I ricercatori di Malwarebytes hanno recentemente scoperto una campagna di malvertising sugli annunci sponsorizzati di Google, che mira a compromettere i gestori di password degli utenti.  

Il malvertising è un attacco che consiste nella pubblicazione di annunci dannosi su siti web legittimi, annunci che possono essere utilizzati per diffondere malware o per ingannare gli utenti a fornire informazioni personali o finanziarie. 

I ricercatori hanno trovato annunci sponsorizzati di Google che contenevano collegamenti verso a un sito web compromesso, finalizzato al phishing: il sito si presentava con un'interfaccia di login per un popolare gestore di password, ma in realtà catturava le informazioni dell'utente e le inviava a un server remoto. 

La campagna ha utilizzato una tecnologia sofisticata per eludere i sistemi di sicurezza del browser e la protezione anti-malware, come, ad esempio, codice JavaScript per mascherare l'indirizzo del sito web compromesso e rendere più difficile la sua identificazione da parte dei sistemi di sicurezza. 

Il panorama delle minacce è sempre più interessato a soluzioni Open Source per risolvere le fasi di exploitation, C2 e post-exploitation. Sono fasi critiche e complesse, che consumano molte risorse per la loro costruzione e mantenimento, umane ed economiche. Le soluzioni più o meno commerciali o più o meno “legali” (come Metasploit e Cobalt Strike, ufficialmente venduti per realizzare “simulazioni di attacco”) hanno fatto e fanno il loro dovere per molti agenti di minaccia al pari degli ethical hacker che intendono invece “realmente simulare”. 

L’emergere di pacchetti software Open Source efficaci abbatte notevolmente questo consumo di risorse, e diviene un osservato speciale, anzi, una vera e propria miniera d’oro per gli agenti di minaccia. 

Differenti analisti (tra cui l’azienda di sicurezza informatica Cybereason di Boston, con sedi anche a Londra, Tokyo e Tel Aviv, e la più nota Qualys) stanno tenendo sotto controllo questo fenomeno. 

In particolare l’attenzione si sta focalizzando su due particolari framework Open Source, dedicati proprio alle fasi di cui sopra: Empire e Sliver. 

In un mondo sempre più connesso e digitalizzato, la sicurezza informatica è diventata una preoccupazione chiave per molte aziende. Con la crescente quantità di dati e di dispositivi, le minacce informatiche sono diventate sempre più sofisticate e difficili da individuare e gestire. Per far fronte a queste sfide, le aziende stanno adottando soluzioni avanzate di sicurezza, come Endpoint Detection and Response (EDR), Extended Detection and Response (XDR), Security Information and Event Management (SIEM) e Security Orchestration, Automation and Response (SOAR). In questo articolo, esploreremo come queste soluzioni lavorano insieme per fornire una protezione completa contro le minacce informatiche e come possono aiutare le aziende a prevenire, rilevare e rispondere agli incidenti di sicurezza. 

Ccerchiamo di capire cosa siano queste soluzioni avanzate. 

Un EDR (Endpoint Detection and Response) è una soluzione di sicurezza che consente di proteggere da minacce informatiche i dispositivi endpoint: questi sono i nostri computer e i nostri dispositivi mobili. Un EDR monitora costantemente tali dispositivi per rilevare e investigare eventuali attività sospette, consentendo agli amministratori di sistema di identificare e rispondere rapidamente alle minacce. 

Un EDR raccoglie differenti dati dagli endpoint (log di sicurezza, eventi di rete e informazioni sulle minacce) utilizzando tecnologie come il rilevamento del comportamento anomalo, l'intelligenza artificiale e l'apprendimento automatico.

Molti pensano a Windows come un unico ambiente monolitico, ma la verità è che di Windows ne esistono differenti versioni ed edizioni, ognuna con una propria storia e caratteristiche. L’avvento di nuove generazioni complica poi ancora di più il panorama, moltiplicando le versioni in circolazione. Attualmente sono in circolazione diverse versioni di Windows, tra cui Windows 11. Windows 10, Windows 8.1 e Windows 7 (per la versione Desktop) e Windows Server 2019, seguita da Windows Server 2016 e Windows Server 2012 R2. 

Pertanto è fisiologico che Microsoft resti attenta ad omogeneizzare le politiche di sicurezza in tutte le generazioni dei suoi sistemi. 

È quanto ha fatto con l’ultima novità (introdotta già per le edizioni Enterprise ed Educational), portata in anteprima sull’edizione Windows 11 Pro e nelle edizioni Windows 10 versione 1709 (e successive) e Windows Server 2019. 

Una rivoluzione per qualcuno. Un cambiamento riguardante le regole di autenticazione per protocollo SMB. 

Il protocollo SMB in versione 2 (SMB2) e 3 (SMB3) non consentiranno più il fallback verso sistemi di autenticazione insicuri; questo comporterà l’abolizione predefinita dell’accesso guest (ospite), né in prima battuta, né come conseguenza a credenziali errate. Questo varrà sia per il servizio che per il client SMB realizzato con sistemi Windows