Gli sviluppatori del malware Banshee Stealer hanno cessato le attività dopo che il codice sorgente del programma è trapelato online. Banshee Stealer, apparso nell’agosto del 2024, è diventato uno dei pochi infostealer progettati per attaccare macOS.

Tuttavia, il programma è diventato famoso soprattutto per il suo prezzo di affitto elevato: oltre 3.000 dollari al mese, ovvero circa 10 volte superiore al costo standard di programmi simili.

Secondo un rapporto di Elastic Security Labs, il malware aveva tutte le funzioni tipiche degli infostealer: rubare password dai browser, rubare chiavi di portafogli di criptovalute, raccogliere dati sul sistema operativo e lanciare pagine di phishing.

La fuga del codice sorgente, secondo gli esperti, potrebbe essere collegata ad un cliente insoddisfatto. Simili situazioni non sono rare nei forum underground: gli acquirenti, sentendosi ingannati o volendo danneggiare i concorrenti, spesso pubblicano i codici sorgente dei malware rendendoli di pubblico dominio.

Recentemente, il team Elastic Security Labs ha anche identificato un nuovo metodo per diffondere il malware GHOSTPULSE: caricare i dati attraverso i pixel di un file PNG. Questo approccio è stato definito uno dei cambiamenti più significativi nel funzionamento del malware dalla sua introduzione nel 2023.

In precedenza, GHOSTPULSE (HIJACKLOADER, IDATLOADER) nascondeva dati dannosi nei blocchi IDAT dei file PNG. Inoltre, il nuovo algoritmo consente di incorporare dati dannosi direttamente nella struttura dei pixel dell’immagine, complicandone il rilevamento.

L'articolo Banshee Stealer ha Chiuso! Tutto per colpa del codice trapelato online proviene da il blog della sicurezza informatica.

Spoiler alert: almond butter isn’t phosphorescent. But powdered milk is, at least to the limit of detection of this homebrew phosphorescence detector.

Why spend a bunch of time and money on such a thing? The obvious answer is “Why not?”, but more specifically, when [lcamtuf]’s son took a shine (lol) to making phosphorescent compounds, it just seemed natural for dad to tag along in his own way. The basic concept of the detector is to build a light-tight test chamber that can be periodically and briefly flooded with UV light, charging up the putatively phosphorescent compounds within. A high-speed photodiode is then used to detect the afterglow, which can be quantified and displayed.

The analog end of the circuit was the far fussier end of the design, with a high-speed transimpedance amplifier to provide the needed current gain. Another scaling amp and a low-pass filter boosts and cleans up the signal for a 14-bit ADC. [lcamtuf] went to great lengths to make the front end as low-noise as possible, including ferrite beads and short leads to prevent picking up RF interference. The digital side has an AVR microcontroller that talks to the ADC and runs an LCD panel, plus switches the 340 nm LEDs on and off rapidly via a low gate capacitance MOSFET.

Unfortunately, not many things found randomly around the average home are all that phosphorescent. We’re not sure what [lcamtuf] tried other than the aforementioned foodstuffs, but we’d have thought something like table salt would do the trick, at least the iodized stuff. But no matter, the lessons learned along the way were worth the trip.

hackaday.com/2024/11/28/homebr…

I ricercatori di sicurezza informatica hanno segnalato la creazione di un bootkit UEFI unico nel suo genere per i sistemi Linux. Lo strumento, chiamato Bootkitty, è considerato un proof-of-concept (PoC) e, secondo gli esperti, non è stato ancora utilizzato in attacchi reali. Il bootkit è noto anche come IranuKit ed è stato caricato per la prima volta sulla piattaforma VirusTotal il 5 novembre 2024.

Il compito principale di Bootkitty è disabilitare la funzione di verifica della firma del kernel Linuxe precaricare due file ELF tramite il processo init, che viene avviato per primo all’avvio del sistema. Secondo gli esperti di ESET, la funzionalità del bootkit rappresenta una seria sfida per la sicurezza informatica.

Questo bootkit utilizza un certificato autofirmato, che ne impedisce l’esecuzione su sistemi con Secure Boot abilitato, a meno che gli aggressori non abbiano precedentemente installato un certificato controllato. Tuttavia, anche se Secure Boot è abilitato, Bootkitty è in grado di modificare le funzioni di controllo dell’integrità del kernel in memoria prima di avviare il boot loader GRUB.

Pertanto, se Secure Boot è abilitato, Bootkitty si connette a due funzioni dei protocolli di autenticazione UEFI, ignorando i controlli di integrità. Quindi modifica tre funzioni nel bootloader GRUB per consentirgli di aggirare ulteriori controlli di sicurezza. Ciò dimostra la grave vulnerabilità dei sistemi moderni.

L’indagine di ESET ha scoperto un modulo kernel non firmato in bundle che distribuisce un binario ELF BCDropper. Questo file carica un altro modulo del kernel sconosciuto dopo l’avvio del sistema. Le funzioni del modulo includono nascondere file e processi e aprire porte di rete, tipico dei rootkit.

Gli esperti sottolineano che Bootkitty distrugge lo stereotipo secondo cui i bootkit UEFI minacciano solo i sistemi Windows e indica la necessità di prepararsi a nuove minacce. Questa scoperta potrebbe diventare un punto di partenza per ulteriori sviluppi nel campo della protezione delle piattaforme Linux.

L'articolo I Bootkit UEFI Sbarcano su Linux! Come il PoC di IranuKit Svela Vulnerabilità Nascoste proviene da il blog della sicurezza informatica.

Prima del 1994, la maggior parte delle tecnologie di scansione utilizzavano codici a barre unidimensionali in grado di memorizzare solo fino a 80 caratteri alfanumerici. Denso Wave ha creato i primi codici QR, aumentando la capacità a 7.000 caratteri digitali o 4.300 alfanumerici.

Uno studio di Cisco Talos ha dimostrato che i filtri antispam sono praticamente impotenti contro i codici QR dannosi perché non sono in grado di riconoscerne la presenza nelle immagini. Le statistiche mostrano che, sebbene i codici QR appaiano solo in una e-mail su 500, uno scioccante 60% di essi contiene spam o malware.

Questa nuova tipologia di frode è ancora molto giovane. Si chiama “quishing“. Gli aggressori creano siti Web falsi che imitano risorse legittime e inseriscono codici QR in luoghi pubblici. Ad esempio, ci sono stati casi in cui qualcuno ha posizionato adesivi QR sui parchimetri che reindirizzano le vittime a sistemi di pagamento falsi.

Le e-mail con codici QR mascherati da richieste di autenticazione a due fattori sono lo stratagemma più comune. I truffatori li usano per rubare credenziali. Quando un codice QR viene scansionato da un dispositivo mobile, tutto il traffico successivo tra la vittima e l’aggressore passa attraverso la rete cellulare, aggirando i sistemi di sicurezza aziendali.

Nonostante la quota relativamente piccola di tali email (0,1-0,2% del volume totale), finiscono molto più spesso nella casella di posta, aggirando i filtri antispam. Inoltre, i truffatori ingegnosi hanno imparato a creare codici QR utilizzando i caratteri Unicode, rendendoli ancora più difficili da rilevare. I metodi tradizionali per neutralizzare i collegamenti dannosi, come la sostituzione del protocollo “http” con “hxxp” o l’aggiunta di parentesi all’URL, funzionano molto peggio in questo caso.

Esistono modi per rendere i codici QR sicuri da visualizzare, ad esempio mascherando i moduli dati o rimuovendo uno o più modelli di posizione (grandi quadrati agli angoli del codice). Questi trucchi però non sono chiari a tutti e non si sono ancora diffusi.

Una minaccia separata è rappresentata dalla cosiddetta “QR art”, immagini in cui il codice è mascherato da una normale immagine. Un utente potrebbe accidentalmente scansionarlo con una fotocamera e fare clic su un collegamento dannoso senza nemmeno rendersene conto.

Gli analisti di Cisco Talos consigliano di usare la stessa cautela durante la scansione dei codici utilizzata quando si fa clic su collegamenti sospetti. Per chi li utilizza regolarmente, esistono appositi decoder online che consentono di pre-controllare il contenuto.

Ricorda: la semplicità e la comodità delle tecnologie QR non dovrebbero mettere in secondo piano la necessità di rispettare le regole basilari di sicurezza digitale.

L'articolo Codici QR e Sicurezza: Nuove Frodi Tecnologiche all’Orizzonte proviene da il blog della sicurezza informatica.

Nelle ultime settimane, il panorama delle minacce è stato scosso dall’emergere di attacchi che sfruttano la combinazione letale di due vulnerabilità zero-day, CVE-2024-9680 e CVE-2024-49039, collegate rispettivamente a Firefox e a Windows. L’obiettivo è stato identificato in una campagna mirata guidata dal gruppo di cybercriminali dietro la backdoor RomCom. Questa operazione dimostra una sofisticazione crescente nei metodi di attacco e una pericolosa rapidità nello sfruttamento di vulnerabilità.

Le vulnerabilità e il meccanismo di attacco

CVE-2024-9680, una vulnerabilità use-after-free nelle timeline di animazione di Firefox, permette l’esecuzione di codice malevolo senza necessità di interazione da parte della vittima. Gli attacchi che sfruttano questa vulnerabilità sono stati confermati in-the-wild, con un punteggio di gravità pari a 9.8 su 10, evidenziando la sua pericolosità e criticità.

La seconda vulnerabilità, CVE-2024-49039, una falla di elevazione dei privilegi in Windows, consente agli attaccanti di compromettere il sistema sfruttando la combinazione con lo zero-day di Firefox, guadagnando accesso completo al dispositivo della vittima.

La catena di compromissione, scoperta da Damien Schaeffer di ESET, ha avuto inizio con un sito web malevolo progettato per reindirizzare gli utenti a un server che ospitava un exploit zero-click. Non è stata necessaria alcuna interazione da parte dell’utente: una volta attivato, l’exploit scaricava e installava RomCom Backdoor, un malware avanzato che consente agli attaccanti di eseguire comandi remoti, raccogliere informazioni sensibili e scaricare moduli aggiuntivi per ampliare le capacità del malware.

La campagna, attiva tra ottobre e novembre 2024, ha colpito principalmente utenti in Europa e Nord America, mirandoli in particolare nei settori governativo, energetico e sanitario. La scelta di questi settori strategici sottolinea l’interesse di RomCom per dati sensibili e operazioni di sabotaggio.

Mappa delle potenziali vittime che riporta ESET

RomCom: Il gruppo dietro gli attacchi

RomCom (noto anche come Tropical Scorpius o UNC2596) è un gruppo di cybercriminali allineato con la Russia, coinvolto in numerose campagne di cybercrimine e spionaggio. Già nel 2023, aveva sfruttato un attacco zero-day tramite Microsoft Word, dimostrando la sua capacità di adattarsi alle nuove vulnerabilità. Nel 2024, RomCom ha espanso la sua attività colpendo settori critici in Ucraina, Europa e Stati Uniti, confermando l’intensificazione della sua operatività nel rubare dati strategici e danneggiare infrastrutture critiche.

Tempestività nelle Patch

La tempestività nella risposta alle vulnerabilità è stata cruciale per mitigare l’impatto di questa campagna. Mozilla, ad esempio, ha dimostrato una reattività eccezionale: entro 48 ore dalla segnalazione da parte di ESET, sono stati distribuiti aggiornamenti per Firefox e Thunderbird, garantendo protezione agli utenti contro CVE-2024-9680. Anche Microsoft ha seguito rapidamente con il rilascio della patch per CVE-2024-49039 il 12 novembre, chiudendo un’importante porta di accesso sfruttata dagli attaccanti. Questi interventi rapidi hanno dimostrato l’importanza di una collaborazione efficace tra ricercatori di sicurezza e aziende tecnologiche per contenere le minacce prima che possano espandersi su scala più ampia.

Raccomandazioni

1. Aggiornamenti immediati: Applicare prontamente le patch per i browser e i sistemi operativi è fondamentale per proteggere i propri dispositivi da vulnerabilità simili a quelle sfruttate in questa campagna.
2. Monitoraggio continuo: Implementare strumenti avanzati di rilevamento per identificare movimenti laterali e comandi malevoli è cruciale per evitare che gli attaccanti possano passare inosservati.
3. Consapevolezza del personale: Formare i dipendenti sui rischi legati a siti web fasulli e vulnerabilità zero-click può fare la differenza nella prevenzione degli attacchi.

Conclusione

La campagna RomCom evidenzia una crescente sofisticazione nelle operazioni dei gruppi di cybercriminali allineati a stati nazionali, con un utilizzo sempre più frequente di vulnerabilità zero-day per eseguire attacchi mirati e devastanti. La combinazione di falle in Firefox e Windows ha dimostrato come gli exploit possano aggirare le protezioni tradizionali, colpendo senza alcuna interazione da parte delle vittime. Tuttavia, la tempestività nella distribuzione delle patch da parte di Mozilla e Microsoft sottolinea l’importanza di una risposta rapida e coordinata per limitare i danni. Questa vicenda ci ricorda l’urgenza di mantenere sistemi aggiornati, monitorare attivamente le minacce e investire nella sicurezza informatica, poiché i rischi non solo evolvono, ma colpiscono con una velocità senza precedenti.

L'articolo Scoperto l’attacco zero-day più sofisticato del 2024 e RomCom e la Backdoor invisibile proviene da il blog della sicurezza informatica.

Ciao a tuttə del Poliverso! 😺

Io sono Synth, è un anno ormai che sono nel #Fediverse e ho deciso di espandermi su Friendica per esplorarne le possibilità dato che è un po' di tempo che nutro curiosità per questo software.

Questo account non è il mio main, quello lo potete trovare su Misskey.social sul mio profilo @synthBirba , quello rimarrà il mio profilo "generico" ITA/ENG, qui vorrei concentrarmi nel comunicare esclusivamente in italiano e con persone che parlano la stessa lingua.

Ho scelto questa istanza perchè mi è capitato diverse volte di interagire con utenti che vengono da qui ^^

Presto farò l'annuncio anche sul mio main su Misskey per confermare il "collegamento" degli account (e sempre presto spero di approdare su PixelFed per caricare foto di gatti e quel che capita!)

Spero di trovarmi bene, di conoscere sempre più gente e di interagire in maniera interessante anche per voi c:

Quest'estate ho disattivato l'account Instagram. Era qualcosa che volevo fare da molto tempo, ma a lungo mi sono detto che questo avrebbe compromesso in qualche modo la mia attività. In realtà si trattava di una scusa. Era la dipendenza da dopamina che mi teneva legato a quel social, niente di più. Non so esattamente quando sia scattato il clic che mi ha fatto dire basta. So che è arrivato. Ho chiuso, e non mi è mai più passata per la testa la tentazione di riattivare l'account.

Lo stesso giorno ho disattivato l'account Facebook. Lì però la storia è stata diversa. A differenza di Instagram ci sono state un paio di occasioni in cui ho deciso di riattivarlo. La prima, in concomitanza dell'alluvione che ha colpito la Polonia a settembre, in cui è diventato da una parte un modo per assicurarmi che alcune persone che conoscevo stessero bene, e dall'altra strumento per diffondere i post di un'associazione che coordinava gli aiuti. In un secondo momento l'ho riattivato per una questione lavorativa. Se Instagram lo faccio rientrare senza difficoltà nella categoria dell'inutile, Facebook un minimo di servizio riesce ancora svolgerlo. Il problema è che a fronte di quel boh, 5% di utilità, c'è un 95% di niente, un meccanismo perverso che soverchia e irretisce. Riuscire a utilizzare cum grano salis questo strumento mi risulta complicato. E quindi, alla fine della fiera, meglio farne a meno.