Multilingua
Google sotto accusa: il Dipartimento di Giustizia USA indaga sulle pratiche di prezzatura delle pubblicità
Tempo di lettura: 2 minuti. Il Dipartimento di Giustizia USA mette sotto accusa Google per le sue pratiche di prezzatura delle pubblicità, sostenendo che la compagnia possa aumentare i prezzi senza temere la concorrenza.
La seconda settimana del processo antitrust USA contro Google è in corso, e il Dipartimento di Giustizia sta mettendo sotto la lente d’ingrandimento la vera fonte di guadagno dietro Google Search: le pubblicità. Il Dipartimento sostiene che la dominanza di Google le permette di aumentare i prezzi per gli inserzionisti con poche ripercussioni, una rivendicazione sostenuta dalla testimonianza di Jerry Dischler, un dirigente del settore pubblicitario di Google.
Dettagli della testimonianza di Dischler
Durante la sua testimonianza, Dischler ha descritto le dichiarazioni fatte sotto giuramento nel 2020, affermando che Google ha apportato modifiche al suo processo di asta che potrebbero aver aumentato i prezzi in passato del 5% per il tipico inserzionista e potenzialmente del 10% per alcune ricerche. Gli acquirenti delle pubblicità sarebbero stati all’oscuro di queste “regolazioni” dei prezzi, dato che, come ha detto Dischler, “tendiamo a non informare gli inserzionisti sui cambiamenti di prezzo”.
Aumentare i prezzi delle pubblicità era apparentemente un modo per Google di incrementare i ricavi dalla ricerca durante i periodi di calo, uno dei quali si è verificato nella primavera del 2019, come evidenziato da una catena di email che coinvolgeva Dischler e un altro dirigente di Google, Anil Sabharwal. “Stiamo scuotendo i cuscini” sul lancio delle pubblicità, scrive Dischler nell’email, che descrive anche altre opzioni per aumentare i ricavi, come rendere la Ricerca più prominente per gli utenti di Chrome.
Ricavi e prospettive future
Un altro documento presentato durante il processo indica che Google ha guadagnato 98 miliardi di dollari dalle pubblicità di ricerca per i suoi servizi proprietari nel 2019, una cifra che non include i ricavi da YouTube, e che ha superato i 100 miliardi di dollari nel 2020. La “grande maggioranza” della crescita è derivata dalla ricerca mobile.
In tribunale, Dischler ha affermato che il 10% era circa il limite massimo degli aumenti di prezzo e che aumentare i prezzi del 15% sarebbe stata “una cosa pericolosa da fare”, sebbene, come nota Nylen, Dischler abbia riconosciuto che i ricavi complessivi potrebbero comunque aumentare, anche se i tassi elevati spingessero alcuni inserzionisti verso concorrenti come Meta o TikTok.
Dimostrare che Google può aumentare i prezzi delle pubblicità con poca pressione concorrenziale potrebbe rafforzare l’argomento del Dipartimento di Giustizia secondo cui Google mantiene un monopolio illegale. È una contestazione che il dipartimento non può sollevare per il motore di ricerca stesso, che è un prodotto gratuito per i consumatori, sebbene possa sostenere che altre forme di danno, come standard di privacy più laschi, potrebbero essere state mitigate in un settore della ricerca più competitivo.
Il processo, che dovrebbe protrarsi fino a novembre, vedrà la ripresa della testimonianza di Dischler oggi, con un verdetto non atteso prima del prossimo anno.
Multilingua
DarkGate e l’iniezione di Template Remoti: nuove tattiche di attacco
Tempo di lettura: 2 minuti. Nuove tattiche di DarkGate: iniezione di template remoti per aggirare le difese e infettare con malware tramite documenti Excel.
Recentemente, Cisco Talos ha rilevato un aumento significativo di campagne email malevole contenenti allegati sospetti di Microsoft Excel che, una volta aperti, infettano il sistema della vittima con il malware DarkGate. Queste campagne, attive dalla seconda settimana di marzo, utilizzano tecniche, tattiche e procedure (TTP) mai osservate prima negli attacchi DarkGate.
Tecnica dell’Iniezione di Template Remoti
Le recenti campagne di DarkGate sfruttano una tecnica chiamata “Remote Template Injection” per bypassare i controlli di sicurezza delle email e ingannare l’utente a scaricare ed eseguire codice malevolo quando viene aperto il documento Excel. Questa tecnica consente di importare template da fonti esterne per espandere le funzionalità di un documento, eludendo i protocolli di sicurezza che potrebbero non essere stringenti per i template rispetto ai file eseguibili.
Dettagli Tecnici dell’Attacco
Le email malevole individuate da Cisco Talos contenevano allegati di Excel con nomi distintivi, principalmente riguardanti questioni finanziarie o ufficiali, per convincere il destinatario ad aprire il documento. L’infezione inizia quando il documento Excel viene aperto, scaricando ed eseguendo un file VBS da un server controllato dall’attaccante. Il file VBS contiene un comando che esegue uno script PowerShell dal server di comando e controllo (C2) di DarkGate.
Cambiamenti nei Payload e nei Linguaggi di Scripting
Dal 12 marzo 2024, le campagne di DarkGate hanno iniziato a utilizzare script AutoHotKey invece di AutoIT. AutoHotKey offre funzionalità avanzate di manipolazione del testo, supporto per hotkey e una vasta libreria di script user-contributed. Gli script AutoHotKey scaricano e decodificano dati binari direttamente in memoria, eseguendo il payload di DarkGate senza mai salvarlo su disco.
Meccanismi di Persistenza
I componenti utilizzati durante l’ultima fase dell’infezione vengono memorizzati nella directory C:\\ProgramData\\cccddcb\\
. La persistenza attraverso i riavvii viene stabilita creando un file di collegamento nella directory di avvio del sistema infetto. Cisco Talos ha sviluppato meccanismi di rilevamento e blocco per queste campagne su prodotti Cisco Secure.
Multilingua
LightSpy: la nuova minaccia per macOS
Tempo di lettura: 3 minuti. Il malware LightSpy che prende di mira i dispositivi macOS, i metodi di infezione e le funzionalità dei plugin per l’esfiltrazione di dati.
Recentemente, è stata scoperta una variante del malware LightSpy che prende di mira i dispositivi macOS. Questo malware, originariamente noto per attaccare dispositivi iOS e Android, ha ora dimostrato di poter compromettere anche i sistemi macOS. Le indagini condotte da ThreatFabric e Huntress hanno rivelato dettagli tecnici significativi sulle capacità di questo malware e sui metodi utilizzati per infettare i dispositivi.
Contesto e Scoperta
Il framework di spyware LightSpy è noto per la sua versatilità e capacità di compromettere vari sistemi operativi. Originariamente, il malware ha preso di mira dispositivi iOS e Android, ma ora ha esteso il suo raggio d’azione a macOS. La variante per macOS è stata identificata tramite campioni caricati su VirusTotal e analizzati da Huntress e ThreatFabric.
Metodi di Infezione
Il gruppo di attori malevoli dietro LightSpy utilizza exploit pubblicamente disponibili per distribuire gli impianti su macOS. Due exploit noti, CVE-2018-4233 e CVE-2018-4404, sono stati utilizzati per colpire versioni di macOS 10.13.3 e iOS precedenti alla 11.4.
Il malware inizia con l’esecuzione arbitraria di codice tramite una vulnerabilità di WebKit all’interno di Safari, seguita da un’escalation di privilegi specifica del sistema operativo.
Analisi Tecnica
Fase Iniziale
Il punto di partenza dell’attacco è un exploit di WebKit che consente l’esecuzione di codice arbitrario non privilegiato. Una volta attivato, l’exploit distribuisce un payload denominato “20004312341.png”, che è in realtà un file eseguibile MachO x86_64 contenente una funzione di iniezione.
Downloader Intermedio
Il file “20004312341.png” decifra un blocco di 0x400 byte incorporato nel file eseguibile e lancia il risultato utilizzando launchd. Questo script scarica tre ulteriori file utilizzando l’utilità curl, inclusi “ssudo” (un exploit di escalation dei privilegi), “ddss” (un file di cifratura/decifratura) e un archivio ZIP contenente “update” e “update.plist”.
Loader e Persistenza
Il file “update” è progettato per configurare e avviare il Core di LightSpy, fornendo le informazioni necessarie per la comunicazione con il server di comando e controllo (C2). Una volta eseguito, “update” assicura la persistenza nel sistema utilizzando launchctl, avviandosi ad ogni riavvio del sistema.
Funzionalità del Core e Plugin
Il Core di LightSpy è responsabile della raccolta delle informazioni sul dispositivo e della gestione dei comandi dal server C2. Utilizza un database SQLite per memorizzare dati di configurazione, comandi e piani di controllo. Durante l’indagine, è stata scoperta una versione del Core denominata “C40F0D27”, che funge da orchestratore del framework di sorveglianza.
Plugin Specifici
LightSpy per macOS supporta 10 plugin principali per l’esfiltrazione di informazioni private:
- SoundRecord: Registra l’audio dal microfono del dispositivo.
- Browser: Esfiltra la cronologia dei browser Safari e Chrome.
- CameraModule: Scatta foto utilizzando la fotocamera del dispositivo.
- FileManage: Esfiltra e manipola file e directory, compresi dati da messaggistica come WeChat, Telegram e QQ.
- Keychain: Esfiltra password, certificati e chiavi dalla Keychain di Apple.
- LanDevices: Scansiona la rete locale per trovare dispositivi connessi.
- Softlist: Esfiltra l’elenco delle applicazioni installate e dei processi in esecuzione.
- ScreenRecorder: Registra video dello schermo del dispositivo.
- ShellCommand: Fornisce una shell remota per l’operatore.
- WiFi: Esfiltra dati sulle reti Wi-Fi vicine e la cronologia delle connessioni Wi-Fi.
Implicazioni e Conclusioni
La scoperta della variante macOS di LightSpy dimostra che il malware è in continua evoluzione e in grado di prendere di mira una gamma più ampia di dispositivi. Gli utenti di macOS devono essere consapevoli delle potenziali minacce e adottare misure per proteggere i loro sistemi, inclusi aggiornamenti regolari e l’uso di strumenti di sicurezza avanzati. La collaborazione tra ricercatori di sicurezza e aziende come Huntress e ThreatFabric è cruciale per identificare e mitigare queste minacce.
Multilingua
Commando Cat: Cryptojacking innovativo che sfrutta i Server API Remoti di Docker
Tempo di lettura: 2 minuti. Commando Cat, un attacco di cryptojacking che sfrutta i server API remoti di Docker esposti, mette in luce la necessità di pratiche di sicurezza robuste per i contenitori.
Un nuovo attacco di cryptojacking, denominato Commando Cat, sta prendendo di mira i server API remoti di Docker esposti per distribuire miner di criptovalute. Gli attaccanti utilizzano immagini Docker del progetto open-source Commando per eseguire questa campagna.
Dettagli dell’Attacco Commando Cat
Il team di ricercatori ha analizzato una campagna di attacco che sfrutta i server API remoti di Docker esposti per distribuire miner di criptovalute. Gli attaccanti impiegano l’immagine Docker cmd.cat/chattr per ottenere l’accesso iniziale, utilizzando tecniche come chroot e il binding dei volumi per uscire dal contenitore ed accedere al sistema host.
Accesso Iniziale
Per ottenere l’accesso iniziale, l’attaccante distribuisce un’immagine Docker denominata cmd.cat/chattr. Una volta distribuita, l’attaccante crea un contenitore Docker basato su questa immagine e utilizza chroot per uscire dal contenitore e ottenere l’accesso al sistema operativo host. Successivamente, utilizza curl o wget per scaricare il binario malevolo sul sistema host.
Sequenza dell’Attacco
- Probing del Server API Remoto di Docker: L’attacco inizia con una richiesta di ping al server API remoto di Docker per verificare lo stato del server.
- Creazione del Contenitore con l’Immagine cmd.cat/chattr: Una volta confermato che il server è operativo, l’attaccante procede a creare un contenitore utilizzando l’immagine cmd.cat/chattr.
- Escape dal Contenitore: L’attaccante utilizza chroot e il binding dei volumi per sfuggire al contenitore. Il binding /:/hs monta la directory root dell’host nella directory /hs del contenitore, garantendo all’attaccante l’accesso illimitato al file system dell’host.
- Creazione dell’Immagine Docker in Caso di Assenza: Se la richiesta di creazione del contenitore restituisce un errore di “immagine non trovata”, l’attaccante scarica l’immagine chattr dal repository cmd.cat.
- Distribuzione del Contenitore: Con l’immagine pronta, l’attaccante crea un contenitore Docker ed esegue un payload codificato in base64, che tradotto risulta essere uno script shell malevolo che scarica ed esegue un binario malevolo dal server di comando e controllo.
Raccomandazioni per la Sicurezza
Per proteggere gli ambienti di sviluppo dagli attacchi che prendono di mira i contenitori e gli host, Trend Micro raccomanda di adottare le seguenti best practices:
- Configurare correttamente i contenitori e le API per minimizzare il rischio di attacchi.
- Utilizzare solo immagini Docker ufficiali o certificate.
- Eseguire i contenitori senza privilegi di root.
- Configurare i contenitori in modo che l’accesso sia garantito solo a fonti attendibili, come la rete interna.
- Eseguire audit di sicurezza a intervalli regolari per rilevare eventuali contenitori e immagini sospetti.
La campagna di attacco Commando Cat mette in luce la minaccia rappresentata dall’abuso dei server API remoti di Docker esposti. Sfruttando le configurazioni Docker e utilizzando strumenti open-source come cmd.cat, gli attaccanti possono ottenere l’accesso iniziale e distribuire binari malevoli, eludendo le misure di sicurezza convenzionali. Questo evidenzia l’importanza di implementare robuste pratiche di sicurezza per i contenitori.
-
Smartphone1 settimana ago
Realme GT 7 Pro vs Motorola Edge 50 Ultra: quale scegliere?
-
Smartphone1 settimana ago
OnePlus 13 vs Google Pixel 9 Pro XL: scegliere o aspettare?
-
Smartphone1 settimana ago
Samsung Galaxy Z Flip 7: il debutto dell’Exynos 2500
-
Smartphone7 giorni ago
Redmi Note 14 Pro+ vs 13 Pro+: quale scegliere?
-
Sicurezza Informatica5 giorni ago
BadBox su IoT, Telegram e Viber: Germania e Russia rischiano
-
Sicurezza Informatica16 ore ago
Nvidia, SonicWall e Apache Struts: vulnerabilità critiche e soluzioni
-
Economia1 settimana ago
Controversie e investimenti globali: Apple, Google e TikTok
-
Sicurezza Informatica1 settimana ago
Vulnerabilità cavi USB-C, Ivanti, WPForms e aggiornamenti Adobe