Un fattore chiave è la nefasta cooperazione sempre più evidente tra le organizzazioni hacker sponsorizzate da stati e bande di cybercriminali, condividendo strumenti e tecniche avanzate.
Tra i nuovi vettori emergenti, il ransomware e il phishing continuano a essere preponderanti, ma il report rileva anche l’aumento delle tecniche di compromissione dell’identità e sfruttamento delle vulnerabilità in software non aggiornati, con crescente uso di tecniche di aggiramento delle Autenticazioni Multi Fattore.

Un altro esempio concreto è l’esplosione delle truffe online, che sono cresciute del 400% dal 2022, passando ad oltre 100.000 casi giornalieri nel 2024.

In un contesto di conflitti geopolitici attivi, come quelli in Ucraina, Israele e Taiwan, gli attacchi informatici sono spesso usati come strumenti di spionaggio e disinformazione.
Russia e Cina sfruttano in modo massiccio le tecnologie digitali e l’AI, anche se con approcci diversi: mentre la Russia utilizza l’AI soprattutto nell’elaborazione di contenuti audio per campagne di disinformazione, la Cina predilige immagini generate dall’intelligenza artificiale.

L’Italia è posizionata all’ottavo posto tra i Governi presi di mira in Europa, mentre in top 3 abbiamo Ucraina, UK e quindi Polonia.

Un altro dato allarmante del report riguarda la brevissima durata delle infrastrutture utilizzate per gli attacchi, che rimangono attive per meno di due ore, rendendo difficile la loro identificazione e mitigazione.
Questo evidenzia l’urgenza di adottare misure di difesa più veloci ed efficaci per contrastare queste minacce, che si muovono a una velocità senza precedenti.

Questo report sottolinea che la guerra cibernetica sta diventando sempre più ibrida e sofisticata, con attori statali e non che sfruttano nuove tecnologie come l’intelligenza artificiale per amplificare il loro impatto globale, confermando la necessità di una cooperazione internazionale rafforzata per contrastare efficacemente queste minacce in rapida evoluzione.

Qui il report completo:

https://cdn-dynmedia-1.microsoft.com/is/content/microsoftcorp/microsoft/final/en-us/microsoft-brand/documents/Microsoft%20Digital%20Defense%20Report%202024%20%281%29.pdf

#microsoftdigitaldefense #report2024 #cybersecurity #cyberthreat

Questo metodo di attacco rappresenta una forma sofisticata di ingegneria sociale, che sfrutta l’apparenza di autenticità di siti e documenti allegati per manipolare gli utenti e fargli eseguire script dannosi.
Questi siti Web compromessi sono spesso realizzati con cura per sembrare autentici, aumentando la probabilità di conformità dell’utente.
L’impossibilità di visualizzare la pagina o il documento per assenza di un componente ed il pop-up verosimile che invita facilmente ad una soluzione, sono un invito allettante che tiene basse le soglie di allerta dell’utente, lasciando libere di agire le leve emotive di urgenza, bisogno e curiosità.

Ecco come viene strutturato il Metodo di Attacco:

1. Siti Web Compromessi: Gli utenti vengono attirati su siti Web apparentemente legittimi, accuratamente realizzati per sembrare autentici, questo può avvenire anche tramite allegati mail.
2. Reindirizzamento a Domini Dannosi: Dopo aver visitato questi siti, magari in allegato alla missiva, le vittime vengono reindirizzate a domini che ospitano finestre popup false.
3. Falsi Prompt di Errore: Le finestre popup di errore ingannano gli utenti inducendoli a eseguire azioni semplici che per risolvere il problema, che in realtà mirano ad incollare uno script in un terminale PowerShell senza che ne abbia consapevolezza.
4. Script Codificati in Base64: Gli aggressori utilizzano script codificati in base64. Questi, una volta eseguiti, scaricano ed eseguono file HTA (HTML Application) da server remoti.
5. Distribuzione di Malware: I file HTA distribuiscono malware come DarkGate e Lumma Stealer sul sistema target, che eseguiranno quindi furto di dati ed altre attività dannose per l’utente.

Una volta attivo, il malware compirà diverse attività dannose:
Tra queste, il furto di dati personali, l’elusione dei sistemi di rilevamento tramite la cancellazione del contenuto degli appunti, e la persistenza del malware nel sistema tramite l’esecuzione di processi in finestre ridotte a icona.

Qui la ricerca dei laboratori McAfee:

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/clickfix-deception-a-social-engineering-tactic-to-deploy-malware/

Mitigazioni Consigliate

In Italia, molte aziende affrontano sfide significative nella protezione contro queste sofisticate minacce informatiche.

Spesso, la consapevolezza delle tattiche di ingegneria sociale e degli schemi di phishing è limitata.

È fondamentale organizzare sessioni di formazione regolari per istruire gli utenti sulle tecniche di attacco più comuni. La formazione continua è una delle prime linee di difesa, poiché gli utenti ben informati sono meno propensi a cadere vittime di questi inganni.

La protezione degli endpoint è altrettanto cruciale. Le aziende devono installare e mantenere aggiornati software antivirus e antimalware su tutti i dispositivi. Tuttavia, molte piccole e medie imprese italiane trascurano l’importanza di aggiornamenti regolari, esponendo i propri sistemi a vulnerabilità facilmente sfruttabili.

Il filtraggio delle e-mail e del web rappresenta un’altra area critica. Implementare filtri e-mail efficaci può bloccare molte minacce prima che raggiungano l’utente finale. Inoltre, soluzioni di filtraggio web possono impedire l’accesso a siti web notoriamente dannosi. Anche in questo caso, la mancanza di investimenti in soluzioni avanzate di sicurezza può lasciare le aziende italiane esposte a rischi elevati.

L’implementazione di firewall e sistemi di rilevamento/prevenzione delle intrusioni (IDS/IPS) è fondamentale per monitorare e bloccare il traffico di rete dannoso. Tuttavia, molte aziende italiane mancano di personale qualificato per gestire e monitorare queste soluzioni, rendendo la loro rete vulnerabile.

La segmentazione della rete e l’applicazione del principio del privilegio minimo sono strategie efficaci per limitare la diffusione del malware all’interno di un’organizzazione. Questo significa ridurre al minimo l’accesso degli utenti alle risorse necessarie per svolgere il loro lavoro. La mancanza di policy di sicurezza rigorose e di segmentazione della rete è una debolezza comune tra molte imprese.

L’autenticazione a più fattori (MFA) è un ulteriore livello di sicurezza che può proteggere i dati sensibili. Implementare l’MFA aiuta a prevenire accessi non autorizzati, ma spesso le aziende italiane non adottano questa pratica per timore di complicare l’accesso ai sistemi da parte dei dipendenti.

Assicurarsi che tutti i sistemi operativi, i software e le applicazioni siano aggiornati con le ultime patch di sicurezza è essenziale. Tuttavia, la gestione degli aggiornamenti può essere una sfida logistica, soprattutto per le aziende con risorse IT limitate.

Monitorare e analizzare costantemente i registri di sistema e di rete per individuare segnali di compromissione è una pratica fondamentale per una sicurezza proattiva. La mancanza di strumenti di monitoraggio adeguati rende difficile per molte aziende italiane rilevare attività sospette in tempo reale.

La crittografia dei dati sensibili, sia in transito che a riposo, è un’altra misura di sicurezza importante per proteggere i dati da accessi non autorizzati. Infine, eseguire regolarmente il backup dei dati importanti e conservarli in modo sicuro è essenziale per garantire il recupero in caso di attacco ransomware o violazione dei dati.

In sintesi, affrontare queste sfide richiede un investimento significativo in formazione, strumenti di sicurezza avanzati e monitoraggio continuo. Solo attraverso un impegno costante e l’adozione di best practice di sicurezza le aziende italiane possono proteggersi efficacemente dalle minacce come la tecnica di social engineering Clickfix.

#clickfix #mcafee #socialengineering #phishing #italy #cybersecurity #cyberthreat #cybereducation

Tra i casi più rilevanti caso rilevante del primo semestre 2024 ricordiamo quello ai danni del pubblico di clienti Binance, dove diversi utenti hanno ricevuto email e SMS fraudolenti che sembravano provenire dalla piattaforma ufficiale, inducendoli a fornire informazioni sensibili. Questi messaggi spesso imitavano notifiche di sicurezza o aggiornamenti dell’account, aumentando la loro apparente legittimità​ (Reddit)​​ (Binance)​.

Allo stesso modo, le utenze MetaMask sono state bersaglio di attacchi di phishing che sfruttavano email urgenti per spingere i malcapitati a cliccare su link malevoli.
Questi messaggi falsi avvertivano gli utenti che i loro portafogli erano bloccati e richiedevano azioni rapide per evitare perdite di criptovaluta. In molti casi, queste truffe hanno portato al furto di asset digitali dagli account delle vittime​ (Consumer Advice)​.

Le truffe mirate ai possessori di criptovalute utilizzano tecniche di ingegneria sociale per indurre gli utenti a divulgare le loro chiavi private o credenziali di accesso.
Gli asset rubati vengono poi rapidamente prosciugati dai portafogli delle vittime, lasciandole spesso senza alcuna speranza di recupero.
Una tendenza particolarmente preoccupante è l’emergere di campagne di phishing mirate su varie piattaforme di social media, tra cui X e Instagram.
In questi casi, account noti o insospettabili, rubati da criminali informatici, vengono utilizzati come canali inconsapevoli per distribuire URL dannosi a un pubblico più ampio.
L’impiego di account compromessi conferisce un’aria di legittimità allo schema fraudolento, aumentando così la probabilità che utenti e conoscenti ignari cadano vittime della truffa.

Un recente studio di Cisco Talos ha evidenziato come vari aspetti del “Web 3”, come il metaverso e gli smart contract, siano stati abusati per indurre gli utenti a svuotare i loro portafogli di criptovaluta.
Si annota nella ricerca anche un elevato impiego di documenti di Google Forms come vettore di attacco per queste truffe.

Metodi di Attacco: Connessione del Wallet e QR Code

Dopo essere stati convogliati con l’inganno verso un sito apparentemente legittimo, in realtà astutamente ideato per il phishing, agli utenti viene chiesto di connettere i loro wallet di criptovaluta al fine di ottenere determinate ricompense o rivendicare token premio.
A questo punto per la connessione del wallet e riscossione, si viene invitati alla scansione di un codice QR tramite il proprio telefono cellulare.
Il codice QR proposto apparentemente punta verso il premio desiderato, offrendo l’illusione di un processo di accesso senza interruzioni al sito/wallet cedente.
In realtà, questa azione concede al sito di phishing la cattura delle credenziali di accesso dell’utente, permettendo così lo svuotamento non autorizzato del suo wallet di criptovaluta.

Come Proteggersi:

Ricordando che si tratti di operazioni non tutelate, oltre a mantenere elevate le soglie di attenzione, sarebbe ideale attivare comportamenti sicuri e tutelanti:

1. Effettuare Ricerche Approfondite:
   Prima di registrarsi o investire in qualsiasi criptovaluta che prometta rendimenti rapidi e significativi, meglio effettuare ricerche approfondite.
   Le opportunità ad alto rendimento spesso comportano rischi elevati e molte di queste promesse potrebbero essere truffe.
   
2. Verificare la Legittimità del Sito Web:
   Prima di fornire le tue informazioni personali o registrare i tuoi account o wallet di criptovaluta, verificare sempre la legittimità del sito web.
   Cerca segnali di credibilità come URL sicuri (https), design professionale e recensioni positive da fonti attendibili.
   Evitare di cliccare link diretti da piattaforme terze, social o mail, effettuando controlli incrociati con device che NON contengano il proprio wallet.
   
3. Aggiornare i Prodotti di Sicurezza ed attivare autenticazioni di tipo strong come quelle multifattore:
   Prodotti di sicurezza costantemente aggiornati hanno più probabilità di rilevare e bloccare siti web dannosi noti che impiegano queste tattiche ingannevoli.
   Gli aggiornamenti regolari forniscono la protezione più recente contro minacce e truffe in evoluzione nello spazio delle criptovalute.
   Accessi e conferme di azione in multifattore, limitano le possibilità di attacco e di truffa in caso di distrazione dell’utente.

L’aumento degli attacchi di phishing mirati alla sottrazion di cruptovalute sottolinea ancora una volta come l’utenza media sia poco informata.
Proteggere le proprie risorse digitali richiede attenzione, conoscenza e l’adozione di misure preventive efficaci.
Restare aggiornati sulle nuove truffe e capire come funzionano può fare la differenza tra mantenere i propri asset al sicuro e diventare vittima di un furto.

Fonti aggiuntive, link utili e research Cisco Talos a questi link:

https://support.metamask.io/privacy-and-security/staying-safe-in-web3/signature-phishing/

https://blog.talosintelligence.com/how-do-cryptocurrency-drainer-phishing-scams-work/

#cryptodrainer #cryptothief #phishing #malvertising #socialengineering #malware #cybersecurity #cybereducation #observere

Un polyfill è un pezzo di codice, solitamente JavaScript, che aggiunge funzionalità moderne a browser più vecchi che nativamente non le supportano.
Recentemente, ad opera di vari ricercatori tra cui SANSEC, è stato riscontrato che il dominio associato al servizio, cdn.polyfill.io, sia stato compromesso, permettendo l’injection di codice malevolo per reindirizzare gli utenti a siti fraudolenti e catturare dati sensibili.

Da maggio 2024, circa 100.000 siti web che si basano sul codice JavaScript ospitato da Polyfill.io sono stati colpiti da un attacco mirato dopo che la società cinese che ha acquisito il dominio sembrerebbe aver modificato il codice per reindirizzare i visitatori del sito web a siti dannosi.

La stessa Cert-Agid italiana invita le Pubblche Amministrazione che impieghino sui loro siti il servizio Polyfill.io a rimuoverlo al più presto.

Namecheap, gestore del dominio compromesso, ha già preso provvedimenti sospendendo e bonificando il dominio. Tuttavia, oltre a eliminare il servizio Polyfill.io, è fondamentale aggiornare anche le dipendenze sui siti che facevano riferimento al dominio originale, poiché attualmente i servizi di Polyfill.io non sono più disponibili, il che potrebbe causare malfunzionamenti.

Nel febbraio di quest’anno, un’azienda cinese aveva acquistato il dominio e l’account GitHub di Polyfill.io.
Da allora, secondo i ricercatori, il dominio è stato utilizzato per iniettare malware sui dispositivi mobili tramite i siti che incorporavano i file di cdn.polyfill.io.
Eventuali reclami sono stati rapidamente rimossi dal repository GitHub e negato ogni coinvolgimento dal nuovo proprietario.

Il codice polyfill viene generato dinamicamente in base alle intestazioni HTTP, aprendo così più vettori di attacco.
Sansec ha decodificato un particolare malware che reindirizza gli utenti mobili a un sito di scommesse sportive utilizzando un falso dominio di Google Analytics ( googie-anaiytics ).
Questo codice ha una protezione specifica contro il reverse engineering, attivandosi solo su dispositivi mobili specifici in orari particolari e non quando rileva un utente amministratore.
Inoltre, ritarda l’esecuzione quando trova un servizio di analisi web, probabilmente per evitare di essere rilevato nelle statistiche.

L’autore originale di Polyfill consiglia di non usare più Polyfill, poiché non è più necessario per i browser moderni.

Nel frattempo, sia Fastly che Cloudflare hanno messo a punto delle alternative affidabili per chi ne avesse ancora bisogno.

Comunicato cert-Agid:
https://www.agid.gov.it/it/notizie/polyfillio-il-cert-agid-consiglia-alle-pa-che-lo-utilizzano-sui-loro-siti-di-rimuoverlo

IoC e Ricerca Sansec:
https://sansec.io/research/polyfill-supply-chain-attack

Comunicato Github vendita Polyfill – febbraio 2024
https://github.com/formatjs/formatjs/issues/4363

#Polyfill #Sansec #Malware #cybertreath #malvertising #newthreath #cybersecurity #certagid

L’indagine di Mandiant rilasciata il 10 giugno non ha trovato alcuna prova che suggerisca che l’accesso non autorizzato agli account dei clienti Snowflake derivi da una violazione del loro ambiente aziendale.
Ogni incidente a cui Mandiant ha risposto in questa campagna è stato ricondotto a credenziali del cliente compromesse.

Nell’aprile 2024, Mandiant ha ricevuto informazioni su database compromessi che sono stati successivamente individuati come provenienti dall’istanza Snowflake di una vittima. Dopo essere stata informata, la vittima ha incaricato Mandiant di indagare sul sospetto furto di dati. L’indagine ha rivelato che l’istanza Snowflake dell’organizzazione era stata compromessa utilizzando credenziali rubate tramite malware infostealer. L’attore di minacce ha utilizzato queste credenziali per accedere all’istanza Snowflake e sottrarre dati preziosi. Al momento della compromissione, sull’account non era abilitata l’autenticazione a più fattori (MFA).

Il 22 maggio 2024, dopo aver ottenuto ulteriori informazioni che indicavano una campagna più ampia mirata ad altre istanze di clienti Snowflake, Mandiant ha immediatamente contattato Snowflake e iniziato a avvisare le potenziali vittime. Circa 165 organizzazioni potenzialmente esposte sono state notificate da Mandiant e Snowflake.

UNC5537 ha ottenuto l’accesso alle istanze di clienti Snowflake di più organizzazioni tramite credenziali rubate, principalmente da diverse campagne malware di infostealer, utilizzando programmi come IDAR, RISEPRO, REDLINE, RACOON STEALER, LUMMA e METASTEALER.

La campagna di minacce di UNC5537 è stata facilitata da tre fattori principali:

1. Gli account compromessi non avevano l’autenticazione a più fattori abilitata, richiedendo solo un nome utente e una password validi.
2. Le credenziali rubate identificate nell’output del malware infostealer erano ancora valide, in alcuni casi anche anni dopo il furto, e non erano state aggiornate.
3. Le istanze dei clienti Snowflake non disponevano di elenchi di rete consentiti per limitare l’accesso solo da posizioni attendibili.

Questa campagna non è il risultato di strumenti, tecniche o procedure particolarmente nuove o sofisticate. Il vasto impatto è dovuto al crescente mercato degli infostealer e alla mancanza di misure di sicurezza adeguate:

• UNC5537 è stato probabilmente in grado di aggregare le credenziali per le istanze Snowflake delle vittime accedendo a varie fonti di registri di infostealer. L’economia clandestina degli infostealer è molto attiva, con ampi elenchi di credenziali rubate disponibili sia gratuitamente che a pagamento.
• Le istanze compromesse non richiedevano l’autenticazione a più fattori e molte credenziali non erano state aggiornate per anni. Inoltre, non erano stati utilizzati elenchi di autorizzazioni di rete per limitare l’accesso a posizioni attendibili.
• Una volta aggregati i dati la hacker gang ha svluppato un agente definito da Mandiant “Frostbite” per ricognire le istanze Snowflake ed interrogazioni SQL.
  (Su Alienvault è già disponibile l’elenco degli Indicatori di compromissione in formato pulse https://otx.alienvault.com/pulse/666979aec22f2fa003a8737b )
  

La campagna ai danni delle utenze Snowflake evidenzia le conseguenze della diffusione di grandi quantità di credenziali rubate nel mercato degli infostealer e potrebbe rappresentare un focus specifico su piattaforme SaaS simili.
Mandiant ritiene che UNC5537 continuerà questo modello di intrusione, prendendo di mira altre piattaforme SaaS in futuro.

Impostare e pretendere Autenticazioni Multifattore, Policy di pass rotation, monitoring e controllo sulla Supply Chain sono tra le soluzioni più comuni ma anche più efficaci per ridurre le superfici di attacco in casi similari.

Qui l’analisi Mandiant:

https://cloud.google.com/blog/topics/threat-intelligence/unc5537-snowflake-data-theft-extortion/

#Snowflake #Mandiant #databreach #infostealer #frostbite #UNC5537 #cybercrime #cybersecurity #cybertreath

Il 31 maggio Live Nation ha confermato un data breach ai danni della propria sussidiaria Ticketmaster.

https://www.sec.gov/Archives/edgar/data/1335258/000133525824000081/lyv-20240520.htm

L’attacco rivendicato da ShinyHunters, consisterebbe in una sottrazione, secondo gli hackers, di 1,3 TB di dati, tra cui:

• Dettagli completi di 560 milioni di clienti (nome, indirizzo, e-mail, telefono)
• Vendita di biglietti, informazioni sull’evento, dettagli dell’ordine.
• Dettaglio CC – cliente, ultimi 4 della carta, data di scadenza.
  

La violazione sarebbe stata perpetrata passando tramite il provider di servizi di archiviazione in cloud Snowflakes.
La piattaforma dati cloud di Snowflake è utilizzata sa oltre 9000 clienti, tra cui alcune delle più grandi aziende a livello mondiale, come Adobe, AT&T, Capital One, HP, Kraft Heinz, Mastercard, NBC Universal, Nielsen, Novartis, Okta, PepsiCo, Siemens, Western Union, Yamaha e molti altri.

Da questo punto in poi, la vicenda si complica.

Nei pedissequi comunicati visibili anche sul suo community forum, Snowflakes avrebbe avviato subito le indagini:

Snowflake ed esperti di sicurezza informatica di terze parti, CrowdStrike e Mandiant, hanno fornito una dichiarazione congiunta relativa all’ indagine  che coinvolge anche alcuni altri account di clienti Snowflake, tra cui potrebbe essere inclusa Santander.

( https://community.snowflake.com/s/question/0D5VI00000Emyl00AB/detecting-and-preventing-unauthorized-user-access )

Il comunicato, in aggiornamento ,ad ora resta fermo sulla posizione iniziale ed asserisce che:

• non hanno identificato prove che suggeriscano che questa attività sia stata causata da una vulnerabilità, un’errata configurazione o una violazione della piattaforma Snowflake;
• non sono state identificate prove che suggeriscano che questa attività sia stata causata da credenziali compromesse del personale attuale o precedente di Snowflake;
• sembra trattarsi di una campagna mirata rivolta agli utenti con autenticazione a fattore singolo;
• nell’ambito di questa campagna, gli autori delle minacce hanno sfruttato credenziali precedentemente acquistate o ottenute tramite malware di infostealing; E 
• sono state trovate prove che un autore di minacce ha ottenuto credenziali personali e ha avuto accesso agli account demo appartenenti a un ex dipendente di Snowflake. Non conteneva dati sensibili. Gli account demo non sono collegati alla produzione o ai sistemi aziendali di Snowflake. L’accesso è stato possibile perché l’account demo non era protetto da Okta o Multi-Factor Authentication (MFA), a differenza dei sistemi aziendali e di produzione di Snowflake.

Nel corso dell’indagine, Snowflake avrebbe prontamente informato i clienti ritenuti potenzialmente coinvolti.

Le raccomandazioni declinate alle organizzazioni, suggeriscono di adottare immediatamente misure di prevenzione,mitigazione e contenimento quali:

• Applicare l’autenticazione a più fattori su tutti gli account;
• Configurare le regole dei criteri di rete per consentire accesso solo agli utenti autorizzati o consentire solo il traffico da posizioni attendibili (VPN, NAT del carico di lavoro cloud, ecc.); E
• reimpostare e modificare le credenziali di Snowflake.

Nonostante quanto sopra, altri clienti di Snowflakes si stanno facendo avanti, asserendo di aver rilevato sottrazioni di dati , come nel caso di QuoteWizard, controllata di LendingTree.

Altri, come Advance Auto Parts devono ancora notificare pubblicamente la violazione e denunciare l’incidente alla Securities and Exchange Commission degli Stati Uniti, ma sui forum nel dark web sono già apparsi annunci e comunicati relativi a massicce sottrazioni di dati dal cloud interessato.

( https://www.bleepingcomputer.com/news/security/advance-auto-parts-stolen-data-for-sale-after-snowflake-attack/ )

Per tutta risposta, Venerdì il fornitore di servizi di archiviazione cloud ha inoltre  avvisato i clienti  che sta indagando su “un aumento” degli attacchi che hanno preso di mira alcuni dei loro account, mentre il CISO di Snowflake ha aggiunto che alcuni account dei clienti sono stati compromessi il 23 maggio.

“Siamo venuti a conoscenza di un accesso potenzialmente non autorizzato a determinati account cliente il 23 maggio 2024. Durante la nostra indagine, abbiamo osservato un aumento dell’attività a partire da metà aprile 2024 da indirizzi IP e client sospetti che riteniamo siano correlati ad accesso non autorizzato”

Restano tuttora fermi sul negare proprie falle di sicurezza o di errata configurazione, come pure risultano poco chiare le motivazioni per l’assenza di comportamenti proattivi come il reimpostare forzatamente le password del parco clienti e rendere obbligatoria una autenticazione multi fattore.

#snowflake #databreach #livenation #ticketmaster #dataleak #datastolen #cybercrime #malware

Panoramica delle Campagne Malevole

Il numero complessivo di campagne malevole riscontrate ogni settimana varia, ma mostra una preoccupante costanza, che sintetizziamo di seguito:

• Totale Campagne Malevole: Da gennaio al 10 maggio 2024, il numero di campagne settimanali è stato costantemente elevato, con un picco di 30 campagne nella settimana dell’8-14 aprile.
  
• Indicatori di Compromissione (IOC): Ogni settimana sono stati identificati centinaia di IOC, con un totale che varia da 136 a 305 per settimana.
  
• Temi Principali: Le campagne malevole hanno sfruttato principalmente temi legati a “Banking”, “Pagamenti”, “Ordini”, e tematiche correlate a “INPS” e “Agenzia delle Entrate”.

Malware Predominanti

Tra i malware più frequentemente impiegati spiccano AgentTesla, SpyNote e Irata, ciascuno con un modus operandi distintivo ed estremamente aggressivo.

• AgentTesla: Questo malware ha dominato il panorama con diverse campagne settimanali. È noto per rubare credenziali e informazioni sensibili tramite email fraudolente.
  
• SpyNote: Mirato specificamente ai dispositivi Android, SpyNote si maschera spesso da applicazioni legittime come INPS Mobile, compromettendo così i dispositivi delle vittime e rubando informazioni personali.
  
• Irata: Utilizzato in campagne di smishing, Irata sfrutta SMS malevoli che inducono gli utenti a scaricare un APK infetto, con l’obiettivo di compromettere i dispositivi Android e rubare dati bancari.

Phishing Mirato: INPS e Agenzia delle Entrate

Da nove mesi, le campagne di phishing mirate a tematiche INPS e Agenzia delle Entrate sono state particolarmente persistenti.
Queste campagne cercano di ingannare gli utenti con email e SMS e portali che sembrano provenire da fonti ufficiali, chiedendo informazioni personali o inducendo a scaricare malware.

• INPS: Le campagne di smishing mirate ai clienti INPS sono costanti e sofisticate, mirando a sottrarre documenti di identità e informazioni sensibili tramite messaggi SMS fraudolenti ed applicazioni fraudolente.
• Agenzia delle Entrate: Le campagne di phishing utilizzano frequentemente il brand dell’Agenzia delle Entrate o marchi governativi, per inviare email fasulle che richiedono credenziali o inducono le vittime a scaricare malware, in particolare attraendo tramite potenziali riscossioni di bonus economici verso finti portali creati ad hoc.

Italia in difficoltà

L’analisi mostra chiaramente che l’Italia sia sotto un attacco persistente da parte di cybercriminali che utilizzano una varietà di tecniche e malware per compromettere dispositivi e rubare dati sensibili.

Il tessuto economico, composto prevalentemente da PMI, poco erudite in ambito sicurezza, ed una postura generalmente inadeguata in termini di difese da minacce informatiche, rendono molto appetibile l’Italia in questo momento storico.
Delle 471 campagne rilevate, ben 401 sono specificatamente concepite, disegnate e strutturate appositamente per il mercato italiano e per i suoi utenti, con grande conoscenza dei processi e dei flussi che caratterizzano i bersagli emulati, vedi ad esempio i finti portali agenzia delle entrate o le app INPS fraudolente.
La grande diffusione di dispositivi Android non aggiornati è particolarmente invitante per i cybercriminali, che sfruttano le vulnerabilità adottando malware come AgentTesla, SpyNote e Irata, mentre le campagne di phishing mirate con tematiche INPS e Agenzia delle Entrate continuano a rappresentare una minaccia significativa.

L’utenza italiana e le aziende devono lavorare su una acquisizione di crescenti consapevolezze in materia di cybereducazione e minacce, nonché adottare sia misure di monitoraggio che di sicurezza adeguate, come l’uso di software antivirus aggiornati, la verifica delle fonti prima di cliccare su link sospetti, e la segnalazione di messaggi fraudolenti alle autorità competenti.
La collaborazione tra cittadini, organizzazioni e agenzie di sicurezza informatica sarà sempre più essenziale per combattere efficacemente queste minacce e proteggere i dati sensibili.

#certagid #malware #italy #cybersecurity #cyberthreat #cybermenace #cybereducation #agenttesla #malwarecampaign #inps #phishing

Gli utenti domestici, spesso meno informati o dotati di risorse per la sicurezza rispetto alle aziende, sono bersagli appetibili per i cybercriminali.
Questi criminali cercano dati finanziari, come carte di credito e portafogli di criptovalute, e informazioni personali, che possono essere sfruttati o venduti a terzi.
Software come Vidar, StealC e Lumma Stealer vengono distribuiti tramite YouTube con la promessa di software piratato o crack di videogiochi.
I collegamenti nelle descrizioni di questi video portano al download di malware, compromettendo i dispositivi degli utenti .

E’ quanto recentemente scoperto dai ricercatori di Proofpoint ed avallato da Cybereason.
L’ingegnoso schema di attacco prevede il recupero di credenziali , sovente già disponibili nel dark web, di account in disuso con un buon seguito e allocati in differenti aree geografiche.

Vengono a questo punto selezionati tematiche in voga tra giocatori di giovane età, e poi prodotti video che promettono codici, cheat e trucchi per i suddetti videogiochi, quindi creati utenti che commentano positivamente, in modo da avallare come il corretto funzionamento dei trucchi.

I video, mostrano addirittura tutorial sulle procedure da eseguire per far funzionare i codici bonus, in realtà volte a disattivare antivirus e misure di sicurezza del Device attaccato.

Questa strategia di distribuzione è particolarmente insidiosa perché spesso prende di mira utenti giovani, compresi bambini, che hanno meno capacità di riconoscere contenuti dannosi o rischi online.
I criminali, sfruttando l’accesso ai dispositivi, possono acquisire informazioni che li aiutano a risalire lungo la catena di distribuzione, ampliando l’impatto dei loro attacchi, o asservirne gli strumenti per schierarli all’interno della propria linea di Bot per DDOS.

Ulteriormente, Un dispositivo compromesso, se appartenente ad un genitore può diventare un trampolino di lancio per accedere a reti aziendali o altri dispositivi, aumentando così i danni e i proventi derivanti dalle attività illecite.

In questo contesto, è importante riconoscere i segni di un account sospetto o compromesso. Questi segni possono includere intervalli di tempo significativi tra i video pubblicati, contenuti che differiscono notevolmente dai video precedenti, differenze nelle lingue e descrizioni dei video contenenti collegamenti potenzialmente dannosi. Questi indicatori sono utili per rilevare attività sospette e adottare misure per limitare i rischi.

Oltre al rischio di crimini informatici, non dimentichiamo che le organizzazioni possono far parte di un più ampio contesto gerarchico.

L’approvvigionamento di beni, risorse e arsenali telematici è una componente centrale di qualsiasi conflitto, che può influenzare l’esito delle operazioni. 

I cybercriminali possono agire sia per fini personali, come il profitto finanziario, che per scopi più ampi, come la destabilizzazione di organizzazioni o persino di nazioni, o la partecipazione ad eventi di haktivism e cyber-warfare. 

Il passaggio attraverso dispositivi compromessi di utenti domestici può contribuire a sostenere tali attività, conferendo un ruolo più ampio ai danni derivanti da queste minacce informatiche.

Controllate i vostri apparecchi, e magari anche di più i vostri utenti famigliari.

Qui ricerca Proofpoint:

https://www.proofpoint.com/us/blog/threat-insight/threat-actors-deliver-malware-youtube-video-game-cracks

Qui le tecniche identificate da Cybereason:

https://www.cybereason.com/blog/from-cracked-to-hacked-malware-spread-via-youtube-videos

#youtube #malware #hacking #ddos #infostealer #cybersecurity

FORTICLIENT

Forescout Research Labs descrive in dettaglio una campagna di sfruttamento rivolta alle organizzazioni che utilizzano FortiClient EMS , sfruttando il CVE-2023-48788, una vulnerabilità SQL injection rilevata nella soluzione.

Le prove indicano un possibile attore di minacce attivo almeno dal 2022 stia prendendo di mira le apparecchiature Fortinet che utilizzano le lingue vietnamita e tedesca nella loro infrastruttura.
La gang inizialmente percepita come un team di sicurezza o un gruppo di ricerca in Vietnam basato sul repository Github, stanno sfruttando e installando attivamente strumenti post-sfruttamento su obiettivi reali invece di limitarsi a fare ricerche sfruttando questa debolezza.

Dalla pubblicazione del cve il numero di tentativi di sfruttamento è aumentato sensibilmente.

Qui l’avvico Forticlient

https://fortiguard.fortinet.com/psirt/FG-IR-24-007

Qui l’articolo Forescout:

FIREWALL PALO ALTO

Il 10 aprile Volexity ha identificato lo sfruttamento zero-day di una vulnerabilità rilevata nella funzionalità GlobalProtect del PAN-OS di Palo Alto Networks presso uno dei suoi clienti di monitoraggio della sicurezza di rete.
Volexity ha rilevato traffico di rete sospetto proveniente dal firewall del cliente, la pronta analisi ha stabilito che il dispositivo fosse stato compromesso.
Il giorno successivo, 11 aprile 2024, Volexity ha osservato un ulteriore, identico sfruttamento presso un altro dei suoi clienti da parte dello stesso autore della minaccia.

L’autore della minaccia, rintracciato con lo pseudonimo UTA0218, è riuscito a sfruttare da remoto il dispositivo firewall, creare una reverse shell e scaricare ulteriori strumenti sul dispositivo.
L’aggressore si è concentrato sull’esportazione dei dati di configurazione dai dispositivi, per poi sfruttarli come punto di ingresso per spostarsi lateralmente all’interno delle organizzazioni vittime.

Analisi Volexity:

Qui l’avviso di sicurezza Palo Alto

https://security.paloaltonetworks.com/CVE-2024-3400

LG TV

I ricercatori Bitdefender hanno rilevato diversi problemi che interessano le versioni WebOS dalla 4 alla 7 in esecuzione sui televisori LG.
Queste vulnerabilità consentono ad un attaccante di ottenere l’accesso root sui dispositivi TV dopo aver aggirato il meccanismo di autorizzazione.

Il processo impiega più vulnerabilità partendo da un bug che consente dapprima di inserire da remoto un nuovo utente, abusare di una debolezza ulteriore per escalarne i privilegi infine di inserire comandi autenticati.

LG comunica di aver reso disponibili gli aggiornamenti relativi a risolvere la problematica in data 22 marzo.

Qui l’articolo Bitdefender:

https://www.bitdefender.com/blog/labs/vulnerabilities-identified-in-lg-webos/

#exploit #vulnerability #patching #cybercrime #cybersecurity #cyberthreats #LG #fortinet #paloalto #zeroday

Stanno apparendo notizie, report ed articoli relativi ad attacchi mirati ai danni di specifici utenti Apple.

Questi sofisticati attacchi di phishing, sfrutterebbero un presunto difetto nella funzione di reimpostazione della password, in particolare nei tempi minimi tra una richiesta di reset e l’altra.
Avvalendosi di questo presunto bug, i dispositivi Apple dei bersagli vengono bombardati da una serie continuativa di richieste di ripristino push.

La continua apparizione del box di reset, chiaramente infastidisce ed impedisce un funzionamento del dispositivo normale fino a quando l’utente non risponda “Consenti” o “Non Consentire” a ciascuna di esse.
Come è evidente, questa tattica è progettata per mettere sotto pressione l’utente, frustrandolo e snervandolo fino a che per fretta o di impulso non commetta l’errore di fornire il consenso.

Qualora l’utente riesca a evitare di cliccare per errore sul pulsante di accettazione durante una delle numerose richieste di reimpostazione della password, gli attaccanti hanno comunque strutturato una catena di attacco basata su social engineering molto precisa.
La fase successiva del tentativo di raggiro prevede infatti un tentativo di contatto telefonico, con i malintenzionati che si fingono membri del supporto tecnico Apple e notificano il problema poco prima sperimentato dall’utente.
Nei report USA alcune vittima avevano effettivamente visualizzato sul loro dispositivo il numero di assistenza Apple 1-800-275 -2273, emulato tramite tecniche di spoofing.

Durante la chiamata, il finto operatore asserisce che l’account dell’utente sia stato compromesso e che sia necessario procedere con una “verifica” insieme richiedendo la fornitura di un codice monouso.

Per guadagnare verosimiglianza, la finta assistenza dispone di molte informazioni personali della vittima, comprate sul web, estrapolate da siti o profilate tramite tool automatici, che non esita ad elencare in modo da far cadere dubbi residui e ottenere il codice richiesto.

Si tratta in sostanza di un attacco mirato estremamente pericoloso perché sfrutta sia una vulnerabilità tecnica che una manipolazione psicologica per ottenere accesso non autorizzato alle informazioni di un preciso utente bersaglio.

Come difendersi mentre viene risolto il bug senza nozioni tecniche?
Innanzitutto come è ovvio, mantenendo la calma e negando pazientemente ogni consenso.
Qualora poi giungessero chiamate dai servizi di assistenza presunti, farsi rilasciare il codice agente e salutare, dopodiché eseguire noi la chiamata, magari da altro numero, al servizio di assistenza per indagare.

È importante che gli utenti siano consapevoli di questa nuova minaccia e amplino la propria educazione per proteggersi meglio con comportamenti prudenti.
Risulta fondamentale verificare sempre l’autenticità delle comunicazioni in arrivo da un supporto informativo, commerciale o ancor più tecnico, di qualunque provider si tratti, evitando sempre di fornire informazioni personali o codici di sicurezza a chiunque ci contatti in modo non richiesto, anche se sembra essere affiliato alla legittima compagnia.

Qui l’interessante articolo di Krebsecurity che ha per prima segnalato la pericolosità della frode.

https://krebsonsecurity.com/2024/03/recent-mfa-bombing-attacks-targeting-apple-users/

#socialengineering #mfabombing #apple #phishing #spoofing #cyberattack #cybersecurity #newthreats