Ricercatori di sicurezza presso Pradeo, un fornitore di soluzioni per la sicurezza mobile, hanno identificato due casi di #spyware nascosti all'interno del #Google Play Store, che hanno colpito circa 1,5 milioni di utenti.

I ricercatori hanno scoperto i dettagli di un paio di spyware sul Google Play Store: File Recovery and Data Recovery e File Manager.
Queste due applicazioni, sviluppate dalla stessa entità, si mascherano come strumenti per la gestione dei file e mostrano comportamenti dannosi simili.
In particolare, sono progettate per avviarsi autonomamente, senza alcuna interazione dell'utente, e trasmettere dati preziosi degli utenti a diversi server situati in Cina.

Le applicazioni spyware acquisiscono illecitamente dati, tra cui il numero di versione del sistema operativo, il marchio e il modello del dispositivo, il provider di rete, il codice di rete del provider di SIM, il codice del paese e la posizione in tempo reale dell'utente.
Ruba inoltre contenuti multimediali sensibili, come foto, video, contenuti audio, elenchi dei contatti e altro ancora.

Gli autori di queste applicazioni dannose hanno utilizzato varie tattiche per apparire legittimi, ad esempio mostrando una grande base di utenti senza alcuna recensione degli utenti. Si sospetta che abbiano utilizzato emulatori di dispositivi mobili o installato farm di dispositivi per gonfiare artificialmente il numero di utenti, aumentando così il ranking delle app nello store.
Un'altra strategia utilizzata è quella di ridurre al minimo l'interazione dell'utente. Queste applicazioni hanno la capacità di avviarsi automaticamente all'avvio del sistema, consentendo loro di svolgere le loro attività dannose anche quando l'app stessa non viene utilizzata attivamente.
Inoltre, queste app rimangono nascoste nella schermata principale, assicurandosi che le loro icone siano nascoste per evitare una facile disinstallazione.

A giugno, tre app Android su Google Play sono state utilizzate da un gruppo di #hacker sponsorizzato dallo stato per raccogliere informazioni dai dispositivi mirati, mettendo in evidenza la minaccia continua delle app dannose su piattaforme affidabili. L'operazione è stata attribuita al gruppo #DoNot #APT.
Lo stesso mese, i ricercatori hanno scoperto il malware #SpinOk in oltre 400 milioni di download di app Android, evento che abbiamo descritto abbondantemente nel nostro blog.

Ci sono diversi modi per evitare queste minacce. Alcune di queste misure includono evitare di scaricare app con migliaia di utenti ma senza recensioni e leggere le autorizzazioni prima di concederle. Per migliorare le misure di sicurezza, si consiglia alle organizzazioni di automatizzare il processo di rilevamento e risposta alle minacce mobili valutando attentamente le applicazioni e verificando la conformità con le politiche di sicurezza stabilite.

L'azienda di sicurezza informatica Aqua Security ha recentemente pubblicato un report allarmante che mette in evidenza un aumento del 1.400% negli #attacchi senza file. Secondo i dati aggregati provenienti da #honeypot e analizzati nel corso di sei mesi, oltre il 50% degli attacchi si è concentrato sulla tecnica di elusione delle difese.

Questi attacchi, definiti #fileless, rappresentano una forma sofisticata di minaccia informatica in cui gli aggressori evitano di utilizzare file tradizionali per compromettere i sistemi. Invece, sfruttano componenti esistenti del sistema operativo o software legittimi per eseguire il loro codice dannoso direttamente dalla memoria, un esempio classico sono gli #script #powershell.

Il report sottolinea che i #criminali informatici si stanno concentrando sempre di più su tecniche di elusione delle difese per evitare la rilevazione e stabilire una presenza più solida all'interno dei sistemi compromessi. Questo dimostra un'evoluzione significativa nelle tattiche utilizzate dagli attori minaccia.

Le tecniche di elusione utilizzate negli attacchi fileless includono il #mascheramento, in cui gli aggressori eseguono file da directory solitamente trascurate come /tmp, e l'oscuramento dei file o delle informazioni, come il caricamento dinamico del codice. Inoltre, è emerso che nel 5% degli attacchi gli aggressori hanno utilizzato #malware residente in memoria, indicando un ulteriore sforzo per evitare la rilevazione da parte delle soluzioni di sicurezza.

Questo report mette in luce l'importanza di soluzioni di sicurezza basate su agenti per rilevare questi attacchi sofisticati che mirano a eludere le tradizionali tecnologie di scansione basate sul volume. Secondo Assaf Morag, ricercatore principale di intelligence sulle minacce per Aqua Nautilus, solo con la scansione basata su agenti è possibile individuare attacchi come #HeadCrab, un malware estremamente sofisticato basato su #Redis che ha compromesso più di 1.200 server.

Il report sottolinea anche come il cloud computing abbia rivoluzionato le modalità di progettazione, sviluppo, distribuzione e gestione delle applicazioni aziendali. Tuttavia, questa nuova approccio ha comportato l'ampliamento della superficie di attacco e l'introduzione di nuovi rischi per la sicurezza che devono essere adeguatamente affrontati.

Per proteggere gli ambienti di runtime e prevenire gli attacchi fileless, è necessario adottare un approccio di monitoraggio che vada oltre la semplice scansione di file dannosi e includa la rilevazione di comportamenti sospetti. Monitorare gli indicatori di comportamenti dannosi, come tentativi di accesso non autorizzati a dati sensibili o l'apertura di backdoor verso indirizzi IP sconosciuti, può aiutare a identificare attacchi in corso e prevenire danni significativi.

Recentemente, un numero significativo di persone intervistate da #Malwarebytes ha espresso preoccupazioni riguardo ai rischi di sicurezza e affidabilità associati a #ChatGPT. La mancanza di fiducia nell'informazione prodotta da questo sistema e il desiderio di una pausa nello sviluppo per consentire alla regolamentazione di tenergli il passo, sono temi che sollevano incertezze sul futuro di questa tecnologia e se si tratti di un'ansia passeggera o di una tendenza destinata a persistere.

Le incertezze riguardanti il modo in cui ChatGPT cambierà le nostre vite e se porterà alla sostituzione dei nostri lavori, sono amplificate dal misterioso funzionamento di questa tecnologia. ChatGPT è un'entità sconosciuta sia per gli utenti che per i suoi creatori.

I modelli di apprendimento automatico come ChatGPT sono delle "scatole nere" con proprietà emergenti che si manifestano in modo improvviso e inaspettato all'aumentare della potenza di calcolo impiegata per crearli.Proprietà emergenti nel mondo reale includono la capacità di svolgere operazioni aritmetiche, superare esami di livello universitario e comprendere il significato inteso delle parole.

Questa abilità non poteva essere prevista dai modelli più piccoli e i modelli odierni non possono essere utilizzati per prevedere cosa potranno fare le future generazioni di modelli più grandi.

Ciò ci lascia di fronte a un futuro molto incerto, sia a livello individuale che collettivo. Gli opinionisti seri hanno una gamma di punti di vista che vanno letteralmente da quelli che considerano l'IA un rischio esistenziale a coloro che credono che salverà il mondo.

"Una rivoluzione dell'IA sta prendendo velocemente piede da molto tempo, e molte applicazioni specifiche e ristrette hanno avuto un enorme successo senza suscitare questo tipo di diffidenza", ha dichiarato Mark Stockley, evangelista della sicurezza informatica presso Malwarebytes.

"Presso Malwarebytes, l'apprendimento automatico e l'IA sono utilizzati da anni per migliorare l'efficienza, identificare il #malware e migliorare le prestazioni complessive di molte tecnologie. Tuttavia, il sentimento pubblico nei confronti di ChatGPT è diverso e l'incertezza sul modo in cui ChatGPT cambierà le nostre vite è amplificata dai modi misteriosi in cui funziona", ha aggiunto Stockley.

I risultati del sondaggio indicano che ChatGPT presenta un problema di fiducia. Solo il 10% dei sondati si è mostrato d'accordo con l'affermazione "Mi fido delle informazioni prodotte da ChatGPT", mentre il 63% non era d'accordo.

Sentimenti simili sono emersi riguardo all'accuratezza, con solo il 12% che concordava con l'affermazione "Le informazioni prodotte da ChatGPT sono accurate", mentre il 55% non era d'accordo.

Oltre alle preoccupazioni sulla fiducia e l'accuratezza, un'ampia maggioranza del 81% dei sondati crede che ChatGPT possa rappresentare un rischio per la sicurezza, mentre il 52% richiede una pausa nello sviluppo di ChatGPT per consentire la regolamentazione di tenere il passo, confermando preoccupazioni espresse in precedenza da esperti del settore tecnologico.

Nonostante l'enorme copertura mediatica e le discussioni online su ChatGPT, solo il 35% dei sondati si è dichiarato familiare con questa tecnologia, un valore significativamente inferiore rispetto al 50% che ha espresso disaccordo.

#Cyfirma e #Zscaler hanno pubblicato due rapporti simultanei su un nuovo #info-stealer chiamato #MysticStealer. Debuttando su forum clandestini nell'aprile 2023, ha attirato l'attenzione, è stato sottoposto a test e ha incorporato feedback. Gli aggiornamenti continui hanno rafforzato la presenza di #MysticStealer, come dimostra il crescente numero di pannelli #C2 osservati.
Il #malware prende di mira una vasta gamma di applicazioni e piattaforme.
Può sfruttare 40 browser web, 70 estensioni per browser, 21 applicazioni di #criptovalute, 9 applicazioni di autenticazione multifattoriale e gestori di #password, 55 estensioni per #browser di criptovalute, oltre alle credenziali di #Steam e #Telegram.
In particolare, l'info-stealer può raccogliere dati di autocompletamento, cronologia di navigazione, file arbitrari, #cookie e informazioni associate a vari popolari portafogli di criptovalute, tra cui #Bitcoin, #DashCore ed #Exodus.
Esiste anche un canale #Telegram gestito dai criminali chiamato "#MysticStealerNews". Il progetto facilita discussioni sugli aggiornamenti dello sviluppo, richieste di nuove funzionalità e altri argomenti pertinenti.
Questo #malware è compatibile con tutte le versioni di #Windows da #XP a 11, supportando sia architetture di sistema a 32 bit che a 64 bit. Opera in memoria, riducendo al minimo la sua presenza nei sistemi infetti e sfuggendo alla rilevazione degli #antivirus.
Per evitare l'esecuzione in ambienti #sandbox, il malware effettua controlli #anti-virtualizzazione, esaminando i dettagli del #CPUID.
Dal 20 maggio, #MysticStealer include una funzionalità di caricamento per scaricare #payload aggiuntivi dal server #C2, come varianti di #ransomware.
La comunicazione con il #C2 è crittografata utilizzando un protocollo personalizzato su #TCP, mentre i dati rubati vengono inviati direttamente al server senza essere archiviati su disco, un approccio unico per un malware info-stealer, che aiuta nell'evasione.
Il futuro di #MysticStealer rimane incerto, data la natura precaria dei progetti illeciti di #MalwareAsAService (#MaaS). Tuttavia, la sua comparsa comporta rischi maggiori per individui e organizzazioni. Pertanto, è fondamentale esercitare estrema cautela nel scaricare software da Internet e implementare regolarmente la condivisione e il monitoraggio delle informazioni sulle minacce.