Sicurezza Informatica
Redline Stealer: malware che prende di mira i gamers tramite YouTube
Tempo di lettura: < 1 minuto. I giochi citati nei video sono APB Reloaded, CrossFire, DayZ, Farming Simulator, Farthest Frontier, FIFA 22, Final Fantasy XIV, Forza, Lego Star Wars, Sniper Elite e Spider-Man, tra gli altri.
I giocatori alla ricerca di trucchi su YouTube sono stati presi di mira con link a file di archivio rogue protetti da password e progettati per installare crypto miners e malware che rubano informazioni come RedLine Stealer su macchine compromesse.
“I video pubblicizzano cheat e crack e forniscono istruzioni su come hackerare giochi e software popolari”, ha dichiarato Oleg Kupreev, ricercatore di sicurezza di Kaspersky, in un nuovo rapporto pubblicato oggi.
Il download dell’archivio RAR autoestraente porta all’esecuzione di Redline Stealer, un miner di monete, e di una serie di altri file binari che consentono l’autopropagazione del bundle.
In particolare, ciò avviene per mezzo di un ruba-password open-source basato su C#, in grado di estrarre i cookie dai browser, che viene poi utilizzato dagli operatori per ottenere l’accesso non autorizzato all’account YouTube della vittima e caricare un video con un link all’archivio dannoso.
Una volta caricato con successo un video su YouTube, uno degli eseguibili presenti nell’archivio trasmette un messaggio a Discord con un link al video caricato.
Le scoperte arrivano mentre il numero totale di utenti che si sono imbattuti in malware e software indesiderati legati al gioco dal 1° luglio 2021 al 30 giugno 2022 ha sfiorato le 385.000 unità, con oltre 91.000 file distribuiti sotto le sembianze di giochi come Minecraft, Roblox, Need for Speed, Grand Theft Auto e Call of Duty.
“I criminali informatici vanno attivamente a caccia di account di gioco e di risorse informatiche di gioco”, ha dichiarato Kupreev. Il malware di tipo stealer viene spesso distribuito sotto le sembianze di hack di gioco, cheat e crack”. Tutto questo è un’ulteriore prova, se mai ce ne fosse bisogno, che il software illegale deve essere trattato con estrema cautela”.
Sicurezza Informatica
WhatsApp: sentenza storica contro NSO Group
Tempo di lettura: 2 minuti. WhatsApp vince contro NSO Group: la sentenza sul caso Pegasus stabilisce un precedente cruciale per la privacy digitale e la lotta contro lo spyware.
WhatsApp, proprietà di Meta, ha ottenuto una significativa vittoria legale contro NSO Group, azienda israeliana nota per aver sviluppato Pegasus, uno spyware usato per condurre attività di sorveglianza su larga scala. Il giudice federale della California, Phyllis J. Hamilton, ha stabilito che NSO Group ha violato i termini di servizio di WhatsApp sfruttando una vulnerabilità critica per accedere illegalmente ai server dell’app e installare Pegasus su dispositivi target.
CVE-2019-3568: punto di accesso per Pegasus
L’attacco ha sfruttato una falla nota come CVE-2019-3568, che affliggeva il sistema VOIP di WhatsApp. Questa vulnerabilità, classificata con un punteggio CVSS di 9.8, consentiva agli attori malintenzionati di eseguire codice remoto tramite pacchetti RTCP manipolati, inviati a numeri di telefono specifici. Tra maggio e luglio 2019, NSO Group ha utilizzato questa tecnica per installare Pegasus su 1.400 dispositivi senza alcuna interazione da parte delle vittime.
Questa falla interessava diverse versioni di WhatsApp, tra cui:
- WhatsApp per Android (prima della versione 2.19.134)
- WhatsApp Business per Android (prima della versione 2.19.44)
- WhatsApp per iOS (prima della versione 2.19.51)
- WhatsApp Business per iOS (prima della versione 2.19.51)
- WhatsApp per Windows Phone e Tizen
Il caso legale contro NSO Group: una battaglia per la trasparenza
La sentenza ha messo in evidenza il comportamento scorretto di NSO Group, che ha più volte ignorato gli ordini del tribunale di fornire documentazione completa sul codice sorgente di Pegasus. La società ha limitato la cooperazione, fornendo informazioni parziali e accessibili solo a cittadini israeliani, e ha rifiutato di rivelare dettagli essenziali sul funzionamento dello spyware.
Il giudice Hamilton ha dichiarato che queste azioni rappresentano una mancanza di trasparenza e rispetto per il processo giudiziario. Ha inoltre ribadito che NSO Group ha violato le condizioni di utilizzo di WhatsApp, progettate per impedire abusi tecnologici come l’installazione di software dannosi, il reverse engineering e l’utilizzo della piattaforma per attività illegali.
Le implicazioni della sentenza per la privacy globale
La decisione del tribunale stabilisce un precedente legale importante contro l’uso di spyware per scopi malevoli. Will Cathcart, responsabile di WhatsApp, ha commentato:
“Questa sentenza rappresenta una grande vittoria per la privacy. Abbiamo speso cinque anni per costruire questo caso, perché crediamo fermamente che le aziende di spyware non possano nascondersi dietro l’immunità o sfuggire alle responsabilità per le loro azioni illegali.”
Il processo continuerà per determinare i danni economici da imputare a NSO Group, ma l’impatto della sentenza va oltre la causa in sé. Essa rafforza il messaggio che le aziende non possono abusare di tecnologie sofisticate senza affrontare conseguenze legali.
Pegasus: uno strumento controverso di sorveglianza
NSO Group afferma che Pegasus è stato progettato per aiutare governi e forze dell’ordine nella lotta contro terrorismo, CSAM e criminalità organizzata. Tuttavia, numerose indagini hanno dimostrato che il software è stato utilizzato da regimi autoritari per monitorare giornalisti, attivisti politici e oppositori, suscitando un dibattito globale sull’etica e sulla regolamentazione delle tecnologie di sorveglianza.
Apple, anch’essa coinvolta in una causa contro NSO Group, ha recentemente introdotto misure di sicurezza come la “Modalità Blocco” e notifiche contro spyware, evidenziando l’importanza di proteggere gli utenti da attacchi mirati.
Prospettive future
La sentenza contro NSO Group rappresenta un passo avanti nella lotta per la tutela della privacy digitale. Tuttavia, l’evoluzione rapida delle tecnologie di sorveglianza e il crescente mercato per spyware richiedono regolamentazioni più rigide e una maggiore collaborazione internazionale per prevenire abusi.
Sicurezza Informatica
Androxgh0st Botnet: il ritorno di Mozi
Tempo di lettura: 2 minuti. Androxgh0st botnet eredita il codice di Mozi e amplia le minacce con attacchi IoT e server web: vulnerabilità sfruttate e le implicazioni per la sicurezza.
CloudSEK ha rilevato una significativa evoluzione nel panorama delle minacce digitali con l’apparizione di Androxgh0st, una botnet che combina tattiche avanzate con exploit preesistenti del celebre Mozi. Attivo dal gennaio 2024, Androxgh0st sfrutta vulnerabilità multiple per attaccare server web e dispositivi IoT, integrando payload di Mozi per una propagazione ancora più vasta e mirata.
La nuova vita del botnet: da Mozi a Androxgh0st
Mozi, una botnet nota per aver colpito router Netgear, D-Link e DVR MVPower, era stato temporaneamente neutralizzato nel 2021 a seguito di arresti effettuati dalle autorità cinesi. Tuttavia, la sua infrastruttura è stata recentemente riutilizzata da Androxgh0st, che ha ampliato il proprio raggio d’azione sfruttando vulnerabilità in tecnologie critiche come Cisco ASA, Atlassian JIRA e framework PHP.
Con oltre 20 vulnerabilità attivamente sfruttate, tra cui problemi noti come CVE-2017-9841 (PHP), CVE-2018-15133 (Laravel) e CVE-2021-41773 (Apache), il botnet si distingue per la capacità di mantenere backdoor persistenti e sfruttare credenziali rubate.
Le vulnerabilità sfruttate
Androxgh0st si concentra su exploit di alto profilo che coinvolgono prodotti di largo utilizzo. Alcuni esempi includono:
- Apache Web Server (CVE-2021-41773): vulnerabilità di path traversal che consente l’accesso a file sensibili.
- Atlassian JIRA (CVE-2021-26086): possibilità di leggere file attraverso il traversal.
- Router GPON (CVE-2018-10561): bypass dell’autenticazione e esecuzione di comandi remoti.
Convergenza tra Androxgh0st e Mozi
Androxgh0st non si limita a riprendere le tattiche di Mozi, ma ne integra funzionalità specifiche, come la propagazione nei dispositivi IoT e l’uso di payload condivisi. Questo suggerisce un controllo operativo unificato tra i due botnet, con l’obiettivo di aumentare l’efficacia degli attacchi e colpire bersagli più ampi.
Implicazioni per la sicurezza globale
L’ascesa di Androxgh0st, analizzata da ClouSek, rappresenta una minaccia significativa per le infrastrutture digitali globali. Organizzazioni e utenti devono monitorare i segni di compromissione e adottare contromisure proattive, come aggiornamenti di sicurezza regolari e analisi delle configurazioni di rete.
Sicurezza Informatica
Campagna TikTok per Georgescu finanziata dagli avversari del PNL
Tempo di lettura: 2 minuti. Scoperto il finanziamento PNL alla campagna #EchilibrușiVerticalitate su TikTok: promozione implicita di Călin Georgescu e irregolarità nei fondi elettorali. c’è un piccolo dettaglio: il PNL è un partito schierato contro il vincitore del primo turno in Romania annullato dalla Corte Suprema.
Recenti indagini dell’ANAF (Agenzia Nazionale per l’Amministrazione Fiscale) hanno rivelato che il Partito Nazionale Liberale (PNL) ha finanziato una campagna su TikTok che ha indirettamente promosso Călin Georgescu, un candidato controverso alle elezioni presidenziali romene. Questa scoperta ha acceso un acceso dibattito sulle implicazioni politiche e legali di tali attività, portando alla luce irregolarità nel finanziamento delle campagne.
La campagna #EchilibrușiVerticalitate
La campagna incriminata, denominata #EchilibrușiVerticalitate, è stata concepita inizialmente per promuovere valori generici come serietà ed equilibrio, senza menzionare direttamente un candidato specifico. Tuttavia, una revisione approfondita ha mostrato che questa è stata utilizzata per promuovere implicitamente il candidato Călin Georgescu, attraverso contenuti generati da influencer su TikTok.
Il PNL ha commissionato la campagna alla società Kensington Communication, che a sua volta ha coinvolto oltre 130 influencer tramite la piattaforma FameUp. I brief forniti agli influencer includevano script che, pur non menzionando esplicitamente Georgescu, utilizzavano descrizioni e messaggi strettamente associati alla sua figura.
Modifiche non autorizzate e discrepanze
Secondo Kensington Communication, il nome originale della campagna, #EchilibrusiSeriozitate, è stato modificato in #EchilibrușiVerticalitate senza il loro consenso o quello del PNL. Questa discrepanza ha sollevato dubbi sulla trasparenza del processo e sull’effettivo controllo esercitato dal partito sul contenuto della campagna.
Un documento desecretato del Consiglio Supremo di Difesa del Paese (CSAT) ha rivelato che la campagna è stata intenzionalmente strutturata per promuovere Georgescu, con similitudini a precedenti operazioni di influenza condotte in altri paesi, come la campagna “Frate pentru Frate” in Ucraina.
Finanziamenti e reazioni
L’ANAF ha confermato che i fondi per la campagna provenivano direttamente dal PNL, con pagamenti effettuati alla Kensington Communication. Questo ha sollevato interrogativi sulla legalità dell’utilizzo di fondi pubblici per attività che promuovevano, di fatto, un candidato diverso da quelli ufficiali del partito.
Diverse figure politiche e organizzazioni non governative hanno chiesto chiarimenti e investigazioni approfondite. Nonostante ciò, i leader del PNL hanno evitato commenti diretti, aumentando le speculazioni sul coinvolgimento del partito in pratiche elettorali discutibili.
Questo caso, emerso dopo un lavoro di inchiesta da parte di Snoop.ro, rappresenta un campanello d’allarme sull’uso non trasparente dei social media nelle campagne elettorali, sottolineando la necessità di regolamentazioni più severe. Le implicazioni politiche e legali delle scoperte dell’ANAF potrebbero avere un impatto significativo sulla percezione pubblica e sul futuro delle campagne elettorali in Romania.
-
Economia4 giorni ago
Sanzioni per violazioni del GDPR per Meta e Netflix
-
Sicurezza Informatica2 giorni ago
Minacce npm, firewall Sophos e spyware su Android
-
Sicurezza Informatica4 giorni ago
NodeStealer e phishing via Google Calendar: nuove minacce
-
Sicurezza Informatica2 giorni ago
Aggiornamenti Fortimanager e CISA per ICS e vulnerabilità note
-
Sicurezza Informatica5 giorni ago
HubPhish, targeting politico e vulnerabilità critiche
-
Sicurezza Informatica5 giorni ago
Windows, rischi Visual Studio Code, file MSC e kernel
-
Sicurezza Informatica5 giorni ago
Nvidia, SonicWall e Apache Struts: vulnerabilità critiche e soluzioni
-
Sicurezza Informatica1 settimana ago
BadBox su IoT, Telegram e Viber: Germania e Russia rischiano