Secondo l’ultimo rapporto sulla criminalità organizzata di Internet (IOCTA) di Europol, i gruppi di ransomware stanno diventando sempre più frammentati a causa delle recenti azioni delle forze dell’ordine.

L’ultimo rapporto IOCTA di Europol evidenzia la frammentazione dei gruppi di ransomware e le nuove minacce della criminalità informatica, con un focus su attacchi cyber, frodi online e sfruttamento minorile. Scopri le sfide future legate a tecnologie emergenti e criptovalute.

La decima edizione del rapporto esamina i principali sviluppi, cambiamenti e minacce nella criminalità informatica nell’ultimo anno. L’edizione 2024 affronta questioni importanti come gli attacchi informatici, le frodi online e lo sfruttamento minorile e prevede le sfide future legate alle nuove tecnologie, alle criptovalute e ai contenuti illegali online.

Lo studio sottolinea che l’intervento delle forze dell’ordine nell’attività delle associazioni di criminali informatici ha portato a un massiccio rebranding e alla frammentazione in sottogruppi più piccoli. Anche le frequenti chiusure di forum e mercati nel dark web hanno aumentato la frammentazione delle minacce informatiche.

Di conseguenza, milioni di persone in tutta l’UE affrontano ogni giorno rischi, tra cui attacchi alle piccole e medie imprese, scansioni digitali rivolte a rivenditori e banche online e varie forme di phishing e frode. Inoltre, si è registrato un aumento significativo delle estorsioni sessuali online contro i minori vulnerabili.

L’IOCTA 2024 evidenzia anche l’aumento di tattiche di estorsione a più livelli, in cui i dati rubati rischiano di essere pubblicati o messi all’asta. Il rapporto rileva che l’età media dei criminali informatici sta gradualmente diminuendo, raggiungendo sempre più giovani, e che gli strumenti di intelligenza artificiale vengono utilizzati sempre più spesso per attività dannose.

Il rapporto esamina inoltre l’aumento dell’uso delle criptovalute in vari crimini informatici, nonché le sfide associate alle principali piattaforme di comunicazione crittografate end-to-end ( E2EE ).

“Per affrontare in modo rapido ed efficace le principali minacce evidenziate nell’IOCTA 2024, le forze dell’ordine hanno bisogno di conoscenze, strumenti e legislazione adeguati. Man mano che i criminali si adattano, anche le forze dell’ordine e i legislatori devono innovarsi per stare al passo con loro e sfruttare le nuove tecnologie in evoluzione”, ha scritto Europol.

L'articolo Report Europol IOCTA 2024 sul Cybercrime: Più Adolescenti, Più Frammentazione e più uso delle AI proviene da il blog della sicurezza informatica.

Il team di Tinexta Cyber ha identificato una nuova variante di Copybara, che a partire dalla fine del 2023 ha iniziato a colpire utenti italiani utilizzando TTPs (Tactics, Techniques and Procedures) innovative per diffondere la minaccia. I ricercatori hanno tracciato l’evoluzione di questa minaccia, evidenziando come sia diventata particolarmente rilevante nel mondo Android in pochi anni.

Copybara è una variante di Brata, una famiglia di malware scoperta nel 2019 da Kaspersky. Brata si diffondeva tramite siti compromessi e sfruttava la vulnerabilità CVE-2019-3568 su WhatsApp per colpire utenti in Sud America. Una caratteristica distintiva di Brata è l’utilizzo del framework B4X/B4A, una versione moderna di Visual Basic che supporta molte piattaforme e può compilare applicazioni in modo nativo. Questa caratteristica è stata mantenuta in tutte le varianti.

Nella seconda metà del 2021 sono state scoperte due nuove varianti, chiamate AmexTroll e Copybara, che presentavano caratteristiche comuni con Brata, ma anche differenze in termini di codice, attori e TTPs. Nel 2022 è stata scoperta un’altra variante, denominata IRATA, che infettava utenti iraniani. La ricerca condotta dal team di Tinexta Cyber sulla nuova variante di Copybara scoperta nel 2024 ha evidenziato l’uso del protocollo MQTT per la comunicazione con il C2.

“Il protocollo MQTT (Message Queueing Telemetry Transport), utilizzato prevalentemente per gli oggetti IoT (Internet of Things), si basa su un modello publish-subscribe, con una netta distinzione tra chi invia e chi riceve”, spiega Luigi Martire, Technical Leader – CERT di Tinexta Cyber. “Inoltre – continua l’esperto – i criminali utilizzano il phishing kit Mr.Robot per raccogliere credenziali e numeri di telefono tramite social engineering, nello specifico smishing/vishing. Si presentano come personale della banca per manipolare la vittima e convincerla a scaricare ed eseguire Copybara”.

Una volta eseguito, il malware richiede di essere abilitato come “servizio di accessibilità”. Le applicazioni abilitate a questo servizio possono essere eseguite in background e accedere a determinati eventi, come transizioni nell’interfaccia o clic su pulsanti. Sebbene legittimamente utilizzate per aiutare persone con disabilità, queste funzionalità vengono abusate per sviluppare malware per Android e raccogliere informazioni sulle vittime.

In questa campagna, sono stati osservati due differenti metodi di operare. Il primo è tramite phishing, con cui gli attori raccolgono informazioni sulla vittima, chiamano fingendosi personale della banca e manipolano la vittima a installare l’applicazione.

Il secondo metodo è meno diretto: la vittima riceve un messaggio che sembra legittimo, riguardo a un possibile problema di sicurezza, e viene invitata a contattare il numero riportato nel messaggio in caso di incongruenze.

Acquisendo informazioni su questo numero tramite vari siti che consentono di segnalarli, le statistiche riportano 60 ricerche nel mese di giugno e una chiamata confermata da una vittima.
“Il nostro recente studio sul malware Copybara ha rivelato un’evoluzione sofisticata nell’utilizzo di protocolli di comunicazione avanzati come il MQTT, segnalando una significativa mutazione nelle TTP (tattiche, tecniche e procedure) dei cyber criminali”, commenta Fabrizio Vacca, MSS Operations Director – Tinexta Cyber.

“Questo progresso mette in evidenza l’importanza di adattare continuamente le nostre strategie di difesa per fronteggiare minacce sempre più complesse e mirate. La scoperta è stata resa possibile grazie alla tecnologia avanzata e all’expertise di Tinexta Cyber. In particolare, l’applicativo SOC NDR “Defensyo”, progettato specificamente per le PMI, è stato fondamentale nell’intercettare queste minacce. Il SOC di Tinexta Cyber, supportato dall’appliance proprietaria, ha dimostrato una notevole efficacia nel rilevamento precoce del malware. Questo approccio, conforme agli standard NIS2, garantisce una protezione robusta e all’avanguardia per le imprese”, conclude Vacca.

L'articolo Copybara, il malware che prende di mira il banking italiano proviene da il blog della sicurezza informatica.

[Hugh] has been going back through episodes of the Hackaday podcast, and Elliot mentioned in episode 67 that it can often be inspiring to go back through the archives of Hackaday to find ideas for new projects. Well, he did just that and came across a single-pixel camera made using an infrared photodiode. He decided to try and hack together his own single-pixel camera, but this time on the cheap and using an ever simpler component – a photoresistor!

His description of the project tickled me – “I’ve used an ESP32, MicroPython, two servos, a peanut butter jar lid, a toilet paper roll, a paper towel roll, magnets and scrap wood for this version.” That’s certainly a much simpler bill of materials than the original (which was written up by Hackaday way back in 2015), which used a nice metal frame to hold everything together. However, there’s absolutely nothing wrong with improvising with things you happen to have to hand.

The alt-az mechanism
In this case, the sensor is mounted at the back of a paper towel tube, with black tape covering the front and a tiny pinhole poked in the tape to act as the aperture. Similarly to the original, the sensor is scanned over the scene in an XY altitude/azimuth pattern to capture the samples one at a time. It takes just under eight minutes to capture 8100 “pixels” in a 90×90 grid. The servos are driven using a PCA9685 PWM/Servo driver, which makes motor control a lot easier. An important lesson [Hugh] learned during construction was that weak power supplies can cause all sorts of issues when motors or servos are involved. He had been encountering uneven rotation and random halting, but as soon as a beefier power supply was attached everything worked smoothly.

[Hugh] used a much more powerful ESP32 to do the actual gathering of the analog data, which is then sent over a serial port to a Python processing engine which uses Pandas, numpy and matplotlib to do the bulk of the image processing. The resulting processed photo is very recognizable, considering the differences in linearity and sensitivity between a photoresistor and the infrared photodiode used in the original project! It really is incredible what you can do with a few spare parts, some random construction materials, and a little bit of creativity.

ESET researchers have discovered a zero-day exploit targeting Telegram for Android. An exploit called EvilVideo appeared for sale on an underground forum on June 6, 2024. Attackers exploited this vulnerability to distribute malicious files through Telegram channels, groups, and chats, disguising them as media files.

Specialists managed to obtain an example of the exploit, which allowed them to analyze it and report the problem on Telegram on June 26. An update fixing the vulnerability was released on July 11, 2024 in Telegram versions 10.14.5 and later.

The vulnerability allowed attackers to send malicious files that looked like videos in unprotected versions of Telegram for Android (10.14.4 and earlier). The exploit was found on an underground forum, where the vendor demonstrated its work in a public Telegram channel.

This allowed researchers to obtain the malicious file and test it.

The analysis showed that the exploit exploited the ability to create malicious files that were displayed as media previews. While attempting to play such a “video,” Telegram reported that the file could not be played and suggested using an external player.

By clicking the “Open” button, the user was asked to install a malicious application disguised as a player.

Telegram has fixed the vulnerability in version 10.14.5. Media file previews now correctly indicate that the file is an application and not a video.

The exploit was tested on the web and desktop versions of Telegram for Windows, but it did not work. In both cases, the file was recognized as multimedia and posed no threat.

It was also discovered that the exploit vendor offered an encryption service for Android, making malicious files invisible to antiviruses. This service has been advertised on the same underground forum since January 2024.

After discovering the vulnerability and reporting it to Telegram, the problem was fixed. Users are advised to update the application to the latest version to protect themselves from potential threats.

L'articolo EvilVideo: The Zero-Day Exploit That Threatens Telegram on Android proviene da il blog della sicurezza informatica.

Dopo molte discussioni e riflessioni, Google ha deciso di mantenere il supporto per i cookie di terze parti nel browser Chrome. Si è scoperto che tutto il clamore degli ultimi anni non è stato vano: le lamentele del settore pubblicitario sono state finalmente ascoltate.

Google ha annunciato “l’approccio aggiornato” in un post sul blog. La società ha dichiarato che non eliminerà gradualmente i cookie di terze parti. Sta invece introducendo una “nuova esperienza utente in Chrome” che consente agli utenti di fare scelte informate durante la navigazione sul Web, che possono essere modificate in qualsiasi momento.

I rappresentanti di Google stanno già discutendo questa svolta inaspettata con le autorità di regolamentazione, tra cui la British Competition and Markets Authority (CMA) e l’Information Commissioner’s Office (ICO). Nel prossimo futuro sono previste anche trattative con i rappresentanti del settore pubblicitario.

Google non ha fretta di annunciare scadenze specifiche per l’implementazione del nuovo approccio. Sembra che l’azienda abbia imparato la lezione dalle numerose scadenze per la disattivazione dei cookie in passato.

L’azienda non intende tuttavia abbandonare la propria iniziativa Privacy Sandbox. La società ha dichiarato la propria intenzione di continuare a sviluppare l’API come parte di questo progetto per migliorare la privacy e l’utilità per gli utenti. Ci sono piani per aggiungere ulteriori controlli sulla privacy, come la protezione dell’indirizzo IP recentemente annunciata nella modalità di navigazione in incognito di Chrome.

Per gli inserzionisti e gli editori che hanno già investito risorse significative nello sviluppo di alternative ai cookie di terze parti, Google promette che i loro sforzi non saranno vani. L’azienda intende mantenere e sviluppare l’API Privacy Sandbox, che potrebbe essere un vantaggio soprattutto se un numero significativo di utenti Chrome decidesse di disattivare i cookie di terze parti.

Alcuni esperti tracciano paralleli con Apple, che tre anni fa ha introdotto la funzionalità App Tracking Transparency sui dispositivi mobili. Questa iniziativa ha consentito agli utenti di decidere autonomamente se fornire i propri dati o IDFA ad app e siti web.

Google sta promuovendo attivamente le sue soluzioni alternative. L’azienda ha pubblicato i risultati dei test condotti da gennaio a marzo che mostrano risultati promettenti nel mantenere l’efficacia della pubblicità senza l’uso di cookie di terze parti. Ad esempio, Google Display Ads ha registrato un recupero dell’89% nella spesa pubblicitaria, mentre Display & Video 360 ha registrato un recupero dell’86%. Il ritorno sull’investimento è stato rispettivamente del 97% e del 95%.

Tuttavia, la risposta del settore pubblicitario a Privacy Sandbox rimane contrastante. Molti editori hanno avuto difficoltà a testare nuovi strumenti, lamentandosi del fatto che il campione di utenti di Chrome (solo l’1%) è troppo piccolo per condurre esperimenti significativi. A seguito di un ulteriore ritardo nell’eliminazione dei cookie di terze parti, alcuni editori hanno smesso del tutto di dedicare risorse ai test di Privacy Sandbox.

L'articolo Sorpresa da Google: I Cookie di Terze Parti Rimarranno in Chrome proviene da il blog della sicurezza informatica.