Il mercato dei malware per il furto di informazioni è in costante evoluzione, con diverse operazioni di #malware che competono per i clienti #cybercriminali promuovendo una maggiore capacità di elusione e di furto di dati dalle vittime.
Gli #InfoStealer sono malware specializzati utilizzati per rubare #password degli account, #cookie, dettagli delle carte di credito e dati dei #wallet di #criptovalute dai sistemi infetti, che vengono poi raccolti in archivi chiamati "log" e caricati nuovamente dagli attori minacciosi.
Questi log di dati rubati vengono utilizzati per alimentare ulteriori attacchi o venduti su mercati a prezzi che variano da 1 a 150 dollari, a seconda della vittima.
La società di intelligence sulla sicurezza informatica #KELA ha compilato un rapporto che presenta l'aumento delle varianti e delle operazioni di #malware-as-a-service (#MaaS) che si sono sviluppate notevolmente nel primo trimestre del 2023, aumentando il rischio associato per le organizzazioni e gli individui.
"In questo rapporto, KELA si concentra su nuovi infostealer come Titan, LummaC2, WhiteSnake e altri che sono emersi di recente dal mondo del crimine informatico e hanno già guadagnato popolarità tra gli attori minacciosi", ha dichiarato l'analista di intelligence sulle minacce informatiche Yael Kishon in un rapporto condiviso con #BleepingComputer.
Sebbene ceppi più vecchi come #RedLine, #Raccoon e #Vidar continuino ad avere una presenza significativa e nuove famiglie come #Aurora, #Mars e #Meta stiano ancora crescendo, nuove famiglie di malware stanno cercando di farsi un nome quest'anno.
KELA evidenzia le seguenti quattro operazioni di furto di informazioni che sono state lanciate nell'ultimo anno:
#Titan: Titan è apparso per la prima volta su forum di hacker di lingua russa nel novembre 2022, promosso come un info-stealer basato su Go che mira ai dati memorizzati in 20 #browser web.
Il suo canale #Telegram conta oltre 600 iscritti. Il 1° marzo 2023, gli autori hanno rilasciato la versione 1.5 e il 14 aprile hanno anticipato una nuova versione imminente, indicando che si tratta di un progetto molto attivo.
Titan viene venduto a 120 dollari al mese (per principianti), 140 dollari al mese (per utenti avanzati) o 999 dollari al mese (per team).
#LummaC2: LummaC2 prende di mira oltre 70 browser, portafogli di #criptovalute e estensioni di autenticazione a due fattori.
Nel gennaio 2023, il progetto ha avuto un riavvio su Telegram, che attualmente conta più di mille iscritti, e da febbraio 2023 è stato offerto in vendita tramite il "RussianMarket".
LummaC2 viene venduto a 250-1000 dollari al mese, a seconda delle funzionalità selezionate, e KELA afferma che il malware gode di una buona reputazione nel sottobosco del crimine informatico.
LummaC2 gestisce anche un programma di rivenditori, offrendo agli agenti una commissione del 20% per le nuove sottoscrizioni che portano sulla piattaforma.
#Stealc: Analizzato per la prima volta da #SEKOIA nel febbraio 2023, Stealc è un information stealer leggero con esfiltrazione automatica che mira a oltre 22 browser web, 75 plugin e 25 portafogli desktop.
Viene venduto a 200 dollari al mese e la sua popolarità è in costante aumento.
In passato, è stato diffuso tramite video su YouTube che promuovevano #software crackato infetto.
#WhiteSnake: Questo ceppo è stato promosso per la prima volta su forum di hacker nel febbraio 2023 come un furto di informazioni mirato a email, Telegram, Steam e portafogli di criptovalute.
Può prendere di mira sia sistemi #Windows che #Linux, il che è raro in questo campo.
WhiteSnake conta più di 750 iscritti su Telegram ed è venduto a 140 dollari al mese o 1950 dollari per l'accesso a vita.

#Pegasus, lo #spyware sviluppato dall'azienda israeliana NSO Group, è entrato a far parte delle cronache internazionali per le sue capacità di sorveglianza avanzata e il suo impatto sulle questioni di privacy e diritti umani. Nel corso degli anni, Pegasus ha sollevato gravi preoccupazioni riguardo all'abuso di potere e all'uso indiscriminato da parte di governi e autorità di tutto il mondo. Recentemente, il suo coinvolgimento nel conflitto tra Armenia e Azerbaijan ha portato all'attenzione globale un ulteriore capitolo oscuro nella storia di questo software.

#Pegasus è emerso per la prima volta nel 2016 come uno dei software di sorveglianza più sofisticati mai sviluppati. Creato dalla #NSOGroup, un'azienda israeliana specializzata nella #sicurezza informatica, Pegasus è stato progettato per consentire a governi e agenzie di #intelligence di accedere ai dispositivi mobili delle persone per raccogliere informazioni sensibili. Il suo metodo di infezione attraverso #SMS infetto e la sua capacità di prendere il controllo completo dei dispositivi lo rendono un'arma formidabile per coloro che cercano di spionare gli individui senza il loro consenso.

Nonostante la NSO Group abbia inizialmente promosso Pegasus come uno strumento per combattere il crimine e il terrorismo, è emerso che il #software è stato utilizzato in modi che sollevano gravi preoccupazioni per la #privacy e i diritti umani. Numerosi governi, compresi quelli classificati come "democrature", hanno utilizzato Pegasus per sorvegliare attivisti, giornalisti e dissidenti politici, anche in paesi in cui la libertà di espressione è già compromessa. Ciò ha innescato un acceso dibattito sulla necessità di regolamentare l'uso di tali strumenti per prevenire abusi e violazioni dei diritti umani.

La recente scoperta dell'utilizzo di Pegasus durante il conflitto tra #Armenia e #Azerbaijan ha gettato luce su un ulteriore capitolo oscuro nella storia di questo software. Durante la guerra in Nagorno-Karabakh nel 2020, il spyware è stato utilizzato per spiare giornalisti, attivisti, funzionari governativi e civili armeni. Le organizzazioni per i diritti digitali hanno condotto un'indagine che ha identificato 12 individui in Armenia il cui dispositivo Apple è stato infettato con Pegasus tra ottobre 2020 e dicembre 2022.

Nonostante le prove raccolte, non è ancora emerso chi sia responsabile dell'utilizzo di Pegasus in questa vicenda. Gli esperti suggeriscono che sia possibile che entrambi i governi abbiano interesse a sorvegliare determinate figure, dato che sia l'Armenia che l'Azerbaijan sono stati associati all'utilizzo di #spyware simili in passato. Tuttavia, la mancanza di prove concrete rende difficile stabilire una connessione diretta.

L'utilizzo di Pegasus nel conflitto Armenia-Azerbaijan ha sollevato preoccupazioni significative riguardo alle violazioni della privacy e ai potenziali abusi dei diritti umani. Questo spyware consente agli aggressori di accedere a informazioni personali sensibili, inclusi messaggi, fotografie e dati di geolocalizzazione, mettendo a rischio la sicurezza e la libertà degli individui. È essenziale che la comunità internazionale e le organizzazioni per i diritti umani prestino attenzione a tali questioni e lavorino per garantire che strumenti di sorveglianza avanzati come Pegasus non vengano utilizzati per scopi illeciti o repressivi.

Il lato oscuro della rete, noto come #DarkWeb, rappresenta un ambiente virtuale ricco di sfide e misteri. Per comprendere appieno le attività svolte in questo dominio nascosto, è necessario affidarsi a strumenti di analisi avanzati. Tra questi, spicca #DarkBERT, un modello linguistico preaddestrato specifico per il Dark Web.
DarkBERT è basato sull'architettura di #RoBERTa, addestrato su un vasto corpus di testi Dark Web. Questo corpus è stato raccolto attraverso l'esplorazione della rete #Tor e successivamente filtrato per garantire l'integrità e la rilevanza dei dati. Questo modello è stato progettato per comprendere il linguaggio specifico utilizzato nel Dark Web, consentendo agli esperti di ottenere una visione più approfondita delle attività svolte in questo ambiente virtuale.
Uno dei pericoli più diffusi nel Dark Web è rappresentato dal #ransomware, che compromette le organizzazioni e minaccia di divulgare dati riservati. #DarkBERT si dimostra particolarmente efficace nel rilevamento dei siti di #dataleak, che espongono le vittime e minacciano di divulgare informazioni sensibili. Attraverso l'addestramento su dataset specifici, #DarkBERT è in grado di identificare i siti di leak con una precisione superiore ad altri modelli linguistici come #BERT e #RoBERTa.
Le piattaforme di forum del Dark Web sono spesso utilizzate per lo scambio di informazioni illecite. Il rilevamento dei #thread di interesse è cruciale per gli esperti di sicurezza informatica, ma richiede una comprensione approfondita del Dark Web. #DarkBERT dimostra la sua efficacia anche in questo ambito, superando i modelli basati su BERT e RoBERTa nella rilevazione di thread rilevanti. Sebbene sia una sfida complessa, #DarkBERT mostra il suo potenziale nel ridurre il carico di lavoro degli esperti, automatizzando l'individuazione di thread potenzialmente dannosi.
Un'altra funzionalità interessante è l'inferenza di parole chiave legate alle minacce presenti nel Dark Web. Utilizzando il meccanismo di "fill-mask" dei modelli #BERT, #DarkBERT suggerisce parole semanticamente correlate alle #minacce e, ad esempio, alla vendita di sostanze supefacenti. I risultati mostrano che offre parole chiave specifiche, ad esempio, legate alle droghe che superando i modelli basati su BERT addestrati su corpora generici.
Purtroppo, come modello di intelligenza artificiale, #DarkBERT non è accessibile direttamente attraverso un sito web dedicato e richiede un'implementazione e un'infrastruttura di calcolo adeguata per essere utilizzato.
Tuttavia, puoi accedere a modelli preaddestrati come #DarkBERT attraverso l'uso di librerie di intelligenza artificiale come #HuggingFace. La libreria #HuggingFace fornisce un'ampia gamma di modelli di linguaggio preaddestrati, inclusi quelli specifici per il Dark Web come #DarkBERT.

Secondo un recente rapporto della società di sicurezza #Censys, i server #Web non configurati rimangono un problema importante, con migliaia di #server esposti online in attesa che gli #hacker accedano a informazioni preziose lasciate in sospeso.

L'azienda che indicizza i dispositivi su #Internet ha rilevato che più di 8.000 server che ospitano informazioni sensibili come credenziali di accesso, #backup di #database e file di configurazione non sono configurati in modo appropriato.

I dati contenuti nell'ultimo rapporto "State of the Internet" recentemente pubblicato dalla società sono un altro segnale preoccupante del fatto che molte organizzazioni non adottano ancora le precauzioni di sicurezza di base per salvaguardare i propri dati e le informazioni dei clienti.

Il rapporto riporta che nell'ultimo decennio, alcune delle più significative violazioni di dati non sono state causate da attacchi #zero-day sviluppati da uno Stato e che molte di esse si sono verificate a causa di un errore umano, che ha portato all'esposizione di grandi quantità di dati su un server senza alcuna misura di sicurezza, come l'autenticazione, l'autorizzazione o il filtraggio.

L'azienda ha trovato più di 18.000 file di valori separati da virgole e più di 2.000 file di database in linguaggio di #query strutturato - che di solito contengono dati importanti come documenti finanziari o proprietà intellettuale sensibile - tutti con zero requisiti di autenticazione. Anche se l'azienda non ha esaminato il contenuto di questi file, la loro semplice esistenza su un server web pubblicamente accessibile dovrebbe essere sufficiente a far scattare l'allarme.

Censys ha citato la fuga di dati di oltre 1,8 milioni di residenti del Texas avvenuta l'anno scorso, uno dei tanti esempi di questo annoso problema.

Censys ha inoltre rilevato che esistono migliaia di dispositivi rivolti a #Internet a fine vita con vulnerabilità ampiamente note. #Hikvision, un'azienda cinese di videosorveglianza che è stata recentemente bandita dalla Federal Communications Commission a causa di minacce alla sicurezza nazionale, è uno dei principali servizi trovati con "potenzialmente decine di migliaia" di dispositivi con una vulnerabilità ampiamente nota.

Il lavoro, spesso poco affascinante, della gestione delle risorse, delle vulnerabilità e delle patch è fondamentale per ridurre la superficie di attacco di un'organizzazione. I problemi di sicurezza che analizzati in questo report non sono il risultato di zero day o di altri exploit avanzati, ma piuttosto di problemi di misconfigurazione e di esposizione che sono probabilmente il risultato di semplici errori o di errori di configurazione.

#Wannacry docet!

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato con orgoglio di aver concluso con successo l'operazione congiunta denominata #Medusa, che ha inflitto un duro colpo al gruppo di origine russa #Turla alle dipendenze del Servizio di Sicurezza Federale della Federazione Russa (#FSB). Questa operazione ha mirato a debellare il gruppo #APT Turla, che per quasi 20 anni ha condotto attività di #spionaggio utilizzando il #malware #Snake per rubare segreti dai governi dei paesi membri della #NATO.

Secondo l'annuncio del Procuratore degli Stati Uniti presso il Distretto Orientale di New York, Turla ha operato all'interno del noto Centro 16 dell'FSB, utilizzando Snake come strumento principale per infiltrarsi nei sistemi governativi target. Una volta compromessi i sistemi, Turla esfiltrava dati sensibili attraverso una rete di macchine compromesse distribuite negli Stati Uniti e in altre parti del mondo, rendendo più difficile la rilevazione delle loro attività.

Per contrastare l'operazione di Turla, l'FBI ha sviluppato uno strumento di nome #Perseus, che è stato in grado di comandare con successo i componenti del malware Snake per sovrascrivere se stesso sui sistemi compromessi. Questa mossa ha avuto un impatto significativo sulle operazioni di Turla e ha rappresentato una vittoria per gli sforzi degli Stati Uniti nel contrastare le attività cibernetiche dannose della Russia.

L'importanza di questa operazione è evidente nelle parole di Matthew G. Olsen, Procuratore Generale Aggiunto della Divisione di Sicurezza Nazionale del Dipartimento di Giustizia: "Per 20 anni, l'FSB ha fatto affidamento sul malware Snake per condurre cyber spionaggio contro gli Stati Uniti e i nostri alleati, ma oggi questa situazione finisce". Olsen ha sottolineato l'impegno del Dipartimento di Giustizia nell'utilizzare tutte le risorse a sua disposizione per contrastare le attività cibernetiche dannose della #Russia, incluso l'uso di operazioni ad alta tecnologia per neutralizzare il malware, un utilizzo innovativo delle autorità legali e la collaborazione con alleati internazionali e partner del settore privato per massimizzare l'impatto complessivo.

È importante notare che le autorità statunitensi hanno condotto indagini su Snake per quasi due decenni e avevano agenti dedicati al monitoraggio delle attività di Turla all'interno di un'installazione del FSB a Ryzan, in Russia.
Turla è un attore di cyber spionaggio russo che opera da molti anni, secondo John Hultquist, responsabile dell'analisi dell'intelligence di #Mandiant per #Google Cloud, ed è considerato uno dei gruppi più antichi che viene monitorato da tempo. Sin dagli anni '90, quando Kevin Mandia rispondeva alle loro intrusioni nel governo e nell'industria della difesa, Turla ha dimostrato un interesse costante per i classici obiettivi dello spionaggio: governi, settore militare e difesa.

Ciò che caratterizza le operazioni di Turla è la loro capacità di condurre attacchi silenziosi che raramente attirano l'attenzione. Nonostante alcuni eventi ad alto profilo come l'incidente #Agent.BTZ agli inizi degli anni 2000 e l'attività #Moonlight Maze negli anni '90, la maggior parte delle loro attività rimaneva sotto il radar.

La recente scoperta che Turla ha utilizzato server di comando e controllo del malware Andromeda, vecchio di 10 anni, per prendere di mira e spiare i sistemi ucraini evidenzia la capacità del gruppo di adattarsi e utilizzare vecchi strumenti per raggiungere i propri obiettivi.

Nonostante l'arresto del malware Snake, gli esperti ritengono che Turla continuerà le sue attività con un nuovo framework. L'analista Frank van Oeveren, di Fox-IT, parte di NCC Group, sottolinea che Turla è un gruppo creativo e che non dovrebbe essere sottovalutato. La sofisticatezza e la robustezza del framework Snake dimostrano quanto tempo e risorse siano state investite nella sua creazione. È probabile che Snake sia stato rilevato in diversi paesi, tra cui membri della NATO, i loro alleati e altri stati indipendenti, suggerendo che Turla abbia una vasta gamma di obiettivi potenziali.

È importante riconoscere che le operazioni di contrasto come Medusa sono solo un passo nel continuo sforzo per affrontare le minacce cibernetiche provenienti da attori statali come Turla. Gli Stati Uniti e i loro alleati dovranno rimanere vigili e continuare a sviluppare strumenti e strategie innovative per proteggere le infrastrutture critiche e i dati sensibili da tali minacce.

Operazioni come Medusa dimostrano l'importanza della collaborazione internazionale nel contrastare il cyber spionaggio e nell'affrontare le minacce cibernetiche transnazionali. Solo attraverso una stretta cooperazione tra governi, forze dell'ordine, settore privato e organizzazioni internazionali sarà possibile mitigare efficacemente queste minacce e garantire la sicurezza cibernetica globale.

Negli ultimi anni, il panorama delle minacce informatiche è diventato sempre più sofisticato, con attacchi mirati e avanzate tecniche di intrusione. Per far fronte a queste sfide, le organizzazioni devono adottare misure di sicurezza innovative e proattive. Una di queste misure è l'uso di "honey tokens", trappole digitali progettate per attirare e identificare gli #aggressori. In questo articolo, esploreremo il concetto di #honeyTokens, come funzionano e perché sono importanti per migliorare la sicurezza delle informazioni.

Cos'è un Honey Token?
Un honey token è un tipo di #honeypot, una trappola per la sicurezza utilizzata per rilevare e prevenire attacchi informatici. Mentre gli honeypot tradizionali sono sistemi o risorse fittizie create per attirare gli #hacker, Gli honey tokens sono dati falsi o credenziali introdotti deliberatamente in un sistema per ingannare gli aggressori. Gli honey tokens possono includere nomi utente e #password fasulli, indirizzi email, numeri di carta di credito o documenti falsi contenenti informazioni sensibili.

Come funzionano Gli honey Tokens?
L'obiettivo principale è quello di rilevare tentativi di accesso non autorizzato o violazioni della sicurezza. Quando un aggressore tenta di utilizzare un honey token per accedere a un sistema o a dati sensibili, l'organizzazione viene allertata dell'attività sospetta. Poiché gli honey tokens non hanno alcuna funzione legittima all'interno del sistema, qualsiasi tentativo di utilizzarli indica un'azione malevola.

Gli honey tokens possono essere monitorati attraverso sistemi di rilevamento delle intrusioni (#IDS/IPS) e altre soluzioni di #sicurezza. Quando viene rilevato un tentativo di utilizzo, gli amministratori di sistema possono analizzare le informazioni sull'attività sospetta, come l'indirizzo #IP dell'#aggressore, il tempo e la natura del tentativo di accesso, per identificare e bloccare ulteriori #attacchi.

Perché Gli honey Tokens sono importanti?
Gli honey tokens offrono diversi vantaggi per migliorare la sicurezza:

• Rilevamento proattivo degli attacchi: in quanto aiutano le organizzazioni a identificare tentativi di intrusione in tempo reale, consentendo loro di agire rapidamente per bloccare gli aggressori e proteggere le risorse critiche.
• Raccolta di informazioni sugli attacchi: Il loro uso può fornire informazioni preziose sugli attacchi e sulle tattiche utilizzate dagli aggressori, consentendo alle organizzazioni di migliorare le loro strategie di difesa e di adattare le misure di sicurezza per affrontare le minacce emergenti. Analizzando le tracce lasciate dagli attacchi, i team di sicurezza possono comprendere meglio i metodi e le tecniche impiegati dagli hacker e sviluppare contromisure più efficaci.
• Miglioramento delle politiche e delle procedure di sicurezza: La raccolta di informazioni sugli attacchi può aiutare le organizzazioni a perfezionare le loro politiche e procedure di sicurezza, identificando eventuali lacune o vulnerabilità che possono essere sfruttate dagli aggressori. Inoltre, l'analisi dei tentativi di intrusione può evidenziare aree in cui la formazione degli utenti o le pratiche di gestione delle credenziali devono essere migliorate.
• Riduzione del rumore e dei falsi positivi: Poiché Gli honey tokens sono progettati per attirare specificamente gli aggressori, il loro utilizzo può ridurre il rumore e i falsi positivi nei sistemi di rilevamento delle intrusioni. Ciò consente ai team di sicurezza di concentrarsi sulle minacce reali e di rispondere più rapidamente e in modo più efficace agli attacchi.

Questi tokens possono assumere diverse forme e tipi, a seconda delle esigenze dell'organizzazione e degli obiettivi di sicurezza. Ecco alcuni esempi:

• Credenziali fasulle: Questi #tokens includono nomi utente e password fasulli o inutilizzati, che possono essere inseriti in #database, file di configurazione o applicazioni. Se un aggressore tenta di utilizzare queste credenziali per accedere a un sistema, l'organizzazione viene allertata dell'attività sospetta.
• Documenti trappola: Questi sono file o documenti contenenti informazioni false o apparentemente sensibili, come elenchi di clienti, piani aziendali o progetti di ricerca e sviluppo. Possono essere archiviati in posizioni accessibili agli utenti o in sistemi di archiviazione remota per attirare gli aggressori che cercano di rubare informazioni preziose.
• Indirizzi email trappola: Gli indirizzi #email fasulli o inutilizzati possono essere inseriti nei database aziendali o nelle liste di contatti per attirare gli spammer o gli attacchi di phishing. Se un aggressore invia un'email a uno di questi indirizzi, l'organizzazione può rilevare l'attività sospetta e indagare sulla fonte dell'attacco.
• URL o domini trappola: Gli #URL o i #domini fasulli possono essere creati per attirare gli aggressori che cercano di compromettere siti #web o applicazioni. Questi URL o domini possono essere monitorati per rilevare tentativi di accesso non autorizzato o attività di scansione.
• Token API: Token #API fasulli o inutilizzati possono essere inseriti in applicazioni o servizi web per rilevare tentativi di accesso non autorizzato alle API. Se un aggressore tenta di utilizzare un token API fasullo, l'organizzazione può rilevare l'attività sospetta e bloccare l'accesso.
• Database trappola: Questi sono #database falsi o inutilizzati che contengono dati fasulli o apparentemente sensibili. Gli aggressori che cercano di accedere a queste risorse possono essere identificati e bloccati.
• Sistemi o servizi trappola: Alcune organizzazioni creano sistemi o servizi fasulli all'interno della loro infrastruttura per attirare gli aggressori. Questi sistemi o servizi possono essere monitorati per rilevare attività sospette e identificare gli aggressori.

Ogni tipo di honey token può essere adattato alle esigenze specifiche dell'organizzazione e alla sua strategia di sicurezza. Integrandone diversi tipi, le organizzazioni possono creare un ambiente di sicurezza più robusto e resiliente alle minacce informatiche.
Questi rappresentano una strategia di sicurezza proattiva che consente alle organizzazioni di rilevare e prevenire attacchi informatici, dissuadendo gli aggressori e fornendo informazioni preziose per migliorare le difese. Integrando l'uso di honey tokens nelle loro architetture di sicurezza, le organizzazioni possono aumentare la loro resilienza alle minacce informatiche e proteggere meglio le risorse critiche.

I criminali del gruppo nordcoreano #Lazarus sono stati identificati come responsabili dell'attacco alla #supplyChain #3CX, un client desktop di chiamate vocali e video utilizzato da importanti multinazionali come #Toyota, #MercedesBenz, #CocaCola, #McDonalds e il #ServizioSanitarioNazionale britannico.

La #vulnerabilità è stata rintracciata in un file di libreria software vulnerabile di #Electron, un framework open-source per le interfacce utente. I criminali si sono impegnati per assicurarsi che la versione Trojan di #3CX funzioni normalmente. Hanno iniettato il codice maligno nel ramo #Electron del codice sorgente, anziché tentare di modificare il codice proprietario di #3CX, ha scritto l'analista di #Sophos Paul Ducklin.

Il gruppo #Lazarus è noto per aver effettuato una serie di attacchi di alto profilo, tra cui l'hack di #SonyPictures del 2014 e gli attacchi ransomware #WannaCry del 2017. Le agenzie governative degli Stati Uniti, tra cui l'#FBI, hanno emesso regolari avvertimenti sugli #hacker sponsorizzati dalla Corea del Nord e hanno pubblicato dati su quasi 30 varianti di malware associati a gruppi di #hacker sospettati di lavorare con il regime.

La società con sede in Florida #3CX ha detto di essere "affidabile per 600.000+ aziende" che hanno fino a 12 milioni di utenti giornalieri. La società ha assunto la società di sicurezza informatica #Mandiant, una controllata di #Google, per indagare sull'incidente.

La scoperta del gruppo #Lazarus è stata effettuata durante un'analisi degli strumenti utilizzati nell'attacco, secondo la società di sicurezza informatica #Volexity, insieme a #Sophos, #CrowdStrike e altri. #Sophos ha affermato che il codice usato nell'attacco era già stato visto in precedenza in incidenti attribuiti al gruppo #Lazarus. #Volexity ha individuato pubblicazioni di forum pubblici sul sito web di #3CX che affermavano che vari fornitori di rilevamento e risposta degli endpoint e antivirus avevano iniziato a segnalare l'attività maligna dagli aggiornamenti del software il 22 marzo 2023.

Molti utenti del forum di #3CX hanno commentato problemi simili. Un utente di nome skuers ha chiesto a #3CX di affrontare il problema. Un membro del team di supporto di #3CX ha risposto dicendo che ci sono centinaia se non migliaia di soluzioni AV là fuori, e non possono sempre raggiungerle ogni volta che si verifica un evento. #3CX utilizza il framework #Electron per la sua app e ha ipotizzato che alcuni fornitori possano bloccare alcune delle sue funzionalità.

Il software di rilevamento delle minacce #SentinelOne ha avvertito della rilevazione di esempi di sfruttamento del software, come il framework di penetrazione o #shellcode, evasione, comando indiretto e iniezione di codice. Diversi utenti del forum di #3CX hanno riferito di aver ricevuto allerte minacce da #SentinelOne per l'aggiornamento del desktop avviato dal client desktop.

Dall'inizio di quest'anno, i cybercriminali hanno preso di mira le vulnerabilità di #Cacti e #Realtek sui server #Windows e #Linux che possono essere sfruttati. In due attacchi diversi, gli attori minacciosi hanno infettato le vittime con i #malware #ShellBot (aka #PerlBot) e #Moobot. Le tecniche di attacco sovrapposte indicano che gli stessi attaccanti sono dietro entrambi gli attacchi.

Secondo i ricercatori di #Fortinet, #Moobot, una variante di #Mirai, mira a una vulnerabilità di iniezione di comando arbitraria (#CVE-2021-35394) in #Realtek Jungle SDK e una vulnerabilità di iniezione di comando (#CVE-2022-46169) in #Cacti. Gli attaccanti assumono il controllo dei sistemi vulnerabili per scaricare uno script contenente la configurazione del malware e stabilire una connessione con il server #C2. #Moobot comunica continuamente con il server #C2 e, successivamente, avvia l'attacco. L'ultima variante di #Moobot cerca altri bot noti e ne interrompe i processi per raccogliere la massima potenza hardware dell'host infetto e lanciare attacchi #DDoS.

Per quanto riguarda #ShellBot, gli attaccanti hanno mirato principalmente alla vulnerabilità di #Cacti per distribuire le tre nuove varianti del malware: #PowerBots (C) #GohacK, #LiGhTsModdedperlbotv2 e #B0tchZ 0.2a. La prima variante stabilisce una connessione con i server #C2 e attende i comandi per eseguire attività dannose. La seconda variante presenta un insieme molto più ampio di comandi e include numerosi tipi di attacchi di flooding, un modulo di miglioramento dell'exploit e funzioni di hacking. È diventato attivo questo mese e ha già accumulato centinaia di vittime. La terza variante contiene una configurazione con più comandi per eseguire attività dannose e mirare a server #Cacti vulnerabili.

Oltre a #ShellBot e #Moobot, diversi altri attaccanti hanno sfruttato gli stessi bug, tra cui #Fodcha, #Gafgyt, #Mozi e #RedGoBot. Mentre i fornitori interessati hanno rilasciato immediatamente aggiornamenti software per risolvere il problema, molte organizzazioni

C'è un nuovo allarme riguardante alcuni video presenti su #YouTube che potrebbero mettere a rischio i nostri dispositivi. I #cybercriminali utilizzano sempre più spesso questa piattaforma di broadcasting video per diffondere #malware. Gli esperti di #CloudSEK hanno identificato una nuova #truffa che consiste in video che sembrano essere dei tutorial, ma che in realtà contengono #link a presunti crack in grado di installare malware #infostealer sui computer degli utenti. Questi malware sono in grado di rubare dati come #password, #cookie, numeri di carte di credito, indirizzi IP, #cryptoWallet e altre informazioni sensibili.

L'inganno sta proprio nei #link presenti nella descrizione dei video, che non sono immediatamente identificabili come dannosi. Gli #hacker utilizzano #URLshortener o #filehosting per nascondere la truffa, e spesso inseriscono dei commenti falsi sotto al video per rendere il tutto più credibile. Questi video vengono creati con l'ausilio di #intelligenzaartificiale, per evitare di destare sospetti. Gli hacker riescono a pubblicarli violando profili già esistenti sulla piattaforma, e utilizzano varie #ottimizzazioni #SEO per farli apparire tra i video più popolari.

La #truffa è in aumento, e i video contenenti link a malware #info-stealer come #Vidar, #RedLine e #Raccoon sono aumentati del 200-300% nell'ultimo mese. Questo tipo di minacce possono essere bloccate con una soluzione di #sicurezze informatica aggiornata. Tuttavia, è importante fare attenzione anche quando si guarda un video su #YouTube, e non aprire link sospetti o di cui non si è certi dell'affidabilità.

#OnionDuke, un #malware rilevato per la prima volta dal #LeviathanSecurityGroup, è stato distribuito attraverso un nodo di uscita di #Tor con sede in #Russia che ha iniettato il malware nei file scaricati dagli utenti. Avvolgendo i file eseguibili legittimi con il malware, gli aggressori erano in grado di eludere i meccanismi di controllo dell'integrità e infettare i sistemi degli utenti.

Il gruppo #APT che ha sviluppato OnionDuke è conosciuto come #APT29, che è anche noto con i nomi #CozyBear o #TheDukes. Questo gruppo di cyber spionaggio è stato collegato a numerosi attacchi mirati e sofisticati, principalmente contro organizzazioni governative e altre istituzioni di alto profilo. Si ritiene che APT29 abbia legami con la Russia, sebbene l'attribuzione definitiva possa essere difficile da stabilire con certezza assoluta.

Sebbene la famiglia di malware #OnionDuke sia stata scoperta per la prima volta nel 2014, si ritiene che sia molto più vecchia. Le analisi dei campioni di OnionDuke hanno rivelato che alcuni dei binari più vecchi risalgono al 5 e al 15 luglio 2013. Questo suggerisce che i campioni analizzati sono in realtà la versione 4 del malware, e le versioni precedenti non sono state ancora identificate.

Anche se OnionDuke è una famiglia di malware distinta da #MiniDuke, anch'essa associata a campagne #APT contro organizzazioni governative, i ricercatori hanno scoperto che le due minacce sono collegate attraverso la loro infrastruttura di comando e controllo (#C&C). Alcuni dei domini C&C utilizzati da MiniDuke e OnionDuke sono stati registrati più o meno nello stesso periodo da un individuo che utilizza l'alias #JohnKasai.

Nelle campagne monitorate, il nodo di uscita #Tor dannoso è stato utilizzato per distribuire il #dropper OnionDuke, che contiene una risorsa #PE mascherata come file immagine #GIF. In realtà, si tratta di un file #DLL che viene decrittografato, scritto sul disco ed eseguito. Questo file DLL decifra il file di configurazione incorporato e tenta di connettersi ai domini C&C hardcoded specificati in esso.

Un altro componente di #OnionDuke è la variante Backdoor:W32/OnionDuke.A, che contiene diversi domini C&C hardcoded e stabilisce una connessione con #MiniDuke. Gli esperti ritengono che questa variante possa anche abusare di #Twitter come canale C&C aggiuntivo.

Secondo la società di sicurezza F-Secure, OnionDuke è stato utilizzato in attacchi mirati contro agenzie governative in Europa. Tuttavia, i ricercatori non sono riusciti a determinare il vettore di distribuzione utilizzato in questi attacchi specifici.