Gli analisti di Zimperium hanno scoperto 40 nuove versioni del trojan bancario Android TrickMo. Queste varianti sono associate a 16 dropper, 22 diverse infrastrutture di gestione e presentano nuove funzionalità progettate per rubare i codici PIN agli utenti.

Ricordiamo che il malware TrickMo è stato documentato per la prima volta dagli specialisti IBM X-Force nel 2020, ma poi si è ipotizzato che fosse stato utilizzato negli attacchi contro gli utenti Android almeno dal settembre 2019.

Le caratteristiche principali delle nuove versioni di TrickMo sono: intercettazione di password monouso (OTP), registrazione dello schermo, furto di dati, controllo remoto di un dispositivo infetto e molto altro. Il malware tenta di utilizzare il servizio di accessibilità per concedersi ulteriori autorizzazioni e fare clic automaticamente su vari elementi sullo schermo secondo necessità.

Poiché TrickMo è ancora un trojan bancario, utilizza overlay di phishing per imitare le schermate di accesso di varie applicazioni bancarie e finanziarie per rubare le credenziali delle vittime, consentendo così ai suoi operatori di effettuare transazioni non autorizzate.

Va notato che gli overlay TrickMo coprono non solo le applicazioni bancarie, ma anche VPN, piattaforme di streaming, e-commerce, trading, social network, reclutamento e piattaforme aziendali.

Sempre tra gli overlay gli analisti di Zimperium hanno scoperto una schermata di sblocco che imita quella di un dispositivo Android. È progettato per rubare il PIN o la sequenza di un utente.

“Non si tratta di altro che una pagina HTML ospitata su un sito web esterno e visualizzata a schermo intero sul dispositivo, facendolo sembrare uno schermo reale. Quando l’utente inserisce il codice PIN o la sequenza per sbloccare, la pagina trasmette i dati intercettati agli aggressori, nonché un identificatore univoco del dispositivo (ID Android), utilizzando uno script PHP”, scrivono i ricercatori.

Gli analisti hanno spiegato che il furto dei codici PIN consente agli hacker di sbloccare i dispositivi delle vittime quando gli utenti non possono vederli (ad esempio di notte) e commettere attività fraudolente.

I ricercatori hanno scoperto che l’infrastruttura di controllo di TrickMo non era adeguatamente protetta. Grazie a ciò è stato possibile stabilire che almeno 13.000 persone sono già diventate vittime di malware, la maggior parte delle quali vive in Canada, Emirati Arabi Uniti, Turchia e Germania. Va notato che il numero totale delle vittime di TrickMo è probabilmente molto più elevato.

“La nostra analisi ha mostrato che il file dell’elenco degli indirizzi IP viene aggiornato ogni volta che il malware riesce a rubare le credenziali”, ha affermato Zimperium. “Abbiamo trovato milioni di voci in questi file, indicando un gran numero di dispositivi compromessi e una quantità significativa di dati sensibili a cui hanno avuto accesso gli aggressori.”

Attualmente, TrickMo viene distribuito tramite truffe di phishing, quindi gli esperti consigliano di evitare di scaricare file APK da URL ricevuti tramite SMS o messaggi di messaggistica istantanea da sconosciuti.

L'articolo 13.000 Vittime Del Trojan TrickMo: ll Trojan Bancario che Ruba PIN e Credenziali proviene da il blog della sicurezza informatica.

One of the standard tropes in science fiction is some kind of device that can render someone unconscious — you know, like a phaser set to stun. We can imagine times when being aggressively knocked out would lead to some grave consequences, but — we admit — it is probably better than getting shot. However, we don’t really have any reliable technology to do that today. However, if you’ve passed a modern-day policeman, you’ve probably noticed the Taser on their belt. While this sounds like a phaser, it really isn’t anything like it. It is essentially a stun gun with a long reach thanks to a wire with a dart on the end that shoots out of the gun-like device and shocks the target at a distance. Civilian Tasers have a 15-foot long wire, while law enforcement can get longer wires. But did you know that modern Tasers also fire confetti?
A Taser cartridge and some AFIDs
It sounds crazy, and it isn’t celebratory. The company that makes the Taser — formerly, the Taser company but now Axon — added the feature because of a common complaint law enforcement had with the device. Interestingly, many things that might be used in comitting a crime are well-understood. Ballistics can often identify that a bullet did or did not come from a particular weapon, for example. Blood and DNA on a scene can provide important clues. Even typewriters and computer printers can be identified by variations in their printing. But if you fire a taser, there’s generally little evidence left behind.

Well, that was true until the AFIDs (Anti Felony Identification) came on the scene in 1993. The Taser uses a cartridge that has one or more spools of wire. When you fire the unit, you remove the cartridge and replace it with a new one. The cartridge also has some kind of propellant that fires the dart and wire. Early cartridges used gunpowder, although the newer ones appear to utilize gas capsules. The wire moves between 180 and 205 feet per second. But modern ones also have a few dozen very small disks inside that spew out under the force of the propellant. Each tag has a unique serial number for that cartridge.

Sure, if you have time, you could sweep up the 20 or 30 little tags. But they are less than a quarter of an inch around and disperse widely. Plus, you can’t be sure exactly how many tags are in any given cartridge, so you’d have to be very thorough. In fact, it is hard enough for investigators to find them when they want to. The tags are colorful and show up better when using special lights.

This isn’t just theoretical, by the way. Milwaukee police used AFIDs to track down a thief who stunned a musician and made off with a 300-year-old Stradivarius violin worth about $5 million. In another case, a man did extensive research about killing his boss to avoid being caught embezzling. He used a Taser to subdue his victim and knew to vacuum up the AFIDs, but didn’t get them all, allowing police to identify him as the killer.

Some printers and copiers leave digital fingerprints, too. On the other hand, some people seem to enjoy getting the occasional jolt of voltage.

youtube.com/embed/8E5zTQOQ98A?…

hackaday.com/2024/10/16/tech-i…

In this tremendously educational video, [Linus Åkesson] takes us through how he develops a synthesizer and a sequencer and editor for it on the Commodore 64, all in BASIC. While this sounds easy, [Linus] is doing this in hard mode: all of the audio is generated by POKE, and it gets crazier from there on. If you’re one of those people out there who think that BASIC is a limited language, you need to watch this video.

[Linus] can do anything with POKE. On a simple computer like the C64, the sound chip, the screen chips, and even the interrupts that control program flow are all accessible simply by writing to the right part of memory. So the main loop here simply runs through a lot of data, POKEing it into memory and turning the sound chip on and off. There’s also a counter running inside the C64 that he uses to point into a pitch lookup table in the code.

But the inception part comes when he designs the sequencer and editor. Because C64 BASIC already has an interactive code editor, he hijacks this for his music editor. The final sequencer interface exists inside the program itself, and he writes music in the code, in real time, using things like LIST and editing. (Code is data, and data is code.) Add in a noise drum hack, and you’ve got some classic chiptuney sounds by the end.

We love [Linus]’s minimal C64 exercises, and this one gets maximal effect out of a running C64 BASIC environment. But that’s so much code in comparison to his 256-byte “A Mind is Born” demo. But to get that done, he had to use assembly.

Thanks [zogzog] for the great tip!

youtube.com/embed/ly5BhGOt2vE?…

hackaday.com/2024/10/16/linus-…

Gli specialisti di Trend Micro hanno scoperto che in una serie di attacchi gli aggressori hanno utilizzato lo strumento EDRSilencer per disattivare gli avvisi emessi dal sistema EDR. I criminali informatici integrano lo strumento nei loro attacchi per nascondere le tracce degli attacchi ed eludere il rilevamento.

EDRSilencer è uno strumento open source sviluppato in modo simile alla soluzione commerciale NightHawk FireBlock di MdSec. Il programma identifica i processi EDR attivi e utilizza la piattaforma di filtraggio Windows ( WFP ) per monitorare e bloccare il traffico di rete sui protocolli IPv4 e IPv6. Il WFP, utilizzato nei firewall e negli antivirus, consente di configurare filtri robusti utilizzati per controllare il traffico.

EDRSilencer applica filtri per bloccare la comunicazione tra l’EDR e il server di gestione. Durante i test i tecnici sono riusciti a bloccare l’invio dei dati e i dispositivi risultavano inattivi nel portale di gestione. Di conseguenza, l’invio di notifiche e telemetria dettagliata viene bloccato.

Nella nuova versione dello strumento è disponibile il blocco di 16 moderne soluzioni EDR, tra cui:

• Microsoft Defender;
• SentinellaUno;
• FortiEDR;
• Cortex XDR di Palo Alto Networks;
• Punto finale sicuro Cisco;
• ElasticEDR;
• EDR nerofumo;
• Trend Micro Apex One.

Gli esperimenti hanno inoltre dimostrato che alcuni prodotti EDR continuano a trasmettere report a causa dell’assenza di determinati file eseguibili nell’elenco codificato. Tuttavia, gli aggressori hanno la possibilità di aggiungere filtri per i processi desiderati, ampliando l’elenco dei componenti bloccati.

Tuttavia, dopo aver aggiunto ulteriori processi all’elenco dei blocchi, gli strumenti EDR interrompono l’invio dei dati. Questa disabilitazione consente alle attività dannose di non essere rilevate, aumentando le possibilità di attacchi riusciti senza intervento specialistico.

Come funziona EDRSilencer (fonte: Trend Micro)

Trend Micro consiglia di classificare EDRSilencer come malware e di bloccarlo nelle prime fasi dell’attacco.

Gli esperti consigliano inoltre di utilizzare misure di sicurezza a più livelli per isolare i sistemi critici, utilizzando soluzioni con analisi comportamentale e rilevamento di anomalie e monitorando gli indicatori di compromissione sulla rete. Anche il principio del privilegio minimo è un elemento chiave nella protezione da tali attacchi.

L'articolo EDRSilencer: Il Nuovo Strumento Che Mette KO Gli EDR che viene sfruttato in attacchi Attivi proviene da il blog della sicurezza informatica.

Un'indagine condotta dalla Gendarmeria francese (Gendarmerie Nationale), che ha coinvolto l'Arma dei Carabinieri italiani (NAS) e la Polizia federale svizzera (Police Federale Swiss), sostenuta da Europol ed Eurojust, ha portato allo smantellamento di una rete criminale di contraffazione dei vini francesi a Denominazione di Origine Protetta (DOP) in Italia.
La rete criminale falsificava il vino rosso francese, facendo pagare fino a 15.000 euro a bottiglia. Il vino finto è stato contraffatto in Italia, poi consegnato ad un aeroporto italiano ed esportato per la vendita a valore di mercato in tutto il mondo da commercianti inconsapevoli.

L’operazione ha portato a: 6 arresti; 14 perquisizioni a Torino e Milano; sequestri tra cui: grandi quantità di bottiglie di vino provenienti da diversi domini Grand Cru contraffatti, adesivi per vino e prodotti in cera, ingredienti per sofisticare il vino, macchine tecniche per tappare le bottiglie, beni di lusso e apparecchiature elettroniche per un valore di 1,4 milioni di euro, oltre 100.000 euro in contanti e documenti.

Il modus operandi della rete criminale, unito alle caratteristiche delle contraffazioni,
ha portato gli investigatori a stabilire un collegamento con una precedente indagine sostenuta da Europol mirata alla contraffazione di vino DOP. Le operazioni forensi condotte hanno rivelato le tecniche utilizzate dalla rete criminale per contraffare il vino francese di alta qualità.
Collegamenti tra le due indagini sono stati scoperti anche esaminando i produttori di capsule e capsule e gli stampatori di etichette. L'indagine, chiusa nel 2015, coinvolgeva un cittadino russo anch'egli collegato all'indagine.
Ulteriori indagini hanno portato alla luce transazioni commerciali effettuate tra l'Italia e la Svizzera. Successivamente furono scoperte altre bottiglie con simili segni di contraffazione.

Nel 2014 è stata scoperta una traccia latente sul retro di un'etichetta,
che ha scoperto un collegamento con un individuo già noto alle autorità per un caso precedente simile. L'indagine su una rete internazionale di contraffazione di vini di lusso ha portato all'arresto di un cittadino russo associato a due viticoltori di nazionalità italiana. Tuttavia, dal 2019, in Europa sono comparse nuove contraffazioni, in particolare nei mercati svizzero e italiano. Dalle indagini effettuate è emerso che le vecchie bottiglie false venivano ancora vendute insieme a quelle nuove con copie delle nuove caratteristiche di sicurezza.
Gli indizi investigativi e lo scambio internazionale di informazioni attraverso Europol hanno consentito all'unità della gendarmeria francese incaricata del caso di identificare questo nuovo percorso di distribuzione di bottiglie contraffatte utilizzando l'identità dei domini Grand Cru.

#Armadeicarabinieri #Gendarmerienationale #Europol #Eurojust #NAS
@Notizie dall'Italia e dal mondo

Gli esperti di Zscaler stimano che tra giugno 2023 e aprile 2024 attraverso il Google Play Store ufficiale siano state distribuite più di 200 applicazioni dannose, che complessivamente sono state scaricate da circa 8 milioni di utenti.

Nel loro rapporto i ricercatori affermano di aver identificato e analizzato diverse famiglie di malware distribuite tramite Google Play e altre piattaforme durante il periodo specificato.

Le minacce più comuni nello store ufficiale delle applicazioni Android erano:

• Joker (38,2%) – un infostealer in grado di intercettare messaggi SMS e iscrivere le vittime a servizi a pagamento;
• Adware (35,9%) – applicazioni che consumano traffico e batteria del dispositivo per caricare pubblicità intrusiva o invisibile in background;
• Facestealer (14,7%): ruba le credenziali di Facebook posizionando overlay di phishing su app di social media legittime;
• Coper (3,7%) – un infostealer che intercetta i messaggi SMS, che può anche essere un keylogger e mostrare pagine di phishing;
• Harly (1,4%) – trojan che iscrive le vittime a servizi a pagamento.

E altro ancora.

Tuttavia, quasi la metà delle app dannose rilevate da Zscaler sono state pubblicate su Google Play nelle categorie Strumenti, Personalizzazione, Fotografia, Produttività e Stile di vita.

Gli esperti notano inoltre che quest’anno in generale si è registrata una diminuzione del numero di blocchi di malware, a giudicare dal numero di operazioni bloccate. Pertanto, in media, Zscaler ha registrato 1,7 milioni di blocchi al mese (20 milioni di blocchi per l’intero periodo di analisi). Le minacce più comuni erano Vultur, Hydra, Ermac, Anatsa, Coper e Nexus.

Le statistiche sulle minacce mobili indicano un aumento significativo del numero di attacchi spyware, principalmente dovuto alle famiglie di malware SpyLoan, SpinOK e SpyNote. In totale, nell’ultimo anno la società ha registrato più di 232.000 blocchi di tale attività.

Gli utenti in India e negli Stati Uniti sono quelli che hanno subito maggiormente gli attacchi di malware mobile nell’ultimo anno, seguiti da Canada, Sud Africa e Paesi Bassi.

Il malware mobile ha preso di mira principalmente il settore dell’istruzione, dove il numero di transazioni bloccate è aumentato del 136,8%. Il settore dei servizi ha registrato una crescita del 40,9%, mentre l’industria chimica e mineraria ha registrato una crescita del 24%. Tutti gli altri settori hanno registrato una diminuzione delle attività dannose.

L'articolo Ancora 200 App Malevole sul Play Store! Un mondo di Sorveglianza che sfugge dai controlli di Google proviene da il blog della sicurezza informatica.

Pagine del Manuale

Il recupero è avvenuto a seguito delle indagini iniziate nel 2021 dopo la denuncia di un furto presentata da un cittadino fiorentino al quale era stato sottratta da ignoti la “[b]De Historia Stirpium Commentarii Isignes”, manuale di botanica e medicina pubblicato a Basilea nel 1542 secondo gli studi del medico e botanico tedesco Leonhart Fuchs.

“Si tratta di un importante libro di botanica – riferisce il Maggiore Claudio Mauti, comandante del nucleo di Tutela Patrimonio Culturale dei carabinieri (TPC) di Firenze - che questa persona non ritrovava più nella sua collezione. Una ricerca che ci ha portato negli Usa perché a contatto con l'opera c'erano stati degli studiosi statunitensi risultati poi estranei ai fatti. Quindi nella nostra continua ricerca all'interno di aste online e vendite, abbiamo rintracciato l'opera che era finita nella disponibilità di un collezionista veneziano che non era a conoscenza dell'origine furtiva. Una ricerca che ci ha permesso di deferire 12 persone e alla quale ha collaborato l'Fbi”.

Tutto era cominciato nel 2018. Una famiglia benestante fiorentina assunto a lavorare un falegname fiorentino 50enne, il quale, lavori in corso, asportava via via dei libri di valore sostituendoli con altri di minore importanza.

Il falegname – per altro abile nel suo lavoro ufficiale – è stato poi assunto da altre famiglie proprietarie di lussuose dimore nobiliari. E qui sarebbe riuscito a mano a mano a portar via più di 600 opere che, sfruttando una rete di altre 11 persone costituita di commercianti e antiquari, riusciva a piazzar in tutto il mondo: Stati Uniti, Inghilterra, Emirati Arabi.

In un taccuino erano registrate le operazioni di vendita, che, ritrovato a seguito di una perquisizione, ha facilitato il lavoro degli investigatori.

Tra le opere rubate, numerose e pregevoli opere librarie, preziose ceramiche e vari dipinti, fra cui spiccano per importanza 4 piatti in ceramica bianca con decorazioni, recanti sul retro il timbro “Manifattura Ginori a doccia presso Firenze”, realizzate in esclusiva per la Presidenza della Repubblica italiana, un servizio in finissima porcellana con decorazioni in oro zecchino del 1820, un piatto della dinastia Ming tardo periodo Kangxi di fine XVII secolo, un dipinto raffigurante “bue” a firma Giovanni Fattori e l’opera libraria dal titolo “De Honesta Disciplina” con firma autografa di Giorgio Vasari.

Le opere saranno restituite ora ai proprietari, così come si tenterà di reimportarle altre, tramite il servizio Interpol, mediante azione stragiudiziale, per alcune legittimamente acquistate da ignari collezionisti stranieri.

@Notizie dall'Italia e dal mondo
#ArmadeiCarabinieri #TPC #FBI

Moriva il feldmaresciallo tedesco Erwin Rommel, stratega ed innovatore nelle tattiche militari, ucciso dal veleno impostogli da Hitler, che lo sospettava di tradimento.

@Storia
@Storiaweb
#otd

Si è recentemente concluso presso il CoESPU dell' #Armadeicarabinieri di Vicenza il 1° Corso addestrativo dell' OSCE (Organizzazione per la sicurezza e la cooperazion in Europa, la più grande organizzazione di sicurezza regionale al mondo) basato sulla simulazione della lotta alla tratta di esseri umani nei flussi migratori misti nella regione del Mediterraneo.
Durante un'intensa settimana, oltre 50 operatori anti-tratta provenienti da Stati @OSCE (membri e Partner per la cooperazione) hanno praticato la risoluzione di casi complessi, il coordinamento multi-agenzia ed approcci incentrati sulla vittima.

Gli operatori provenivano da Italia, Malta, Spagna, Algeria, Egitto e Tunisia.
Lo scenario di formazione ha incorporato flussi migratori complessi e diversificati in più Stati, dimostrando come i gruppi criminali sfruttino la vulnerabilità insita dei migranti e degli sfollati (che si trovano in situazione di precarietà) per trafficarli verso lo sfruttamento lavorativo, lo sfruttamento sessuale o la criminalità forzata.
La formazione ha riunito un'ampia gamma di professionisti provenienti da tutto l'ecosistema anti-tratta, tra cui pubblici ministeri, ispettori del lavoro, assistenti sociali, investigatori penali e finanziari, avvocati, operatori di ONG e funzionari dell'immigrazione.
I partecipanti sono stati formati sui loro ruoli individuali, nonché su come collaborare efficacemente con le loro controparti nell'identificazione delle vittime di tratta e nell'individuazione, indagine e perseguimento dei reati di tratta di esseri umani. In questo contesto, gli operatori hanno avuto la possibilità di mettere in pratica e padroneggiare le loro competenze nella collaborazione multi-agenzia, applicando approcci incentrati sulla vittima e informati sul trauma.

"Poiché la sicurezza del Mediterraneo è indivisibile dalla sicurezza all'interno della regione OSCE in generale, l'esercitazione di addestramento basata sulla simulazione regionale del Mediterraneo ha dimostrato il valore duraturo e la collaborazione continua tra l'OSCE, gli Stati partecipanti e i Partner mediterranei per la cooperazione, e come il rafforzamento degli sforzi per combattere la tratta di esseri umani contribuisca a migliorare la sicurezza nell'intera regione", ha affermato la Dott. ssa Kari Johnstone, Rappresentante speciale e Coordinatrice dell'OSCE per la lotta alla tratta di esseri umani, nel suo discorso conclusivo.

Attuati per la prima volta nel 2016, i corsi di formazione basati sulla simulazione dell'OSCE sono uno strumento formativo estremamente rilevante per migliorare la capacità degli Stati partecipanti all'OSCE e dei partner per la cooperazione di identificare e assistere tempestivamente le presunte vittime della tratta di esseri umani, nonché di indagare e perseguire i responsabili attraverso l'uso di un approccio multi-agenzia, incentrato sulle vittime, informato sui traumi, sensibile alle questioni di genere e basato sui diritti umani.

Questa attività è stata realizzata con il sostegno finanziario dei governi di Francia, Germania, Irlanda, Lussemburgo, Liechtenstein, Malta, Monaco, Svizzera e Stati Uniti, nonché della Repubblica Italiana.

Per saperne di più:
- sull' OSCE: osce.org/it;
- sul CoESPU: coespu.org/
#EndHumanTrafficking