Sicurezza Informatica
Visa: cybersecurity importante nel contrasto a minacce mutevoli
Tempo di lettura: 2 minuti. I nuovi rapporti di sottolineano l’importanza della sicurezza informatica in un contesto di minacce in continua evoluzione
Sia di persona che online, i criminali informatici prendono di mira i punti di contatto dei pagamenti con tecniche di frode sofisticate
Visa Inc, leader mondiale nei pagamenti digitali, ha condiviso sabato uno sguardo aggiornato su come le frodi si sono evolute dall’apice della pandemia, con i criminali che prendono di mira simultaneamente le vulnerabilità online e offline, mentre la nostra vita quotidiana ritorna a una miscela di esperienze di persona e di e-commerce. “Con il ritorno del commercio di persona ai livelli precedenti alla pandemia, i criminali sono tornati a sfruttare i punti di vulnerabilità fisici dei negozi, continuando a sfruttare l’e-commerce attraverso malware, ransomware e attacchi di phishing, tra gli altri”, ha dichiarato Neil Fernandes, responsabile del rischio nelle regioni NALP e GCC di Visa. Due nuove ricerche globali – l’ultimo Visa Biannual Threats Report e lo studio MIT Technology Review Insights “Moving Money in a Digital World”, pubblicato il 6 ottobre in collaborazione con Visa – evidenziano le minacce nuove e di ritorno per l’economia post-pandemia.
Il commercio digitale e gli utenti di criptovalute sono bersagli ricchi per i truffatori innovativi L’ambiente del commercio digitale, notevolmente accelerato dalla pandemia, rimane il bersaglio più ricco per i criminali informatici. Quasi tre quarti dei casi di frode e violazione dei dati investigati dal team Global Risk di Visa hanno coinvolto commercianti di e-commerce, spesso con attacchi di social engineering e ransomware. Gli attacchi di scrematura digitale che prendono di mira le piattaforme di e-commerce e le integrazioni di codici di terze parti sono comuni. Questi attacchi evidenziano la necessità di controlli di sicurezza rigorosi sui siti web dei commercianti e sulle pagine di checkout, per garantire che il codice esterno non sia abilitato negli ambienti sensibili dei titolari di carta. In effetti, il 42% degli intervistati nel rapporto MIT Technology Review Insights Moving money in a digital world | MIT Technology Review afferma che le misure di sicurezza sono importanti per i loro clienti, e il 59% riconosce che le minacce alla sicurezza informatica sono la sfida più grande per l’espansione dei pagamenti digitali. Molti danno la priorità a funzionalità di sicurezza avanzate come i token digitali (32%), l’intelligenza artificiale e le autorizzazioni avanzate (43%). Oltre agli attacchi alle valute tradizionali, gli attori delle minacce stanno impiegando nuove tattiche per frodare gli utenti di criptovalute, tra cui un nuovo malware focalizzato sui portafogli di estensione del browser per gli utenti di criptovalute, nonché l’innovazione degli schemi di phishing e di social engineering. Anche i servizi di ponte per le criptovalute sono un obiettivo. Da gennaio a febbraio 2022, tre furti di notevole entità, che hanno sfruttato le vulnerabilità di vari servizi di bridge, hanno fruttato ai cyber-ladri oltre 400 milioni di dollari.
La protezione è la promessa di Visa
Mentre il crimine informatico persiste, Visa ha aumentato i suoi sforzi per mitigare le frodi. Negli ultimi cinque anni, Visa ha investito più di 9 miliardi di dollari nella sicurezza della rete. Visa impiega più di mille specialisti dedicati a proteggere la rete di Visa da malware, attacchi zero-day e minacce interne 24x7x365. Visa impiega anche funzionalità abilitate dall’intelligenza artificiale ed esperti sempre attivi per proteggere il suo ecosistema, individuando e prevenendo in modo proattivo miliardi di dollari di tentativi di frode. Infatti, il monitoraggio in tempo reale di Visa con l’AI ha bloccato un volume di pagamenti fraudolenti di oltre 4,2 miliardi di dollari negli ultimi 12 mesi, impedendo a molti di sapere di essere a rischio di una potenziale transazione fraudolenta.
Sicurezza Informatica
NodeStealer e phishing via Google Calendar: nuove minacce
Tempo di lettura: 2 minuti. NodeStealer e phishing via Google Calendar: analisi delle minacce avanzate che compromettono dati finanziari e credenziali.
Le più recenti minacce evidenziano l’evoluzione delle tecniche utilizzate da cybercriminali per compromettere utenti e aziende. Tra queste, il malware NodeStealer che prende di mira account di Facebook Ads Manager e il phishing che sfrutta Google Calendar per eludere i filtri spam.
NodeStealer: malware avanzato basato su Python
NodeStealer, originariamente un malware JavaScript, è stato aggiornato per utilizzare Python, ampliando le sue capacità di raccolta dati sensibili. In una recente campagna, il malware ha preso di mira un’istituzione educativa in Malesia, legata a un gruppo di cybercriminali vietnamiti.
Il malware si diffonde tramite email di spear-phishing contenenti link malevoli mascherati da PDF legittimi. Dopo l’apertura, un file dannoso esegue DLL sideloading e comandi PowerShell offuscati, installando il payload finale. Questo infostealer è progettato per sottrarre credenziali, dati memorizzati nei browser e informazioni finanziarie da account Facebook Ads Manager.
Il traffico dati rubati avviene attraverso Telegram, che garantisce anonimato e semplicità di gestione. La campagna rappresenta una minaccia crescente, data l’efficienza dei metodi di evasione e la specificità dei target come individuato da TrendMicro.
Phishing tramite Google Calendar: un inganno che sfrutta strumenti legittimi
Una campagna di phishing osservata da Check Point utilizza Google Calendar per inviare inviti a eventi con link malevoli. Gli attacchi, indirizzati a oltre 300 brand, includono settori come banche, sanità ed educazione.
Gli inviti contengono link a Google Drawings o Google Forms, mascherati da pulsanti di supporto o reCaptcha. Una volta cliccati, conducono a pagine che raccolgono credenziali o altre informazioni sensibili.
Gli aggressori sfruttano la fiducia nei servizi Google, superando i controlli DKIM, SPF e DMARC per evitare i filtri spam. Inoltre, utilizzano la funzione di annullamento eventi per inviare messaggi di phishing aggiuntivi.
Per proteggersi, si consiglia di:
- Disabilitare l’aggiunta automatica di inviti nel calendario.
- Ignorare link in inviti sospetti, verificando sempre la legittimità del mittente.
Le campagne di malware e phishing descritte dimostrano l’importanza di misure preventive e consapevolezza degli utenti. Strumenti come NodeStealer e gli attacchi basati su Google Calendar sfruttano piattaforme legittime per attività malevole, sottolineando la necessità di approcci proattivi alla sicurezza.
Sicurezza Informatica
Salt Thypoon e APT29: a rischio Signal e RDP
Tempo di lettura: 4 minuti. Da smishing a malware come Raccoon Stealer e attacchi MITM di APT29, scopri le minacce attuali e le raccomandazioni per proteggerti.
Recentemente, diverse campagne di cybercriminalità hanno messo in evidenza la necessità di rafforzare le difese informatiche. Tra le minacce, si segnalano campagne di smishing mirate agli utenti di Poste Italiane, malware Raccoon Stealer, attacchi MITM tramite RDP orchestrati da APT29 e la raccomandazione di CISA di adottare app di messaggistica cifrata come Signal.
CISA: utilizzo di app cifrate dopo violazioni nelle telecomunicazioni
Dopo una serie di violazioni ai danni di otto operatori statunitensi, incluse T-Mobile e AT&T, la CISA ha raccomandato l’adozione di app di messaggistica cifrata, come Signal, per proteggere le comunicazioni da intercettazioni. Le violazioni, attribuite al gruppo Salt Typhoon, hanno consentito l’accesso prolungato ai sistemi di telecomunicazioni, esponendo dati sensibili.
Le raccomandazioni di CISA includono:
- Uso di autenticazione multi-fattore basata su hardware, come Yubico o Google Titan.
- Abbandono delle VPN commerciali con scarse politiche di sicurezza.
- Adozione di funzioni di sicurezza avanzate come Apple Lockdown Mode o il programma di protezione avanzata (APP) di Google.
Questi suggerimenti mirano a proteggere le comunicazioni personali e aziendali in un contesto di minacce crescenti.
Smishing contro utenti Poste Italiane: attenzione ai falsi avvisi di consegna
Il CERT-AGID ha identificato una nuova campagna di smishing che sfrutta falsi messaggi SMS inviati agli utenti di Poste Italiane. L’SMS invita le vittime a cliccare su un link fraudolento per risolvere problemi di consegna.
Il link reindirizza a un sito che imita quello ufficiale di Poste Italiane, richiedendo dati personali e delle carte di credito. Dopo aver inserito le informazioni, gli utenti possono subire furti finanziari e compromissioni di identità.
Si consiglia di:
- Verificare sempre i link prima di cliccarvi.
- Utilizzare i canali ufficiali delle organizzazioni per chiarire eventuali dubbi.
- Segnalare messaggi sospetti a malware@cert-agid.gov.it.
Raccoon Stealer: operatore condannato e implicazioni per la sicurezza
L’operatore dietro al noto malware Raccoon Stealer è stato condannato a cinque anni di prigione negli Stati Uniti dopo essersi dichiarato colpevole. Questo malware è stato responsabile di numerosi attacchi globali, con furti di credenziali, dati bancari e criptovalute, colpendo milioni di utenti dal 2019 al 2022.
Raccoon Stealer funzionava come Malware-as-a-Service (MaaS), con gli sviluppatori che vendevano abbonamenti agli attori malevoli. Una volta attivato, il malware raccoglieva informazioni sensibili dalle macchine infette, inviandole a server di comando e controllo.
La condanna dell’operatore rappresenta un passo importante nella lotta contro il cybercrimine. Tuttavia, gli esperti avvertono che varianti del malware potrebbero continuare a circolare, con la necessità di implementare difese più robuste, come software anti-malware aggiornati e una maggiore consapevolezza tra gli utenti.
APT29: attacchi MITM tramite RDP proxy
Il gruppo di cybercriminali APT29 (conosciuto anche come Midnight Blizzard o Earth Koshchei), associato alla Russia, sta utilizzando una rete di proxy RDP (Remote Desktop Protocol) per attacchi di tipo man-in-the-middle (MITM).
In questa campagna, gli aggressori inducono le vittime a connettersi a server RDP compromessi, consentendo loro di:
- Intercettare credenziali e sessioni di lavoro.
- Accedere a dati sensibili.
- Installare payload malevoli sui sistemi compromessi.
Il gruppo utilizza strumenti come PyRDP, una soluzione open-source originariamente pensata per scopi legittimi di simulazione red team, per sfruttare le connessioni RDP in modo illecito.
Gli attacchi sono stati mirati contro organizzazioni governative, militari e aziende tecnologiche in paesi come Stati Uniti, Francia, Germania e Australia. Per mitigare i rischi, si raccomanda di:
- Limitare l’uso dell’RDP solo a connessioni fidate.
- Applicare restrizioni di rete per impedire connessioni esterne non autorizzate.
- Monitorare le attività di rete per rilevare comportamenti anomali.
Le minacce descritte sottolineano la necessità di un approccio proattivo alla sicurezza informatica. Da campagne di smishing a malware avanzati come Raccoon Stealer, fino agli attacchi sofisticati di APT29, il panorama della sicurezza continua a evolversi. L’adozione di app cifrate, unita a pratiche di sicurezza solide, rappresenta una difesa fondamentale contro i rischi moderni.
Sicurezza Informatica
Windows, rischi Visual Studio Code, file MSC e kernel
Tempo di lettura: 3 minuti. Attacchi a Visual Studio Code e kernel di Windows: scopri come nuove minacce sfruttano estensioni malevole, file MSC e vulnerabilità critiche per colpire utenti globali.
Negli ultimi giorni, esperti di sicurezza hanno individuato nuove minacce che sfruttano estensioni malevole di Visual Studio Code, file MSC di Microsoft e una vulnerabilità critica nel kernel di Windows. Questi attacchi, sempre più sofisticati, rappresentano rischi significativi per sviluppatori, organizzazioni e utenti globali.
Visual Studio Code: estensioni malevole nel marketplace
Un’ampia campagna di attacchi è stata individuata su Visual Studio Code (VSCode), con oltre 18 estensioni malevole progettate per colpire sviluppatori e comunità legate alle criptovalute. Le estensioni, tra cui “Ethereum.SoliditySupport” e “ZoomWorkspace.Zoom,” mascherano funzioni dannose attraverso falsi numeri di installazioni e recensioni positive.
Le estensioni scaricano payload offuscati da domini fasulli come “microsoft-visualstudiocode[.]com”. Una volta installate, attivano comandi PowerShell che decriptano stringhe AES per eseguire codice dannoso. I rischi principali includono il furto di credenziali e movimenti laterali verso risorse cloud, specialmente su piattaforme come Microsoft Azure.
Gli esperti raccomandano di validare sempre le estensioni prima di installarle e di controllare i loro codici sorgente per evitare compromissioni della supply chain.
Attacchi tramite file MSC: una minaccia emergente
Un’altra campagna, denominata FLUX#CONSOLE, sfrutta file MSC (Microsoft Common Console Document) per distribuire backdoor mirate. Questi file, mascherati da documenti PDF (“Tax Reductions, Rebates and Credits 2024”), eseguono JavaScript integrato per caricare DLL dannose come “DismCore.dll.”
Gli attacchi sono stati osservati principalmente in Pakistan, dove gli aggressori utilizzano documenti a tema fiscale come esca. Questi file MSC rappresentano un’evoluzione dei tradizionali file LNK, offrendo agli attori malevoli un metodo stealth per infiltrarsi nei sistemi.
Le analisi suggeriscono che il malware installato tramite questi attacchi consente la raccolta di dati sensibili e l’esecuzione di comandi remoti, rendendo necessario un monitoraggio continuo e la segmentazione delle reti aziendali.
Kernel di Windows: vulnerabilità sfruttata per ottenere privilegi SYSTEM
Una vulnerabilità critica del kernel di Windows, identificata come CVE-2024-35250, è attivamente sfruttata per ottenere privilegi SYSTEM. Questa falla, presente nel componente Microsoft Kernel Streaming Service (MSKSSRV.SYS), permette a un attore locale di eseguire attacchi a bassa complessità senza richiedere l’interazione dell’utente.
Originariamente scoperta dal team di ricerca DEVCORE e dimostrata durante il Pwn2Own Vancouver 2024, la vulnerabilità è stata corretta da Microsoft nel Patch Tuesday di giugno 2024. Tuttavia, con la recente pubblicazione di exploit Proof-of-Concept (PoC) su GitHub, gli attacchi sono aumentati in frequenza, rendendo necessario un intervento urgente per mitigare i rischi.
Meccanismo dell’attacco e conseguenze
Gli aggressori sfruttano un untrusted pointer dereference, un tipo di debolezza che consente loro di manipolare la memoria del kernel e di ottenere un controllo completo sul sistema. Durante i test, questa tecnica è stata utilizzata per compromettere dispositivi con Windows 11 versione 23H2, eseguendo comandi con i massimi privilegi.
CISA ha classificato questa vulnerabilità come prioritaria, aggiungendola al suo catalogo Known Exploited Vulnerabilities (KEV) e imponendo alle agenzie federali di aggiornare i propri sistemi entro il 6 gennaio 2025. L’agenzia raccomanda anche alle organizzazioni private di applicare immediatamente le patch e di implementare controlli di accesso rigorosi.
Queste campagne, che spaziano dall’abuso di estensioni di Visual Studio Code alle vulnerabilità nel kernel di Windows, dimostrano la crescente sofisticazione degli attacchi informatici. Proteggersi richiede un approccio proattivo, che includa l’aggiornamento regolare dei software, il monitoraggio delle attività di rete e la segmentazione delle risorse sensibili.
-
Smartphone1 settimana ago
Realme GT 7 Pro vs Motorola Edge 50 Ultra: quale scegliere?
-
Smartphone1 settimana ago
OnePlus 13 vs Google Pixel 9 Pro XL: scegliere o aspettare?
-
Smartphone1 settimana ago
Samsung Galaxy Z Flip 7: il debutto dell’Exynos 2500
-
Smartphone1 settimana ago
Redmi Note 14 Pro+ vs 13 Pro+: quale scegliere?
-
Sicurezza Informatica24 ore ago
Nvidia, SonicWall e Apache Struts: vulnerabilità critiche e soluzioni
-
Economia1 settimana ago
Controversie e investimenti globali: Apple, Google e TikTok
-
Sicurezza Informatica1 settimana ago
Vulnerabilità cavi USB-C, Ivanti, WPForms e aggiornamenti Adobe
-
Sicurezza Informatica7 giorni ago
Vulnerabilità Cleo: attacchi zero-day e rischi di sicurezza