💻Contenuti terroristici rimossi dal web in un'ora: via libera al Senato con alcuni aggiustamenti
Il Senato dominato dall'opposizione di destra ha votato martedì 12 luglio in prima lettura, con alcuni aggiustamenti, un disegno di legge LREM per adeguare un regolamento europeo, la cui disposizione principale consentirà di obbligare editori e web host a rimuovere i contenuti terroristici Entro un'ora.
Primo testo della sessione straordinaria esaminato dai senatori, era stato adottato in prima lettura dall'Assemblea nazionale a febbraio, durante la precedente legislatura. Riprende in parte una delle disposizioni chiave della legge Avia che era stata ampiamente contestata dal Consiglio costituzionale nel luglio 2020.
Mira ad adeguare la legislazione francese alle disposizioni del regolamento europeo del 29 aprile 2021 contro la diffusione di contenuti terroristici online, in vigore dal 7 giugno in tutta l'Unione Europea. In questa fase, secondo il relatore André Reichardt (LR), solo nove Stati membri hanno recepito questo regolamento nel proprio diritto nazionale.
Impone la rimozione di contenuti terroristici online entro un'ora da tutti i fornitori di servizi di hosting e introduce la possibilità per le autorità nazionali di emettere ordini di rimozione transfrontaliera. Il rifiuto di ottemperare al ritiro di tali contenuti è punito con la reclusione di un anno e la multa di 250.000 euro e può, in casi estremi, salire fino al 4% del fatturato della piattaforma digitale.
Il disegno di legge prevede inoltre che una personalità qualificata di Arcom Autorità di regolamentazione per gli audiovisivi e le comunicazioni digitali esamini una richiesta di rimozione di contenuti da un altro Stato membro dell'Unione Europea.
I senatori hanno adottato il testo con una dozzina di emendamenti che forniscono chiarimenti o integrazioni. In particolare, hanno voluto rafforzare la coerenza tra le nuove disposizioni e l'ufficio che gestisce la piattaforma di segnalazione online Pharos istituendo la " vigilanza " di quest'ultima da parte della qualificata personalità di Arcom, ha indicato François-Noël Buffet, Presidente LR della Legge Commissione. Inoltre, contro il parere del governo, hanno previsto una procedura di ricorso dinanzi al Consiglio di Stato.
La proposta di legge così modificata è stata votata in modo molto ampio, ma il gruppo di maggioranza comunista CRCE ha votato contro e il gruppo ambientalista si è astenuto, esprimendo la propria preoccupazione per possibili attacchi alla libertà di espressione. Deputati, neoeletti e senatori cercheranno ora di concordare una versione comune in una commissione paritetica, l'ultima parola all'Assemblea nazionale in caso di fallimento.
Il Senato dominato dall'opposizione di destra ha votato martedì 12 luglio in prima lettura, con alcuni aggiustamenti, un disegno di legge LREM per adeguare un regolamento europeo, la cui disposizione principale consentirà di obbligare editori e web host a rimuovere i contenuti terroristici Entro un'ora.
Primo testo della sessione straordinaria esaminato dai senatori, era stato adottato in prima lettura dall'Assemblea nazionale a febbraio, durante la precedente legislatura. Riprende in parte una delle disposizioni chiave della legge Avia che era stata ampiamente contestata dal Consiglio costituzionale nel luglio 2020.
rafforzerà il nostro arsenale nella lotta al terrorismo, secondo il ministro responsabile per le Comunità Caroline Cayeux.Mira ad adeguare la legislazione francese alle disposizioni del regolamento europeo del 29 aprile 2021 contro la diffusione di contenuti terroristici online, in vigore dal 7 giugno in tutta l'Unione Europea. In questa fase, secondo il relatore André Reichardt (LR), solo nove Stati membri hanno recepito questo regolamento nel proprio diritto nazionale.
Impone la rimozione di contenuti terroristici online entro un'ora da tutti i fornitori di servizi di hosting e introduce la possibilità per le autorità nazionali di emettere ordini di rimozione transfrontaliera. Il rifiuto di ottemperare al ritiro di tali contenuti è punito con la reclusione di un anno e la multa di 250.000 euro e può, in casi estremi, salire fino al 4% del fatturato della piattaforma digitale.
Il disegno di legge prevede inoltre che una personalità qualificata di Arcom Autorità di regolamentazione per gli audiovisivi e le comunicazioni digitali esamini una richiesta di rimozione di contenuti da un altro Stato membro dell'Unione Europea.
I senatori hanno adottato il testo con una dozzina di emendamenti che forniscono chiarimenti o integrazioni. In particolare, hanno voluto rafforzare la coerenza tra le nuove disposizioni e l'ufficio che gestisce la piattaforma di segnalazione online Pharos istituendo la " vigilanza " di quest'ultima da parte della qualificata personalità di Arcom, ha indicato François-Noël Buffet, Presidente LR della Legge Commissione. Inoltre, contro il parere del governo, hanno previsto una procedura di ricorso dinanzi al Consiglio di Stato.
La proposta di legge così modificata è stata votata in modo molto ampio, ma il gruppo di maggioranza comunista CRCE ha votato contro e il gruppo ambientalista si è astenuto, esprimendo la propria preoccupazione per possibili attacchi alla libertà di espressione. Deputati, neoeletti e senatori cercheranno ora di concordare una versione comune in una commissione paritetica, l'ultima parola all'Assemblea nazionale in caso di fallimento.
🔓 I firmware principali non sono sufficientemente sicuri
I ricercatori di Binarly hanno combinato attacchi di esecuzione speculativa in un gruppo chiamato Firmbleed.
Da tale studio è emerso che la maggior parte dei firmware rende gli utenti vulnerabili a causa di mancate misure di sicurezza.
A creare ancore più falle nei sistemi di sicurezza realizzati dai fornitori di firmware vi è un'installazione errata delle patch o addirittura una mancanza di esse.
Non finisce qui perché i ricercatori hanno trovato 32 firmware di HP, 59 di Dell e ben 248 di Lenovo che mancano di uno dei principali strumenti utilizzati per la protezione degli attacchi di esecuzione speculativa: le patch che risolvono una vulnerabilità nel buffet di ritorno dello stack.
I ricercatori di Binarly hanno combinato attacchi di esecuzione speculativa in un gruppo chiamato Firmbleed.
Da tale studio è emerso che la maggior parte dei firmware rende gli utenti vulnerabili a causa di mancate misure di sicurezza.
A creare ancore più falle nei sistemi di sicurezza realizzati dai fornitori di firmware vi è un'installazione errata delle patch o addirittura una mancanza di esse.
“A causa di tali attacchi informatici, gli aggressori possono ottenere informazioni dalla memoria privilegiata. Pertanto, un utente malintenzionato può estrarre dati sensibili dai processi in esecuzione sulla stessa CPU” specifica Binarly nel proprio rapporto.Non finisce qui perché i ricercatori hanno trovato 32 firmware di HP, 59 di Dell e ben 248 di Lenovo che mancano di uno dei principali strumenti utilizzati per la protezione degli attacchi di esecuzione speculativa: le patch che risolvono una vulnerabilità nel buffet di ritorno dello stack.
⚠️ Neanche i servizi Cloud sono più al sicuro da Nobelium
Gli hacker di Nobelium fanno leva sulla fiducia degli utenti nei servizi di archiviazione per infettare i loro PC.
Ciò rende difficile individuare e fermare in tempo un attacco informatico.
La tattica di Nobelium è quella di utilizzare messaggi di phising, che collegandosi ad un file HTML dannoso chiamato agenda.html, fa da dropper per un playload dannoso che comprende il Beacon Cobalt Strike.
Il file HTML in questione è un EnvyScout utilizzato contro la vittima generando altro malware.
Nobelium utilizza EnvyScout per nascondere il payload e scaricare sul disco rigido della vittima un file ISO dannoso.
Una volta scaricato il file la vittima sarà costretta a fare clic su di esso, dando vita così ad una catena di infezione sul proprio sistema.
Gli hacker di Nobelium fanno leva sulla fiducia degli utenti nei servizi di archiviazione per infettare i loro PC.
Ciò rende difficile individuare e fermare in tempo un attacco informatico.
La tattica di Nobelium è quella di utilizzare messaggi di phising, che collegandosi ad un file HTML dannoso chiamato agenda.html, fa da dropper per un playload dannoso che comprende il Beacon Cobalt Strike.
Il file HTML in questione è un EnvyScout utilizzato contro la vittima generando altro malware.
Nobelium utilizza EnvyScout per nascondere il payload e scaricare sul disco rigido della vittima un file ISO dannoso.
Una volta scaricato il file la vittima sarà costretta a fare clic su di esso, dando vita così ad una catena di infezione sul proprio sistema.
“La popolarità del servizio di cloud storage di Google, così come la fiducia di milioni di utenti in tutto il mondo, rendono estremamente preoccupante l’uso di tali servizi per fornire malware da questo APT “ affermano gli analisti.🗃 Lockbit ruba 78 GB di file all'Agenzia delle Entrate
La banda di ransomware Lockbit afferma di aver violato l'Agenzia delle Entrate e di aver aggiunto l'agenzia governativa all'elenco delle vittime riportate sul suo sito di leak del dark web.
Il gruppo afferma di aver rubato 78 GB di dati, inclusi documenti aziendali, scansioni, rapporti finanziari e contratti, e prevede di rilasciare screenshot di file e campioni molto presto.
Se l'attacco sarà confermato, può rappresentare uno degli incidenti più gravi subiti dalle agenzie governative italiane. L'Agenzia delle Entrate, fa rispettare il codice finanziario italiano e riscuote le tasse e le entrate. L'agenzia fornisce diversi servizi online per contribuenti italiani e non.
Al momento non si sa se la banda di ransomware abbia già contattato il governo italiano o l'importo del riscatto che sta chiedendo. La banda del ransomware Lockbit concede 5 giorni all'Agenzia per pagare il ransomware per evitare la fuga di dati rubati.
Alla fine di giugno, l' operazione di ransomware Lockbit ha rilasciato LockBit 3.0, che presenta importanti novità come un programma di ricompense dei bug, il pagamento Zcash e nuove tattiche di estorsione.
La nuova versione 3.0 del ransomware è stata già utilizzata in recenti attacchi. L'introduzione del programma bug bounty ha fatto notizia, è la prima banda di ransomware che chiede agli esperti di sicurezza informatica di inviare bug nel loro malware per migliorarlo.
La banda di ransomware Lockbit afferma di aver violato l'Agenzia delle Entrate e di aver aggiunto l'agenzia governativa all'elenco delle vittime riportate sul suo sito di leak del dark web.
Il gruppo afferma di aver rubato 78 GB di dati, inclusi documenti aziendali, scansioni, rapporti finanziari e contratti, e prevede di rilasciare screenshot di file e campioni molto presto.
Se l'attacco sarà confermato, può rappresentare uno degli incidenti più gravi subiti dalle agenzie governative italiane. L'Agenzia delle Entrate, fa rispettare il codice finanziario italiano e riscuote le tasse e le entrate. L'agenzia fornisce diversi servizi online per contribuenti italiani e non.
Al momento non si sa se la banda di ransomware abbia già contattato il governo italiano o l'importo del riscatto che sta chiedendo. La banda del ransomware Lockbit concede 5 giorni all'Agenzia per pagare il ransomware per evitare la fuga di dati rubati.
Alla fine di giugno, l' operazione di ransomware Lockbit ha rilasciato LockBit 3.0, che presenta importanti novità come un programma di ricompense dei bug, il pagamento Zcash e nuove tattiche di estorsione.
La nuova versione 3.0 del ransomware è stata già utilizzata in recenti attacchi. L'introduzione del programma bug bounty ha fatto notizia, è la prima banda di ransomware che chiede agli esperti di sicurezza informatica di inviare bug nel loro malware per migliorarlo.
🪙 Voyager rifiuta l'offerta di acquisizione di Alameda
Voyager Digital Holdings, piattaforma centralizzata di lending cripto, ha respinto l'offerta di FTX e del suo reparto di investimento Alameda Ventures per l'acquisto dei suoi asset digitali, sostenendo che tali azioni "non massimizzano il loro valore" e potenzialmente "danneggiano i clienti".
In una lettera di rifiuto depositata in tribunale, nell'ambito della procedura fallimentare in corso, gli avvocati di Voyager hanno denunciato l'offerta presentata da FTX, FTX US e Alameda per rilevare tutti gli assets e i prestiti in essere di Voyager, a eccezione del prestito insoluto di Three Arrows Capital (3AC).
I rappresentanti di Voyager hanno affermato che il piano da loro proposto per riorganizzare la società è migliore, in quanto consegnerebbe prontamente tutti i contanti dei clienti e la maggior parte delle loro criptovalute, nel minor tempo possibile.
Il 5 luglio, Voyager ha presentato istanza di fallimento nel distretto Sud di New York per un'insolvenza di oltre 1 miliardo di dollari, in seguito all'inadempienza dell'hedge fund di criptovalute 3AC su un prestito di 650 milioni di dollari concesso dall'azienda.
Nei giorni scorsi le tre società legate al CEO di FTX, Sam Bankman-Fried, hanno proposto a Voyager un accordo che prevede che Alameda acquisisca tutti gli asset di Voyager e utilizzi FTX o FTX US per venderli e distribuirli proporzionalmente agli utenti colpiti dal fallimento.
Nel comunicato stampa di FTX, Bankman-Fried ha dichiarato che la sua proposta è un modo per gli utenti di Voyager di recuperare le perdite subite e abbandonare la piattaforma.
Voyager Digital Holdings, piattaforma centralizzata di lending cripto, ha respinto l'offerta di FTX e del suo reparto di investimento Alameda Ventures per l'acquisto dei suoi asset digitali, sostenendo che tali azioni "non massimizzano il loro valore" e potenzialmente "danneggiano i clienti".
In una lettera di rifiuto depositata in tribunale, nell'ambito della procedura fallimentare in corso, gli avvocati di Voyager hanno denunciato l'offerta presentata da FTX, FTX US e Alameda per rilevare tutti gli assets e i prestiti in essere di Voyager, a eccezione del prestito insoluto di Three Arrows Capital (3AC).
I rappresentanti di Voyager hanno affermato che il piano da loro proposto per riorganizzare la società è migliore, in quanto consegnerebbe prontamente tutti i contanti dei clienti e la maggior parte delle loro criptovalute, nel minor tempo possibile.
Il 5 luglio, Voyager ha presentato istanza di fallimento nel distretto Sud di New York per un'insolvenza di oltre 1 miliardo di dollari, in seguito all'inadempienza dell'hedge fund di criptovalute 3AC su un prestito di 650 milioni di dollari concesso dall'azienda.
Nei giorni scorsi le tre società legate al CEO di FTX, Sam Bankman-Fried, hanno proposto a Voyager un accordo che prevede che Alameda acquisisca tutti gli asset di Voyager e utilizzi FTX o FTX US per venderli e distribuirli proporzionalmente agli utenti colpiti dal fallimento.
Nel comunicato stampa di FTX, Bankman-Fried ha dichiarato che la sua proposta è un modo per gli utenti di Voyager di recuperare le perdite subite e abbandonare la piattaforma.
🇺🇦 Attivisti filo-ucraini minacciati da attacchi DDoS russi
È stato rilevato un gruppo APT mentre distribuiva App Android mascherate fa strumenti per eseguire attacchi Denial of Service (Dos) da un dominio che falsifica il reggimento di hacker ucraino. Il gruppo è Turla e si ritiene stia lavorando per conto del servizio di sicurezza federale russo. (FSB)
A scoprire il tutto è stato il Threat Analysis Group (TAG) di Google. Le app sono state ospitare su un dominio controllato da Turla e distribuite tramite link su servizi di messaggistica di terze parti.
Tuttavia questa attività da parte degli hacker russi non ha avuto un impatto importante sugli utenti Android in quando il numero di installazione è stato esiguo.
Il Computer Emergency Response Team of Ukraine (CERT-UA), all'inizio di questa settimana ha affermato che una campagna dannosa è stata rivolta agli organi governativi ucraini che hanno distribuito l'infostealer dell'Agente Tesla.
È stato rilevato un gruppo APT mentre distribuiva App Android mascherate fa strumenti per eseguire attacchi Denial of Service (Dos) da un dominio che falsifica il reggimento di hacker ucraino. Il gruppo è Turla e si ritiene stia lavorando per conto del servizio di sicurezza federale russo. (FSB)
A scoprire il tutto è stato il Threat Analysis Group (TAG) di Google. Le app sono state ospitare su un dominio controllato da Turla e distribuite tramite link su servizi di messaggistica di terze parti.
“L’app è distribuita con il pretesto di eseguire attacchi Denial of Service (DoS) contro una serie di siti Web russi. Tuttavia, il DoS consiste solo in una singola richiesta GET al sito Web di destinazione, non sufficiente per essere efficace”
Questo scrive in un post Billy Leonard, ingegnere della sicurezza di Google TAG.Tuttavia questa attività da parte degli hacker russi non ha avuto un impatto importante sugli utenti Android in quando il numero di installazione è stato esiguo.
Il Computer Emergency Response Team of Ukraine (CERT-UA), all'inizio di questa settimana ha affermato che una campagna dannosa è stata rivolta agli organi governativi ucraini che hanno distribuito l'infostealer dell'Agente Tesla.
🌐 Google Cloud e Google Play: attenzione alle Vulnerabilità XSS
Un paio di vulnerabilità in Google Cloud, DevSite e Google Play potrebbero aver consentito agli aggressori di realizzare attacchi di scripting incrociato (XSS), aprendo la porta ai dirottamenti degli account.
La prima vulnerabilità è un bug XSS riflesso in Google DevSite. Un collegamento controllato da un utente malintenzionato potrebbe eseguire JavaScript sulle origini http://cloud.google.com e http://developers.google.com, il che significa che un attore malintenzionato potrebbe leggerne e modificarne i contenuti, aggirando la policy della stessa origine.
Il ricercatore 'NDevTK', che ha scoperto entrambe le vulnerabilità, ha informato tutti dicendo che a causa di una vulnerabilità nell'implementazione di <devsite-language-selector> ,parte dell'URL è stata riflessa come html, quindi è stato possibile ottenere XSS sulle origini utilizzando quel componente dalla pagina 404.
La seconda vulnerabilità è un XSS basato su DOM su Google Play. Le vulnerabilità XSS basate su DOM di solito si verificano quando JavaScript preleva i dati da un'origine controllabile da un utente malintenzionato, come l'URL, e li passa a un sink che supporta l'esecuzione di codice dinamico, come eval() o innerHTML .
Ciò consente agli aggressori di eseguire JavaScript dannoso , che in genere consente loro di dirottare gli account di altri utenti.
Un paio di vulnerabilità in Google Cloud, DevSite e Google Play potrebbero aver consentito agli aggressori di realizzare attacchi di scripting incrociato (XSS), aprendo la porta ai dirottamenti degli account.
La prima vulnerabilità è un bug XSS riflesso in Google DevSite. Un collegamento controllato da un utente malintenzionato potrebbe eseguire JavaScript sulle origini http://cloud.google.com e http://developers.google.com, il che significa che un attore malintenzionato potrebbe leggerne e modificarne i contenuti, aggirando la policy della stessa origine.
Il ricercatore 'NDevTK', che ha scoperto entrambe le vulnerabilità, ha informato tutti dicendo che a causa di una vulnerabilità nell'implementazione di <devsite-language-selector> ,parte dell'URL è stata riflessa come html, quindi è stato possibile ottenere XSS sulle origini utilizzando quel componente dalla pagina 404.
La seconda vulnerabilità è un XSS basato su DOM su Google Play. Le vulnerabilità XSS basate su DOM di solito si verificano quando JavaScript preleva i dati da un'origine controllabile da un utente malintenzionato, come l'URL, e li passa a un sink che supporta l'esecuzione di codice dinamico, come eval() o innerHTML .
Ciò consente agli aggressori di eseguire JavaScript dannoso , che in genere consente loro di dirottare gli account di altri utenti.
🗑 Il difetto di CompleteFTP ha consentito agli aggressori di eliminare i file del server
Un ricercatore di sicurezza ha scoperto un difetto nella classe HttpFile che risulta dalla mancanza di un'adeguata convalida di un percorso fornito dall'utente prima di utilizzarlo nelle operazioni sui file.
La vulnerabilità di sicurezza nel software di trasferimento file CompleteFTP ha consentito agli aggressori non autenticati di eliminare file arbitrari sulle installazioni interessate.
Sviluppato dall'australiana EnterpriseDT, CompleteFTP è un server FTP e SFTP proprietario per Windows che supporta FTPS, SFTP e HTTPS.
In un avviso di sicurezza si legge che questa vulnerabilità consente agli aggressori remoti di eliminare file arbitrari sulle installazioni interessate del server EnterpriseDT CompleteFTP.
Quindi un utente malintenzionato può sfruttare questa vulnerabilità per eliminare i file nel contesto di SYSTEM.
Un portavoce di EnterpriseDT ha affermato "
Un ricercatore di sicurezza ha scoperto un difetto nella classe HttpFile che risulta dalla mancanza di un'adeguata convalida di un percorso fornito dall'utente prima di utilizzarlo nelle operazioni sui file.
La vulnerabilità di sicurezza nel software di trasferimento file CompleteFTP ha consentito agli aggressori non autenticati di eliminare file arbitrari sulle installazioni interessate.
Sviluppato dall'australiana EnterpriseDT, CompleteFTP è un server FTP e SFTP proprietario per Windows che supporta FTPS, SFTP e HTTPS.
In un avviso di sicurezza si legge che questa vulnerabilità consente agli aggressori remoti di eliminare file arbitrari sulle installazioni interessate del server EnterpriseDT CompleteFTP.
Quindi un utente malintenzionato può sfruttare questa vulnerabilità per eliminare i file nel contesto di SYSTEM.
Un portavoce di EnterpriseDT ha affermato "
Non abbiamo visto alcuna indicazione dello sfruttamento di questa vulnerabilità. Riceviamo spesso segnalazioni da ricercatori di sicurezza e apprezziamo i loro sforzi nell'evidenziare le vulnerabilità che trovano. Questa particolare vulnerabilità è stata una soluzione facile, quindi non era necessario che il ricercatore di sicurezza fosse coinvolto nello sviluppo di una soluzione".🚀 Hackerata la multinazionale produttrice di missili MBDA
MBDA è una multinazionale europea produttrice di missili nata dalla fusione delle principali società francesi, britanniche e italiane di sistemi missilistici. Il nome MBDA infatti deriva dalle iniziali dei nomi delle società: Matra, BAe Dynamicse e Alenia.
Un attore di minacce che lavora online con il soprannome di Adrastea e che si definisce un gruppo di specialisti e ricercatori di sicurezza informatica indipendenti, afferma di aver violato MBDA.
Adrastea ha affermato di aver riscontrato vulnerabilità critiche nell'infrastruttura aziendale e di aver rubato 60 GB di dati riservati.
Gli aggressori hanno affermato che i dati rubati includono informazioni sui dipendenti dell'azienda coinvolti in progetti militari, attività commerciali, accordi contrattuali e corrispondenza con altre società.
A riprova dell'hacking, Adrastea ha condiviso un collegamento a un archivio protetto da password contenente documenti interni relativi a progetti e corrispondenza.
MBDA, nei giorni scorsi, ha pubblicato il seguente comunicato stampa confermando che i suoi sistemi non sono stati violati. L'origine dei dati è già stata accertata, in quanto acquisiti da hard disk esterno. È stato confermato che non vi è stata alcuna violazione e/o compromissione delle reti aziendali.
MBDA è una multinazionale europea produttrice di missili nata dalla fusione delle principali società francesi, britanniche e italiane di sistemi missilistici. Il nome MBDA infatti deriva dalle iniziali dei nomi delle società: Matra, BAe Dynamicse e Alenia.
Un attore di minacce che lavora online con il soprannome di Adrastea e che si definisce un gruppo di specialisti e ricercatori di sicurezza informatica indipendenti, afferma di aver violato MBDA.
Adrastea ha affermato di aver riscontrato vulnerabilità critiche nell'infrastruttura aziendale e di aver rubato 60 GB di dati riservati.
Gli aggressori hanno affermato che i dati rubati includono informazioni sui dipendenti dell'azienda coinvolti in progetti militari, attività commerciali, accordi contrattuali e corrispondenza con altre società.
A riprova dell'hacking, Adrastea ha condiviso un collegamento a un archivio protetto da password contenente documenti interni relativi a progetti e corrispondenza.
MBDA, nei giorni scorsi, ha pubblicato il seguente comunicato stampa confermando che i suoi sistemi non sono stati violati. L'origine dei dati è già stata accertata, in quanto acquisiti da hard disk esterno. È stato confermato che non vi è stata alcuna violazione e/o compromissione delle reti aziendali.
💲 Migliaia di wallet Solana sotto attacco
Il marketplace NFT Magic Eden ha dichiarato che sembra essere in corso un exploit diffuso e ha invitato gli utenti a revocare le autorizzazioni per qualsiasi link sospetto nei loro wallet Phantom.
Infatti un hack in corso e su larga scala ha causato il prosciugamento di fondi per un totale di 8 milioni di dollari da una serie di hot wallet basati su Solana.
Su Twitter molti utenti hanno segnalato l'hack in corso o hanno dichiarato di aver perso loro stessi i fondi, avvertendo tutti coloro che possiedono hot wallet basati su Solana, come Phantom e Slope, di spostare i capitali su cold wallet.
Il 2 agosto PackShield, società di ricerca blockchain, ha dichiarato che la violazione è probabilmente dovuta a un problema della supply chain che è stato sfruttato per rubare le chiavi private degli utenti.
I provider wallet basati su Solana, tra cui Phantom e Slope, e il marketplace di token non fungibili (NFT), Magic Eden, sono tra quelli che hanno riportato la violazione.
Phantom, ha dichiarato che sta lavorando con altri team per arrivare alla radice dell'attacco, anche se dice di non credere che si tratti di un loro problema specifico in questa fase.
Il marketplace NFT Magic Eden ha dichiarato che sembra essere in corso un exploit diffuso e ha invitato gli utenti a revocare le autorizzazioni per qualsiasi link sospetto nei loro wallet Phantom.
Infatti un hack in corso e su larga scala ha causato il prosciugamento di fondi per un totale di 8 milioni di dollari da una serie di hot wallet basati su Solana.
Su Twitter molti utenti hanno segnalato l'hack in corso o hanno dichiarato di aver perso loro stessi i fondi, avvertendo tutti coloro che possiedono hot wallet basati su Solana, come Phantom e Slope, di spostare i capitali su cold wallet.
Il 2 agosto PackShield, società di ricerca blockchain, ha dichiarato che la violazione è probabilmente dovuta a un problema della supply chain che è stato sfruttato per rubare le chiavi private degli utenti.
I provider wallet basati su Solana, tra cui Phantom e Slope, e il marketplace di token non fungibili (NFT), Magic Eden, sono tra quelli che hanno riportato la violazione.
Phantom, ha dichiarato che sta lavorando con altri team per arrivare alla radice dell'attacco, anche se dice di non credere che si tratti di un loro problema specifico in questa fase.
📳 Abuso dei reindirizzamenti: coinvolti Snapchat e American Express
Alcuni aggressori sembrano aver abusato dei reindirizzamenti aperti sui siti Web di Snapchat e American Express nell'ambito di una campagna di phishing rivolta agli utenti di Microsoft 365.
Il reindirizzamento aperto si verifica quando un sito Web non convalida l'input dell'utente, consentendo agli aggressori di manipolare gli URL di domini ad alta reputazione per reindirizzare le vittime a siti dannosi.
Le vittime riterranno attendibile il collegamento perché il primo nome di dominio nel collegamento manipolato è un dominio attendibile come American Express e Snapchat.
Durante gli ultimi mesi, i ricercatori INKY hanno osservato attacchi di phishing che sfruttavano il reindirizzamento aperto di snapchat[.]com. Gli aggressori hanno inviato 6.812 e-mail di phishing provenienti da vari account dirottati.
I messaggi di phishing che sfruttano il reindirizzamento aperto di Snapchat hanno impersonato DocuSign, FedEx e Microsoft e hanno portato a siti di destinazione progettati per raccogliere le credenziali Microsoft.
Gli esperti hanno segnalato la vulnerabilità di Snapchat all'azienda tramite la piattaforma Open Bug Bounty il 4 agosto 2022, ma il problema deve ancora essere affrontato. Al contrario American Express sembra aver già fronteggiato il problema con successo.
Alcuni aggressori sembrano aver abusato dei reindirizzamenti aperti sui siti Web di Snapchat e American Express nell'ambito di una campagna di phishing rivolta agli utenti di Microsoft 365.
Il reindirizzamento aperto si verifica quando un sito Web non convalida l'input dell'utente, consentendo agli aggressori di manipolare gli URL di domini ad alta reputazione per reindirizzare le vittime a siti dannosi.
Le vittime riterranno attendibile il collegamento perché il primo nome di dominio nel collegamento manipolato è un dominio attendibile come American Express e Snapchat.
Durante gli ultimi mesi, i ricercatori INKY hanno osservato attacchi di phishing che sfruttavano il reindirizzamento aperto di snapchat[.]com. Gli aggressori hanno inviato 6.812 e-mail di phishing provenienti da vari account dirottati.
I messaggi di phishing che sfruttano il reindirizzamento aperto di Snapchat hanno impersonato DocuSign, FedEx e Microsoft e hanno portato a siti di destinazione progettati per raccogliere le credenziali Microsoft.
Gli esperti hanno segnalato la vulnerabilità di Snapchat all'azienda tramite la piattaforma Open Bug Bounty il 4 agosto 2022, ma il problema deve ancora essere affrontato. Al contrario American Express sembra aver già fronteggiato il problema con successo.
🌐 Twitter: confermato lo zero-day
Alla fine di luglio, un attore di minacce ha fatto trapelare i dati di 5,4 milioni di account Twitter ottenuti sfruttando una vulnerabilità che ormai sembrava risolta nella popolare piattaforma di social media.
L'attore della minaccia ha offerto in vendita i dati rubati sul popolare forum di hacking Breached Forums.
Nei mesi scorsi, un report pubblicato su Hacker rivendicava la scoperta di una vulnerabilità che può essere sfruttata da un utente malintenzionato per trovare un account Twitter tramite il numero di telefono/e-mail associato, anche se l'utente ha scelto di impedirlo nelle opzioni sulla privacy.
Il venditore ha affermato che il database conteneva dati (ad esempio e-mail, numeri di telefono) di utenti che possono essere impieganti anche in celebri aziende. Il venditore ha anche condiviso un campione di dati sotto forma di file CSV.
Il venditore ha detto a RestorePrivacy che sta chiedendo almeno $ 30.000 per l'intero database.
Ora Twitter ha confermato che la violazione dei dati è stata causata dalla vulnerabilità zero-day ora corretta.
La società sta informando gli utenti interessati, ha anche aggiunto di essere consapevole dei rischi causati dalla violazione della sicurezza per quegli utenti che gestiscono un account Twitter pseudonimo per proteggere la propria privacy.
La società ha sottolineato che nessuna password è stata esposta, ma incoraggia i suoi utenti ad abilitare l’autenticazione a due fattori utilizzando app di autenticazione o chiavi di sicurezza hardware per proteggere i propri account da accessi non autorizzati.
Alla fine di luglio, un attore di minacce ha fatto trapelare i dati di 5,4 milioni di account Twitter ottenuti sfruttando una vulnerabilità che ormai sembrava risolta nella popolare piattaforma di social media.
L'attore della minaccia ha offerto in vendita i dati rubati sul popolare forum di hacking Breached Forums.
Nei mesi scorsi, un report pubblicato su Hacker rivendicava la scoperta di una vulnerabilità che può essere sfruttata da un utente malintenzionato per trovare un account Twitter tramite il numero di telefono/e-mail associato, anche se l'utente ha scelto di impedirlo nelle opzioni sulla privacy.
Il venditore ha affermato che il database conteneva dati (ad esempio e-mail, numeri di telefono) di utenti che possono essere impieganti anche in celebri aziende. Il venditore ha anche condiviso un campione di dati sotto forma di file CSV.
Il venditore ha detto a RestorePrivacy che sta chiedendo almeno $ 30.000 per l'intero database.
Ora Twitter ha confermato che la violazione dei dati è stata causata dalla vulnerabilità zero-day ora corretta.
La società sta informando gli utenti interessati, ha anche aggiunto di essere consapevole dei rischi causati dalla violazione della sicurezza per quegli utenti che gestiscono un account Twitter pseudonimo per proteggere la propria privacy.
La società ha sottolineato che nessuna password è stata esposta, ma incoraggia i suoi utenti ad abilitare l’autenticazione a due fattori utilizzando app di autenticazione o chiavi di sicurezza hardware per proteggere i propri account da accessi non autorizzati.
💸 Restituiti 32,6 milioni di dollari a Nomad bridge
La scorsa settimana, poche ore dopo la pubblicazione da parte di Nomad bridge di un indirizzo wallet Ethereum per la restituzione dei fondi a seguito dell'hacking da 190 milioni di dollari, gli hacker whitehat hanno restituito circa 32,6 milioni di dollari.
La maggior parte dei fondi consisteva in stablecoin come USDC (USDC), Tether (USDT) e Frax, oltre ad altcoin.
Non appena l'exploit è stato scoperto, molti utenti si sono uniti all'attacco copiando la transazione di hacking iniziale, attuando qualcosa di simile ad una rapina decentralizzata. In meno di tre ore sono stati sottratti a Nomad oltre 190 milioni di dollari in criptovalute.
Secondo quanto riferito da Hoffman, l'attacco ha sfruttato un Merkle root erroneamente inizializzato, utilizzato nelle criptovalute per garantire che i blocchi di dati inviati attraverso una rete peer-to-peer siano interi e inalterati. Un errore di programmazione ha di fatto permesso di validare qualsiasi transazione.
Tuttavia, non tutti i partecipanti alla rapina hanno sfruttato l'opportunità.
Al contrario, un hacker avrebbe utilizzato il proprio Ethereum Domain Name per riciclare i fondi rubati, con la possibilità di una verifica incrociata con le informazioni Know-Your-Customer utilizzate dal dominio.
La scorsa settimana, poche ore dopo la pubblicazione da parte di Nomad bridge di un indirizzo wallet Ethereum per la restituzione dei fondi a seguito dell'hacking da 190 milioni di dollari, gli hacker whitehat hanno restituito circa 32,6 milioni di dollari.
La maggior parte dei fondi consisteva in stablecoin come USDC (USDC), Tether (USDT) e Frax, oltre ad altcoin.
Non appena l'exploit è stato scoperto, molti utenti si sono uniti all'attacco copiando la transazione di hacking iniziale, attuando qualcosa di simile ad una rapina decentralizzata. In meno di tre ore sono stati sottratti a Nomad oltre 190 milioni di dollari in criptovalute.
Secondo quanto riferito da Hoffman, l'attacco ha sfruttato un Merkle root erroneamente inizializzato, utilizzato nelle criptovalute per garantire che i blocchi di dati inviati attraverso una rete peer-to-peer siano interi e inalterati. Un errore di programmazione ha di fatto permesso di validare qualsiasi transazione.
Tuttavia, non tutti i partecipanti alla rapina hanno sfruttato l'opportunità.
Al contrario, un hacker avrebbe utilizzato il proprio Ethereum Domain Name per riciclare i fondi rubati, con la possibilità di una verifica incrociata con le informazioni Know-Your-Customer utilizzate dal dominio.
🐧 Ulyana lascia spazio a Vanessa: pronto Linux Mint 21
Dal 31 Luglio di quest'anno è approdato Linux Mint 21, alias Vanessa. Andrà a sostituire Linux Mint 20, rilasciato due anni fa con il nome in codice Ulyana.
La distribuzione è basata su un pacchetto base di Ubuntu 22.04 LTS (Long Term of Support)
Differisce da Ubuntu nell'organizzazione dell'interfaccia utente e nella selezione delle applicazioni usate di default.
Il desktop è messo a punto per coloro che poco apprezzano le novità nei metodi di creazione dell'interfaccia dettate da GNOME 3, MATE 1.26 (2GB), Cinnamon 5.4 (2GB) e Xfce 4.16 (2GB).
Linux Mint 22 sarà aggiornato fino al 2027.
Dal 31 Luglio di quest'anno è approdato Linux Mint 21, alias Vanessa. Andrà a sostituire Linux Mint 20, rilasciato due anni fa con il nome in codice Ulyana.
La distribuzione è basata su un pacchetto base di Ubuntu 22.04 LTS (Long Term of Support)
Differisce da Ubuntu nell'organizzazione dell'interfaccia utente e nella selezione delle applicazioni usate di default.
Il desktop è messo a punto per coloro che poco apprezzano le novità nei metodi di creazione dell'interfaccia dettate da GNOME 3, MATE 1.26 (2GB), Cinnamon 5.4 (2GB) e Xfce 4.16 (2GB).
Linux Mint 22 sarà aggiornato fino al 2027.
⛔️ Sanzioni per USDC ed ETH collegati a Tornado Cash
Il Dipartimento del Tesoro degli Stati Uniti ha aggiunto diversi indirizzi crypto, presumibilmente collegati al controverso mixer Tornado Cash, all'elenco Specially Designated Nationals dell'Office of Foreign Asset Control, o OFAC.
In un annuncio dei giorni scorsi, l'OFAC ha di fatto vietato ai residenti negli Stati Uniti di utilizzare oltre 40 indirizzi USD Coin (USDC) e Ether (ETH) collegati a Tornado Cash.
Non è chiaro cosa abbia spinto il governo federale a procedere con questa azione di contrasto, ma il protocollo è di recente stato al centro di alcuni hack ed exploit nella finanza decentralizzata.
Fra questi un attacco da 375 milioni di dollari a Wormhole a febbraio, nonché un hack da 100 milioni su Horizon Bridge a giugno.
A luglio, Tornado Cash aveva annunciato di aver reso totalmente open-source il codice della propria interfaccia utente, nel tentativo di offrire una maggiore trasparenza e decentralizzazione.
Il Dipartimento del Tesoro degli Stati Uniti ha aggiunto diversi indirizzi crypto, presumibilmente collegati al controverso mixer Tornado Cash, all'elenco Specially Designated Nationals dell'Office of Foreign Asset Control, o OFAC.
In un annuncio dei giorni scorsi, l'OFAC ha di fatto vietato ai residenti negli Stati Uniti di utilizzare oltre 40 indirizzi USD Coin (USDC) e Ether (ETH) collegati a Tornado Cash.
Non è chiaro cosa abbia spinto il governo federale a procedere con questa azione di contrasto, ma il protocollo è di recente stato al centro di alcuni hack ed exploit nella finanza decentralizzata.
Fra questi un attacco da 375 milioni di dollari a Wormhole a febbraio, nonché un hack da 100 milioni su Horizon Bridge a giugno.
A luglio, Tornado Cash aveva annunciato di aver reso totalmente open-source il codice della propria interfaccia utente, nel tentativo di offrire una maggiore trasparenza e decentralizzazione.
👾 Cisco: violato da Yanluowang
Cisco ha rivelato una violazione della sicurezza: il gruppo ransomware Yanluowang ha violato la sua rete aziendale qualche tempo fa e ha rubato dati interni.
L'indagine condotta da Cisco Security Incident Response (CSIRT) e Cisco Talos ha rivelato che gli attori delle minacce hanno compromesso le credenziali di un dipendente Cisco dopo aver ottenuto il controllo di un account Google personale in cui venivano sincronizzate le credenziali salvate nel browser della vittima.
Una volta ottenute le credenziali, gli aggressori hanno lanciato attacchi di phishing vocale nel tentativo di indurre la vittima ad accettare la notifica push MFA avviata dall'attaccante.
Dopo aver ottenuto un'accettazione push MFA, l'attaccante ha avuto accesso alla VPN dell'utente preso di mira.
Secondo Talos, una volta ottenuto l'accesso iniziale, l'attaccante ha registrato una serie di nuovi dispositivi per l'autenticazione a più fattori e si è autenticato con successo alla VPN Cisco. Quindi gli attori delle minacce sono passati ai privilegi di amministratori prima di accedere a più sistemi. Gli aggressori sono stati in grado di rilasciare più strumenti nella rete di destinazione, inclusi strumenti di accesso remoto come LogMeIn e TeamViewer, Cobalt Strike, PowerSploit, Mimikatz e Impacket.
Il gruppo ransomware Yanluowang sta tentando di estorcere la società e ha pubblicato un elenco di file rubati alla società che minacciano di far trapelare tutti i dati rubati se Cisco non pagherà il riscatto.
Cisco ha rivelato una violazione della sicurezza: il gruppo ransomware Yanluowang ha violato la sua rete aziendale qualche tempo fa e ha rubato dati interni.
L'indagine condotta da Cisco Security Incident Response (CSIRT) e Cisco Talos ha rivelato che gli attori delle minacce hanno compromesso le credenziali di un dipendente Cisco dopo aver ottenuto il controllo di un account Google personale in cui venivano sincronizzate le credenziali salvate nel browser della vittima.
Una volta ottenute le credenziali, gli aggressori hanno lanciato attacchi di phishing vocale nel tentativo di indurre la vittima ad accettare la notifica push MFA avviata dall'attaccante.
Dopo aver ottenuto un'accettazione push MFA, l'attaccante ha avuto accesso alla VPN dell'utente preso di mira.
Secondo Talos, una volta ottenuto l'accesso iniziale, l'attaccante ha registrato una serie di nuovi dispositivi per l'autenticazione a più fattori e si è autenticato con successo alla VPN Cisco. Quindi gli attori delle minacce sono passati ai privilegi di amministratori prima di accedere a più sistemi. Gli aggressori sono stati in grado di rilasciare più strumenti nella rete di destinazione, inclusi strumenti di accesso remoto come LogMeIn e TeamViewer, Cobalt Strike, PowerSploit, Mimikatz e Impacket.
Il gruppo ransomware Yanluowang sta tentando di estorcere la società e ha pubblicato un elenco di file rubati alla società che minacciano di far trapelare tutti i dati rubati se Cisco non pagherà il riscatto.
🇺🇦 Ucraina presa di mira da Gamaredon APT
Il gruppo APT Gmaredon legato alla Russia (alias Shuckworm, Actinium, Armageddon, Primitive Bear e Trident Ursa) prende di mira le entità ucraine con il malware PowerShell Info-stealer soprannominato GammaLoad, fa sapere Symantec.
Il Computer Emergency Response Team of Ukraine (CERT-UA) ha confermato la campagna di cyber spionaggio in corso.
Symantec e TrendMicro hanno scoperto per la prima volta il gruppo Gamaredon nel 2015, ma le prove delle sue attività risalgono al 2013. Il gruppo ha preso di mira organizzazioni governative e militari in Ucraina. La recente ondata di attacchi è iniziata il 15 luglio ed è proseguita fino all'8 agosto 2022.
Gli attacchi iniziano con messaggi di spear-phishing che utilizzano un file 7-Zip autoestraente, che è stato scaricato tramite il browser predefinito del sistema. Il payload finale distribuito dagli aggressori è un malware ladro di PowerShell denominato GammaLoad.PS1_v2.
In alcuni casi, gli aggressori hanno anche consegnato due backdoor chiamate Giddome e Pterodo, che sono note per far parte dell'arsenale Gamaredon.
Il gruppo APT Gmaredon legato alla Russia (alias Shuckworm, Actinium, Armageddon, Primitive Bear e Trident Ursa) prende di mira le entità ucraine con il malware PowerShell Info-stealer soprannominato GammaLoad, fa sapere Symantec.
Il Computer Emergency Response Team of Ukraine (CERT-UA) ha confermato la campagna di cyber spionaggio in corso.
Symantec e TrendMicro hanno scoperto per la prima volta il gruppo Gamaredon nel 2015, ma le prove delle sue attività risalgono al 2013. Il gruppo ha preso di mira organizzazioni governative e militari in Ucraina. La recente ondata di attacchi è iniziata il 15 luglio ed è proseguita fino all'8 agosto 2022.
Gli attacchi iniziano con messaggi di spear-phishing che utilizzano un file 7-Zip autoestraente, che è stato scaricato tramite il browser predefinito del sistema. Il payload finale distribuito dagli aggressori è un malware ladro di PowerShell denominato GammaLoad.PS1_v2.
In alcuni casi, gli aggressori hanno anche consegnato due backdoor chiamate Giddome e Pterodo, che sono note per far parte dell'arsenale Gamaredon.
🌐 Pacchetto PyPI: fornisce malware Linux senza file
I ricercatori di Sonatype hanno scoperto un nuovo pacchetto PyPI chiamato secretslib che rilascia cryptominer senza file nella memoria dei sistemi di macchine Linux.
Il pacchetto preleva un eseguibile Linux da un server remoto e lo esegue per rilasciare un file ELF (memfd) direttamente in memoria. È un minatore di criptovalute Monero probabilmente creato tramite la chiamata di sistema memfed create.
Questo sistema consente ai programmatori di rilasciare file “anonimi” nella RAM invece di scrivere i file su disco. Poiché il passaggio intermedio dell'output del file dannoso sul disco rigido viene saltato, potrebbe non essere così facile per i prodotti antivirus rilevare in modo proattivo il malware senza file, che risiede nella memoria volatile di un sistema, sebbene l'operazione non sia certamente impossibile.
Inoltre, dal momento che il pacchetto secretslib elimina 'tox' non appena viene eseguito e il codice di cryptomining iniettato da 'tox' risiede all'interno della memoria volatile (RAM) del sistema rispetto al disco rigido, l'attività dannosa lascia poco o nessun impronta ed è abbastanza invisibile in senso forense.
È interessante notare che gli attori delle minacce dietro il "secretslib" hanno utilizzato il nome di un ingegnere che lavora per l'Argonne National Laboratory, un laboratorio di ricerca scientifica e ingegneristica con sede nell'Illinois gestito da UChicago Argonne LLC per il Dipartimento dell'Energia degli Stati Uniti .
I ricercatori di Sonatype hanno scoperto un nuovo pacchetto PyPI chiamato secretslib che rilascia cryptominer senza file nella memoria dei sistemi di macchine Linux.
Il pacchetto preleva un eseguibile Linux da un server remoto e lo esegue per rilasciare un file ELF (memfd) direttamente in memoria. È un minatore di criptovalute Monero probabilmente creato tramite la chiamata di sistema memfed create.
Questo sistema consente ai programmatori di rilasciare file “anonimi” nella RAM invece di scrivere i file su disco. Poiché il passaggio intermedio dell'output del file dannoso sul disco rigido viene saltato, potrebbe non essere così facile per i prodotti antivirus rilevare in modo proattivo il malware senza file, che risiede nella memoria volatile di un sistema, sebbene l'operazione non sia certamente impossibile.
Inoltre, dal momento che il pacchetto secretslib elimina 'tox' non appena viene eseguito e il codice di cryptomining iniettato da 'tox' risiede all'interno della memoria volatile (RAM) del sistema rispetto al disco rigido, l'attività dannosa lascia poco o nessun impronta ed è abbastanza invisibile in senso forense.
È interessante notare che gli attori delle minacce dietro il "secretslib" hanno utilizzato il nome di un ingegnere che lavora per l'Argonne National Laboratory, un laboratorio di ricerca scientifica e ingegneristica con sede nell'Illinois gestito da UChicago Argonne LLC per il Dipartimento dell'Energia degli Stati Uniti .
🛰 Il collettivo Shadytel ha hackerato un satellite
Un satellite è stato dapprima dirottato, poi utilizzato per trasmettere un film.
A mostrare ciò è stato proprio il gruppo Shadytel alla conferenza di hacking Def Con, a Las Vegas.
Afferma inoltre che il satellite era ormai dismesso dal 2020 ed era gestito da Telesat Canada.
Shadytel ha utilizzato Hack RF: un'apparecchiatura dal valore di 300 dollari in grado di connettersi con il satellite Anik F1R.
Avendo dalla loro l'accesso ad una struttura di upling ormai abbandonata, gli hacker hanno essenzialmente "giocato" con un satellite in orbita geostazionaria a circa 35.786 km sopra la Terra.
Non è stato arrecato alcun danno alla rete o al satellite dismesso, tuttavia alla conferenza è stato dimostrato quanto devastanti possano essere gli hack sui satelliti.
Un satellite è stato dapprima dirottato, poi utilizzato per trasmettere un film.
A mostrare ciò è stato proprio il gruppo Shadytel alla conferenza di hacking Def Con, a Las Vegas.
Afferma inoltre che il satellite era ormai dismesso dal 2020 ed era gestito da Telesat Canada.
Shadytel ha utilizzato Hack RF: un'apparecchiatura dal valore di 300 dollari in grado di connettersi con il satellite Anik F1R.
Avendo dalla loro l'accesso ad una struttura di upling ormai abbandonata, gli hacker hanno essenzialmente "giocato" con un satellite in orbita geostazionaria a circa 35.786 km sopra la Terra.
“I satelliti fondamentalmente riflettono semplicemente qualsiasi segnale venga loro inviato." spiega Karl Kosher, membro di Shadytel.“Se sei abbastanza forte e se c’è un altro utente su quel transponder, devi gridare più forte di loro, ma se non c’è nessuno lì, il satellite lo ripeterà semplicemente.”
Alla conferenza di Las Vegas è stato presentato un ulteriore Hack sui satelliti. Un ricercatore di sicurezza belga difatti è riuscito ad accedere alla rete internet di SpaceX utilizzando un circuito stampato fatto a mano.Non è stato arrecato alcun danno alla rete o al satellite dismesso, tuttavia alla conferenza è stato dimostrato quanto devastanti possano essere gli hack sui satelliti.
👾 Escanor Malware fornito in documenti Microsoft Office
Resecurity, una società di sicurezza informatica con sede a Los Angeles che protegge Fortune 500 in tutto il mondo, ha identificato un nuovo RAT (Remote Administration Tool) pubblicizzato su Dark Web e Telegram chiamato Escanor.
Lo strumento è stato messo in vendita il 26 gennaio di quest'anno inizialmente come impianto HVNC compatto che consente di stabilire una connessione remota silenziosa al computer della vittima, e successivamente trasformato in un RAT commerciale su vasta scala con un ricco set di funzionalità.
Escanor ha attirato oltre 28.000 abbonati sul canale Telegram.
La versione mobile di Escanor (nota anche come "Esca RAT") viene utilizzata attivamente dai criminali informatici per attaccare i clienti delle banche online mediante l'intercettazione di codici OTP. Lo strumento può essere utilizzato anche per raccogliere le coordinate GPS della vittima, monitorare i tasti premuti, attivare telecamere nascoste e sfogliare i file sui dispositivi mobili remoti per rubare dati.
La maggior parte delle vittime infettate da Escanor è stata identificata negli Stati Uniti, Canada, Emirati Arabi Uniti, Arabia Saudita, Kuwait, Bahrain, Egitto, Israele, Messico e Singapore con alcune infezioni nel sud-est asiatico.
Resecurity, una società di sicurezza informatica con sede a Los Angeles che protegge Fortune 500 in tutto il mondo, ha identificato un nuovo RAT (Remote Administration Tool) pubblicizzato su Dark Web e Telegram chiamato Escanor.
Lo strumento è stato messo in vendita il 26 gennaio di quest'anno inizialmente come impianto HVNC compatto che consente di stabilire una connessione remota silenziosa al computer della vittima, e successivamente trasformato in un RAT commerciale su vasta scala con un ricco set di funzionalità.
Escanor ha attirato oltre 28.000 abbonati sul canale Telegram.
La versione mobile di Escanor (nota anche come "Esca RAT") viene utilizzata attivamente dai criminali informatici per attaccare i clienti delle banche online mediante l'intercettazione di codici OTP. Lo strumento può essere utilizzato anche per raccogliere le coordinate GPS della vittima, monitorare i tasti premuti, attivare telecamere nascoste e sfogliare i file sui dispositivi mobili remoti per rubare dati.
La maggior parte delle vittime infettate da Escanor è stata identificata negli Stati Uniti, Canada, Emirati Arabi Uniti, Arabia Saudita, Kuwait, Bahrain, Egitto, Israele, Messico e Singapore con alcune infezioni nel sud-est asiatico.
🪙 Hacker: sfruttato bug per rubare dagli ATM Bitcoin di General Bytes
Nei giorni scorsi il produttore di ATM Bitcoin General Bytes ha subito un attacco zero-day che ha permesso agli hacker di diventare amministratori di default e di modificare le impostazioni in modo che tutti i fondi venissero trasferiti ai loro portafogli.
L'ammontare dei fondi rubati e il numero di bancomat compromessi non sono stati resi noti, ma l'azienda ha consigliato agli operatori di ATM di aggiornare il proprio software con la massima urgenza.
La vulnerabilità risulta presente da quando le modifiche apportate dall'hacker hanno aggiornato il software CAS alla versione 20201208 il 18 agosto.
General Bytes ha invitato i clienti ad evitare di utilizzare i loro server ATM fino a quando non aggiorneranno i loro server alla patch 20220725.22 e 20220531.38 per i clienti che utilizzano la versione 20220531.
"
Nei giorni scorsi il produttore di ATM Bitcoin General Bytes ha subito un attacco zero-day che ha permesso agli hacker di diventare amministratori di default e di modificare le impostazioni in modo che tutti i fondi venissero trasferiti ai loro portafogli.
L'ammontare dei fondi rubati e il numero di bancomat compromessi non sono stati resi noti, ma l'azienda ha consigliato agli operatori di ATM di aggiornare il proprio software con la massima urgenza.
La vulnerabilità risulta presente da quando le modifiche apportate dall'hacker hanno aggiornato il software CAS alla versione 20201208 il 18 agosto.
General Bytes ha invitato i clienti ad evitare di utilizzare i loro server ATM fino a quando non aggiorneranno i loro server alla patch 20220725.22 e 20220531.38 per i clienti che utilizzano la versione 20220531.
"
L'utente malintenzionato è stato in grado di creare un utente amministratore in remoto tramite l'interfaccia amministrativa CAS, grazie a una chiamata URL sulla pagina utilizzata per l'installazione predefinita sul server e la creazione del primo utente di amministrazione", dichiara l’azienda.