C'è un nuovo allarme riguardante alcuni video presenti su #YouTube che potrebbero mettere a rischio i nostri dispositivi. I #cybercriminali utilizzano sempre più spesso questa piattaforma di broadcasting video per diffondere #malware. Gli esperti di #CloudSEK hanno identificato una nuova #truffa che consiste in video che sembrano essere dei tutorial, ma che in realtà contengono #link a presunti crack in grado di installare malware #infostealer sui computer degli utenti. Questi malware sono in grado di rubare dati come #password, #cookie, numeri di carte di credito, indirizzi IP, #cryptoWallet e altre informazioni sensibili.

L'inganno sta proprio nei #link presenti nella descrizione dei video, che non sono immediatamente identificabili come dannosi. Gli #hacker utilizzano #URLshortener o #filehosting per nascondere la truffa, e spesso inseriscono dei commenti falsi sotto al video per rendere il tutto più credibile. Questi video vengono creati con l'ausilio di #intelligenzaartificiale, per evitare di destare sospetti. Gli hacker riescono a pubblicarli violando profili già esistenti sulla piattaforma, e utilizzano varie #ottimizzazioni #SEO per farli apparire tra i video più popolari.

La #truffa è in aumento, e i video contenenti link a malware #info-stealer come #Vidar, #RedLine e #Raccoon sono aumentati del 200-300% nell'ultimo mese. Questo tipo di minacce possono essere bloccate con una soluzione di #sicurezze informatica aggiornata. Tuttavia, è importante fare attenzione anche quando si guarda un video su #YouTube, e non aprire link sospetti o di cui non si è certi dell'affidabilità.

Un gruppo #hacker nordcoreano, identificato come #UNC2970, ha recentemente fatto uso di famiglie di #malware precedentemente non documentate come parte di una campagna di #spear-phishing che ha preso di mira organizzazioni di media e tecnologia negli Stati Uniti ed Europa. Questa è solo l'ultima di una serie di attacchi informatici da parte di attori statali che cercano di acquisire informazioni sensibili o di interrompere le operazioni delle loro vittime. In questo caso, gli obiettivi del gruppo sembrano essere stati le organizzazioni di media e tecnologia, con un focus specifico sui ricercatori di sicurezza.

Questo gruppo fa parte insieme a #Bluenoroff e #AndAdriel al famigerato gruppo #APT #Lazarus.

Secondo una recente analisi di #Mandiant, una società di intelligence delle minacce di proprietà di #Google, il cluster di minacce utilizzato dal gruppo condivide molteplici sovrapposizioni con un'operazione a lungo termine denominata "Dream Job". Questa operazione utilizza messaggi di posta elettronica per innescare la sequenza di infezione. In particolare UNC2970 sembra aver utilizzato #WhatsApp scaricare una #backdoor chiamata AIRDRY.V2 sotto il pretesto di condividere un test di valutazione delle competenze.

Mandiant ha anche scoperto che UNC2970 ha fatto uso di versioni trojanizzate di #TightVNC, chiamate #LIDSHIFT, per caricare un #payload di secondo livello denominato #LIDSHOT in grado di scaricare ed eseguire #shellcode da un server remoto. Per stabilire una presenza all'interno di ambienti compromessi, il gruppo utilizza una backdoor basata su C++ noto come #PLANKWALK che apre la strada alla distribuzione di ulteriori strumenti, tra cui #TOUCHSHIFT, #TOUCHSHOT, #TOUCHKEY, #HOOKSHOT, #TOUCHMOVE e #SIDESHOW.

Mandiant ha anche scoperto che il gruppo ha sfruttato #Microsoft #Intune, una soluzione di gestione degli endpoint, per rilasciare uno script #PowerShell personalizzato contenente un payload codificato in #Base64 denominato #CLOUDBURST, una backdoor basata su C che comunica tramite #HTTP. Inoltre, gli attaccanti hanno utilizzato la tecnica Bring Your Own Vulnerable Driver (#BYOVD) per implementare la loro campagna di attacco. 

Secondo gli esperti di Mandiant, gli strumenti malware utilizzati dal gruppo UNC2970 indicano uno sviluppo continuo di malware e la distribuzione di nuovi strumenti. "Sebbene il gruppo abbia precedentemente preso di mira le industrie della difesa, dei media e della tecnologia, il targeting dei ricercatori di sicurezza suggerisce un cambiamento di strategia o un'espansione delle sue operazioni". Gli attacchi contro i ricercatori di sicurezza sono particolarmente preoccupanti in quanto questi esperti sono spesso al centro della lotta contro il cybercrime e possono rappresentare un ostacolo significativo per gli attori statali che cercano di acquisire informazioni sensibili.

#OnionDuke, un #malware rilevato per la prima volta dal #LeviathanSecurityGroup, è stato distribuito attraverso un nodo di uscita di #Tor con sede in #Russia che ha iniettato il malware nei file scaricati dagli utenti. Avvolgendo i file eseguibili legittimi con il malware, gli aggressori erano in grado di eludere i meccanismi di controllo dell'integrità e infettare i sistemi degli utenti.

Il gruppo #APT che ha sviluppato OnionDuke è conosciuto come #APT29, che è anche noto con i nomi #CozyBear o #TheDukes. Questo gruppo di cyber spionaggio è stato collegato a numerosi attacchi mirati e sofisticati, principalmente contro organizzazioni governative e altre istituzioni di alto profilo. Si ritiene che APT29 abbia legami con la Russia, sebbene l'attribuzione definitiva possa essere difficile da stabilire con certezza assoluta.

Sebbene la famiglia di malware #OnionDuke sia stata scoperta per la prima volta nel 2014, si ritiene che sia molto più vecchia. Le analisi dei campioni di OnionDuke hanno rivelato che alcuni dei binari più vecchi risalgono al 5 e al 15 luglio 2013. Questo suggerisce che i campioni analizzati sono in realtà la versione 4 del malware, e le versioni precedenti non sono state ancora identificate.

Anche se OnionDuke è una famiglia di malware distinta da #MiniDuke, anch'essa associata a campagne #APT contro organizzazioni governative, i ricercatori hanno scoperto che le due minacce sono collegate attraverso la loro infrastruttura di comando e controllo (#C&C). Alcuni dei domini C&C utilizzati da MiniDuke e OnionDuke sono stati registrati più o meno nello stesso periodo da un individuo che utilizza l'alias #JohnKasai.

Nelle campagne monitorate, il nodo di uscita #Tor dannoso è stato utilizzato per distribuire il #dropper OnionDuke, che contiene una risorsa #PE mascherata come file immagine #GIF. In realtà, si tratta di un file #DLL che viene decrittografato, scritto sul disco ed eseguito. Questo file DLL decifra il file di configurazione incorporato e tenta di connettersi ai domini C&C hardcoded specificati in esso.

Un altro componente di #OnionDuke è la variante Backdoor:W32/OnionDuke.A, che contiene diversi domini C&C hardcoded e stabilisce una connessione con #MiniDuke. Gli esperti ritengono che questa variante possa anche abusare di #Twitter come canale C&C aggiuntivo.

Secondo la società di sicurezza F-Secure, OnionDuke è stato utilizzato in attacchi mirati contro agenzie governative in Europa. Tuttavia, i ricercatori non sono riusciti a determinare il vettore di distribuzione utilizzato in questi attacchi specifici.

Per dimostrare le potenzialità e le capacità del #malware basato sull'AI, i ricercatori di HYAS labs hanno sviluppato un sistema di #attacco in cui il codice viene rigenerato dinamicamente durante l'esecuzione senza la necessità di un server #C2. Il processo ha portato alla creazione di una PoC chiamata #BlackMamba. Il malware può eludere qualsiasi sistema di rilevamento della sicurezza automatizzato senza sollevare alcuna bandiera rossa.

I ricercatori di #HYAS labs hanno sviluppato questo malware polimorfo sfruttando il Large Language Model (#LLM), la tecnologia che alimenta #ChatGPT. BlackMamba ha un #keylogger integrato progettato per raccogliere informazioni sensibili dai dispositivi bersaglio. Ciò include nomi utente, #password e numeri di carte di credito. Una volta raccolti, invia i dati a un canale malevolo su Microsoft Teams. Da lì, può essere trasmesso al #darkWeb o ad altre posizioni tramite i suoi canali crittografati sicuri eludendo i comuni #firewall e sistemi di rilevamento delle intrusioni.

Per sviluppare l'autonomo BlackMamba, i ricercatori hanno combinato due diversi concetti. Nel primo, un campione di malware è stato dotato di automazione intelligente in modo da non richiedere alcuna comunicazione C2. I dati rubati sono stati fatti arrivare a un server designato tramite un canale di comunicazione legittimo come Microsoft Teams. In secondo luogo, i ricercatori hanno utilizzato tecniche di generazione di codice AI (API di OpenAI) per sintetizzare nuovi codici malware dinamicamente ad ogni esecuzione, rendendo questo malware veramente polimorfo. Inoltre, utilizza il pacchetto #Python #open-source #Auto-py-to-exe, consentendo agli sviluppatori di convertire il codice in file eseguibili autonomi, con supporto per #Windows, #Linux e #macOS.

Il malware è stato testato contro un noto sistema #EDR e non ha provocato alcun allarme o rilevamento.

BlackMamba si rivela essere un'intera nuova categoria di malware, generando nuovo codice unico ogni volta utilizzando l'AI. Dimostra che gli LLM possono essere utilizzati per generare automaticamente codice malevolo, che è più efficace del codice generato dall'uomo e può ancora eludere qualsiasi soluzione di sicurezza predittiva. A questo punto, è fondamentale per le organizzazioni e i professionisti della sicurezza tenere il passo con le minacce in evoluzione e adottare e operazionalizzare misure di sicurezza all'avanguardia per rimanere protetti da tali minacce.