffuso tramite video su YouTube che promuovevano #software crackato infetto.
#WhiteSnake: Questo ceppo è stato promosso per la prima volta su forum di hacker nel febbraio 2023 come un furto di informazioni mirato a email, Telegram, Steam e portafogli di criptovalute.
Può prendere di mira sia sistemi #Windows che #Linux, il che è raro in questo campo.
WhiteSnake conta più di 750 iscritti su Telegram ed è venduto a 140 dollari al mese o 1950 dollari per l'accesso a vita.
#Pegasus, lo #spyware sviluppato dall'azienda israeliana NSO Group, è entrato a far parte delle cronache internazionali per le sue capacità di sorveglianza avanzata e il suo impatto sulle questioni di privacy e diritti umani. Nel corso degli anni, Pegasus ha sollevato gravi preoccupazioni riguardo all'abuso di potere e all'uso indiscriminato da parte di governi e autorità di tutto il mondo. Recentemente, il suo coinvolgimento nel conflitto tra Armenia e Azerbaijan ha portato all'attenzione globale un ulteriore capitolo oscuro nella storia di questo software.
#Pegasus è emerso per la prima volta nel 2016 come uno dei software di sorveglianza più sofisticati mai sviluppati. Creato dalla #NSOGroup, un'azienda israeliana specializzata nella #sicurezza informatica, Pegasus è stato progettato per consentire a governi e agenzie di #intelligence di accedere ai dispositivi mobili delle persone per raccogliere informazioni sensibili. Il suo metodo di infezione attraverso #SMS infetto e la sua capacità di prendere il controllo completo dei dispositivi lo rendono un'arma formidabile per coloro che cercano di spionare gli individui senza il loro consenso.
Nonostante la NSO Group abbia inizialmente promosso Pegasus come uno strumento per combattere il crimine e il terrorismo, è emerso che il #software è stato utilizzato in modi che sollevano gravi preoccupazioni per la #privacy e i diritti umani. Numerosi governi, compresi quelli classificati come "democrature", hanno utilizzato Pegasus per sorvegliare attivisti, giornalisti e dissidenti politici, anche in paesi in cui la libertà di espressione è già compromessa. Ciò ha innescato un acceso dibattito sulla necessità di regolamentare l'uso di tali strumenti per prevenire abusi e violazioni dei diritti umani.
La recente scoperta dell'utilizzo di Pegasus durante il conflitto tra #Armenia e #Azerbaijan ha gettato luce su un ulteriore capitolo oscuro nella storia di questo software. Durante la guerra in Nagorno-Karabakh nel 2020, il spyware è stato utilizzato per spiare giornalisti, attivisti, funzionari governativi e civili armeni. Le organizzazioni per i diritti digitali hanno condotto un'indagine che ha identificato 12 individui in Armenia il cui dispositivo Apple è stato infettato con Pegasus tra ottobre 2020 e dicembre 2022.
Nonostante le prove raccolte, non è ancora emerso chi sia responsabile dell'utilizzo di Pegasus in questa vicenda. Gli esperti suggeriscono che sia possibile che entrambi i governi abbiano interesse a sorvegliare determinate figure, dato che sia l'Armenia che l'Azerbaijan sono stati associati all'utilizzo di #spyware simili in passato. Tuttavia, la mancanza di prove concrete rende difficile stabilire una connessione diretta.
L'utilizzo di Pegasus nel conflitto Armenia-Azerbaijan ha sollevato preoccupazioni significative riguardo alle violazioni della privacy e ai potenziali abusi dei diritti umani. Questo spyware consente agli aggressori di accedere a informazioni personali sensibili, inclusi messaggi, fotografie e dati di geolocalizzazione, mettendo a rischio la sicurezza e la libertà degli individui. È essenziale che la comunità internazionale e le organizzazioni per i diritti umani prestino attenzione a tali questioni e lavorino per garantire che strumenti di sorveglianza avanzati come Pegasus non vengano utilizzati per scopi illeciti o repressivi.