I distributori di malware utilizzano falsi bug di Google Chrome, Word e OneDrive per indurre gli utenti a eseguire “patch“, che in realtà sono script di PowerShell che installano malware.

Gli esperti di ProofPoint riferiscono che la nuova tattica è già stata adottata da diversi gruppi di hacker. Questi attacchi vengono quindi utilizzati dagli aggressori dietro lo schema ClearFake, il nuovo cluster dannoso ClickFix, nonché il gruppo TA571, che di solito distribuisce spam e invia numerose email che portano all’infezione con malware e ransomware.

In precedenza, gli attacchi ClearFake iniettavano codice dannoso nei siti compromessi, dopo di che le risorse mostravano messaggi falsi sulla necessità di aggiornare il browser.

Nuovi attacchi sfruttano anche JavaScript in HTML sui siti compromessi, ma ora gli overlay mostrano agli utenti errori falsi di Google Chrome, Microsoft Word e OneDrive. Questi messaggi incoraggiano gli utenti a copiare la “correzione” negli appunti, quindi incollarla ed eseguirla manualmente.

“Sebbene un attacco riuscito richieda un’interazione significativa da parte dell’utente, l’ingegneria sociale è abbastanza sofisticata da presentare contemporaneamente all’utente un problema e una soluzione, che può motivarlo ad agire senza valutare i rischi”, avvertono.

I payload osservati da Proofpoint in questa campagna includono: DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, malware che dirotta gli appunti attraverso l’infostealer Lumma.

Gli analisti hanno subito individuato tre catene di attacchi, che si differenziano soprattutto nelle fasi iniziali. Solo uno di essi non è associabile con certezza al gruppo TA571 sopra menzionato.

Quindi, nel primo caso, che è associato agli aggressori dietro gli attacchi ClearFake, gli utenti si recano su un sito compromesso che scarica uno script dannoso ospitato sulla blockchain tramite Binance Smart Chain.

Questo script esegue diversi controlli e visualizza una notifica falsa, presumibilmente proveniente da Google Chrome, che indica un problema con la visualizzazione della pagina web. La finestra di dialogo richiede quindi di installare il “certificato root” copiando lo script PowerShell negli appunti ed eseguendolo in Windows PowerShell.

Una volta eseguito, lo script esegue vari controlli per garantire che il dispositivo sia un bersaglio adatto, quindi scarica un payload aggiuntivo, come mostrato nel diagramma seguente.

La seconda catena di attacchi è associata alla campagna ClickFix e utilizza iniezioni su siti compromessi che creano iframe per sovrapporre errori falsi. In questo caso, agli utenti viene richiesto di aprire “Windows PowerShell (Admin)” e incollare il codice fornito, che ha lo stesso effetto.

La terza catena di attacchi coinvolge la posta elettronica e l’uso di allegati HTML che assomigliano a documenti di Microsoft Word. Qui agli utenti viene chiesto di installare l’estensione Word Online per visualizzare correttamente il documento.

In questo caso, il falso messaggio di errore contiene le opzioni “Come risolvere” e “Correzione automatica”. Inoltre, selezionando l’opzione “Come risolvere” copia il comando PowerShell codificato base64 negli appunti e indica all’utente di incollarlo in PowerShell.

L’opzione di correzione automatica, a sua volta, utilizza il protocollo search-ms per visualizzare un file fix.msi o fix.vbs ospitato sulla condivisione file remota di un hacker utilizzando WebDAV. Cioè, i comandi PowerShell vengono scaricati ed eseguiti tramite un file MSI o tramite uno script VBS, il che porta all’infezione con i malware Matanbuchus e DarkGate.

L'articolo Nuova Truffa Online: Falsi Bug in Chrome e Word Diffondono Malware proviene da il blog della sicurezza informatica.

I ricercatori Symantec hanno scoperto che gli aggressori associati al ransomware Black Basta stavano sfruttando una vulnerabilità appena scoperta nel servizio Windows Error Reporting (WER) per ottenere privilegi di sistema elevati. Questa vulnerabilità, nota come CVE-2024-26169, è stata risolta da Microsoft a marzo 2024.

Il CVE-2024-26169 è una vulnerabilità di escalation dei privilegi con un punteggio CVSS di 7,8. Consente agli aggressori di ottenere i diritti di amministratore di sistema. L’analisi dello strumento di exploit utilizzato negli attacchi recenti ha mostrato che la compilazione potrebbe essere stata completata prima che la vulnerabilità fosse stata corretta, indicando che era utilizzata come vulnerabilità zeroday.

Symantec sta monitorando questo gruppo motivato finanziariamente chiamato Cardinal, noto anche come Storm-1811 e UNC4393. Questi aggressori utilizzano Black Basta per monetizzare l’accesso ai sistemi, spesso ottenendo l’accesso iniziale tramite QakBot e DarkGate.

Negli ultimi mesi, il gruppo ha utilizzato prodotti Microsoft legittimi come Quick Assist e Teams per attaccare gli utenti. Secondo Microsoft, gli aggressori inviano messaggi e chiamate tramite Teams fingendo di essere personale IT, portando all’uso improprio di Quick Assist, al furto di credenziali tramite EvilProxy e all’utilizzo di SystemBC per fornire accesso persistente e controllo dei comandi.

Symantec ha inoltre affermato di aver osservato lo strumento utilizzato in un tentativi di attacco ransomware. Gli aggressori utilizzano il file “werkernel.sys“, che crea chiavi di registro con un descrittore di sicurezza nullo. Ciò consente di creare una chiave di registro che avvia una shell di comandi con diritti amministrativi.

Un portavoce di Microsoft ha confermato che il problema è stato risolto a marzo e che i clienti che hanno installato la correzione sono protetti. Il software di sicurezza proprietario include strumenti per rilevare e proteggersi da questo malware.

Fortunatamente, la tempestiva patch di Microsoft ha impedito gravi attacchi, ma l’incidente serve a ricordare la crescente importanza della protezione dalle minacce informatiche.

L'articolo Black Basta ha utilizzato una Vulnerabilità Zero-Day in Windows per distribuire il ransomware proviene da il blog della sicurezza informatica.

The last time we used a scanning electron microscope (a SEM), it looked like something from a bad 1950s science fiction movie. These days SEMs, like the one at the IBM research center, look like computers with a big tank poised nearby. Interestingly, the SEM is so sensitive that it has to be in a quiet room to prevent sound from interfering with images.

As a demo of the machine’s impressive capability, [John Ott] loads two US pennies, one facing up and one face down. [John] notes that Lincoln appears on both sides of the penny and then proves the assertion correct using moderate magnification under the electron beam.

Some electron microscopes pass electrons through thin samples much as light passes through a sample on a microscope slide. However, SEMs and REMs (reflection electron microscopes) use either secondary electron emission or reflected electrons from the surface of items like the penny.

You often see SEMs also fitted with EDS — energy dispersive X-ray spectrometers, sometimes called EDX — that can reveal the composition of a sample’s surface. There are other ways to examine surfaces, like auger spectrometers (pronounced like OJ), which can isolate thin films on surfaces. There’s also SIMS (secondary ion mass spectrometry) which mills bits of material away using an ion beam. and Rutherford backscattering spectrometry, which also uses an ion beam.

We keep waiting for someone to share plans to make a cheap, repeatable SEM. There are a few attempts out there, but we don’t see many in the wild. While the device is conceptually simple, you do need precise high voltages and high vacuums,. Also, you frequently need ancillary devices to do things like sputter gold in argon gas to coat nonconductive samples, so the barrier to entry is high.

youtube.com/embed/tAhovMMRcEM?…

I ricercatori hanno scoperto sei vulnerabilità nel router economico Netgear WNR614 N300, popolare sia tra gli utenti privati e delle piccole imprese. Purtroppo il supporto per questi dispositivi è già stato interrotto e non sono previste patch.

I ricercatori di RedFox Security riferiscono che i bug riscontrati vanno dal bypass dell’autenticazione e politiche di password deboli all’archiviazione di password in chiaro e alla divulgazione del PIN Wi-Fi Protected Setup (WPS).

• CVE-2024-36787 : consente a un utente malintenzionato di ignorare l’autenticazione e ottenere l’accesso all’interfaccia amministrativa. In effetti, questo problema consente l’accesso non autorizzato alle impostazioni del router.
• CVE-2024-36788 : il flag HTTPOnly per i cookie non è impostato correttamente sui dispositivi. Un utente malintenzionato può utilizzare questo bug per intercettare e ottenere l’accesso ai messaggi riservati scambiati tra il router e i dispositivi ad esso collegati.
• CVE-2024-36789 : consente agli aggressori di creare password che non soddisfano gli standard di sicurezza e persino di utilizzare un solo carattere come password per l’account amministratore.
• CVE-2024-36790 : il router memorizza le credenziali in testo non crittografato, che consente l’accesso non autorizzato, il controllo del dispositivo ed espone anche dati sensibili.
• CVE-2024-36792 : L’implementazione WPS consente l’accesso al codice PIN del router. Ciò rende i dispositivi potenzialmente vulnerabili agli accessi non autorizzati.
• CVE-2024-36795 : i privilegi non sicuri consentiranno agli aggressori di accedere a URL e directory codificati nel firmware del router, aumentando il rischio di accesso alla rete non autorizzato.

Dati dell’amministratore in testo non crittografato
Poiché il supporto per i router Netgear WNR614 N300 è già terminato, è improbabile che Netgear rilasci patch per questi problemi.

I ricercatori consigliano vivamente ai proprietari dei dispositivi interessati di sostituirli con nuovi modelli supportati il ​​prima possibile. Se per qualche motivo ciò non è possibile, si consiglia di adottare le seguenti misure protettive:

• disabilitare le funzionalità di gestione remota per ridurre il rischio di accesso non autorizzato;
• utilizzare password complesse e lunghe e cambiarle regolarmente;
• Separare il router dai sistemi critici della rete per limitare l’impatto di un potenziale attacco;
• Assicurati che il tuo router utilizzi HTTPS e utilizza le impostazioni del browser che forzano tutte le connessioni a utilizzare HTTPS.
• disabilitare il WPS in modo che gli aggressori non possano utilizzare questa funzione e ottenere un accesso non autorizzato al router;
• passare a WPA3, che migliora la sicurezza rispetto ai protocolli precedenti;
• limitare l’accesso all’interfaccia amministrativa del router.

L'articolo Scoperte 6 Vulnerabilità Critiche nei Router Netgear WNR614 N300: Cosa Fare Subito proviene da il blog della sicurezza informatica.

Aerial drone image of a litter windrow in Bay of Biscay, Spain. Windrow width: 1-2 meters. (Credit: ESA)
Recently ESA published the results of a proof-of-concept study into monitoring marine litter using existing satellites, with promising results for the Mediterranean study area. For the study, six years of historical data from the Sentinel-2 satellite multispectral imaging cameras were used, involving 300,000 images with a resolution of 10 meters. The focus was on litter windrows as common collections of litter like plastic, wood and other types of marine debris that float on the surface, forming clearly visible lines that can be meters wide and many times as long.

These were processed as explained in the open access paper in Nature Communications by [Andrés Cózar] and colleagues. As marine litter (ML) tends to be overwhelmingly composed of plastic, this eases the detection, as any ML that’s visible from space can generally be assumed to be primarily plastic litter. This was combined with the spectral profile of common plastics, so that other types of floating materials (algae, driftwood, seafoam, etc.) could be filtered out, leaving just the litter.

This revealed many of these short-lived litter windrows, with spot confirmation from ships in the area. Some of the windrows were many kilometers in length, with an average of around 1 km.

Although just a PoC, it nevertheless shows that monitoring such plastic debris from space is quite doable, even without dedicated satellites. As every day tons more plastics make their way into the oceans, this provides us with the means to at least keep track of the scope of the problem. Even if resolving it and the associated microplastics problem is still a far-off dream.

Uno scritto davvero interessante, prepotente e sincero senza freni e rivelatore, per uno scrittore fra i più interessanti dello spaghetti weird. @L’angolo del lettore

iyezine.com/michele-borgogni-t…

Michele Borgogni - Terror Supermarket

Michele Borgogni - Terror Supermarket - Terror Supermarket: Michele Borgogni iper realista e descrive cosa potrebbe succedere in un supermercato se cadessero le flebili barriere ipocrite - Terror Supermarket

^{Massimo Argo (In Your Eyes ezine)}

Questo Memories Have Faces esce a quasi dieci anni di distanza da Inside Out Your Mind, ultimo vagito su trentatré della band, dimostrandosi, a mio modesto avviso, ancora superiore al suo già di per sé brillantissimo predecessore;  a riprova, se mai ce ne fosse bisogno, di come passione, competenza e sacro fuoco non abbandonino chi di certe sonorità si è reso uno dei più credibili e quotati alfieri.

@Musica Agorà

iyezine.com/the-loons-memories…

The Loons - Memories Have Faces

The Loons - Memories Have Faces - The Loons - Dream In Jade Green - The Loons

^{Il Santo (In Your Eyes ezine)}

Ad ulteriore dimostrazione di quanto ho scritto in occasione delle sue precedenti uscite, i nove pezzi di questo nuovo album si aprono con suggestioni tra il deserto e lo spazio infinito di Dirty Ground passando poi all'andamento doloroso di Light the Incense.
@Musica Agorà

iyezine.com/black-snake-moan-l…

Black Snake Moan - Lost In Time 

Black Snake Moan - Lost In Time  - Black Snake Moan - Lost In Time: - Black Snake Moan

^{Il Santo (In Your Eyes ezine)}

“The healer” su Thrill Jockey Records è il quinto disco sulla lunga distanza per i Sumac, gruppo di punta del rumorismo e della totale libertà musicale. Il gruppo formato da Nick Yacyshyn, Brian Cook e Aaron Turner torna a disegnare ardite parabole nei consumati cieli della musica moderna. @Musica Agorà

iyezine.com/sumac-the-healer

Sumac - The healer

Sumac - The healer - Sumac: una delle più particolari e meravigliose esperienze sonore che possiate compiere in questi tempi aridi. - Sumac

^{Massimo Argo (In Your Eyes ezine)}

This is the Central Scrutinizer...
It is my responsibility to enforce all the laws
That haven't been passed yet
It is also my responsibility to alert each
And every one of you to the potential consequences
Of various ordinary everyday activities
You might be performing which could eventually lead to
The Death Penalty (or affect your parents' credit rating)
Our criminal institutions are full of little creeps
Like you who do wrong things...
And many of them were driven to these crimes
By a horrible force called music!

Our studies have shown that this horrible force
Is so dangerous to society at large that laws
Are being drawn up at this very moment to stop it forever!
Cruel and inhuman punishments are being carefully described
In tiny paragraphs so they won't conflict with the Constitution
(Which, itself, is being modified in order to accommodate the future)

I bring you now a special presentation
To show what can happen to you if you choose a career in music...
The white zone is for loading and unloading only...
If you have to load or unload, go to the white zone...
You'll love it... it's a way of life... Ha, ha, ha, ha, ha...
Hi, it's me, I'm back
This is the Central Scrutinizer...
The white zone is for loading and unloading only...
If yah gotta load, or if yah gotta unload, go to the white zone
You'll love it... it's a way of life
That's right, you'll love it, it's a way of life
That's right, you'll love it, it's a way of life
You'll love it
This, is, the Central Scrutinizer!
- Frank Zappa

iv.datura.network/watch?v=IgG8…