Non c’è pace per Google Chrome. 

Abbiamo appena finito di descrivere una vulnerabilità zero-day nei suoi confronti che già un’altra è stata rilevata e sanata. 

Ancora una volta la vulnerabilità è risultata attivamente sfruttata in precedenza alla scoperta, confermando quanto dicevamo sulla pericolosità di certe minacce. 

In questo caso si tratta di una vulnerabilità che colpisce qualcosa di maggiormente sfruttato in tutti i campi di utilizzo del noto browser, ossia la componente open source che è il cuore delle forme moderne del web, ossia il motore JavaScript V8. 

L’essere open source di questa componente fallace porta guai naturalmente anche a tutti gli altri browser della ormai ampia famiglia Chromium (come Edge di Microsoft e l’omonimo browser in Linux). 

La

Quando si parla di zero-day si fraintendono molte cose. Zero-day è il termine con cui viene denotato una nuova vulnerabilità, un nuovo attacco, una nuova minaccia non precedentemente nota, ma questo non significa “non precedentemente attiva”. 

Il termine zero-day nasce da lontano, nel mondo del warez, della cosiddetta “pirateria informatica dei software”, in cui i “giorni” (day) erano il metro di valutazione della “freschezza”, della “qualità” dell’oggetto piratato, in genere un software di qualche produttore ben in vista: zero-day significava “fresco di giornata” e pertanto molto appetibile. Oggi il termine ha il medesimo significato di “freschezza”, ma indica solo la conoscenza, non la disponibilità, perché questa è già nelle mani degli agenti di minaccia che ne abbiano determinato l’essenza, ovvero la possibilità di

Il Male assoluto della Violenza, della Guerra, della Sopraffazione dell’uomo sull’uomo si è riaffacciato nuovamente in Europa, o meglio non si è mai allontanato da questa, come molti ingenuamente ritenevano sotto la confortante coperta della UE: hanno forse tutti dimenticato Budapest (1956), Praga (1968), le guerre nei Balcani (1991-1999, dalla Croazia fino al Kosovo), e la mai sopita “guerra del Donbass” (2014 con la annessione unilaterale della Crimea da parte della Russia, quasi esatta ripetizione di quanto portò alla Guerra di Crimea del 1853-1856), all’origine dei nuovi orrori dei giorni odierni. 

Non possiamo quindi stupirci che ancora esista una spaccatura del mondo (ideologica più che economica) che discende ancora da Jalta (guarda il caso in Crimea, 1945), tra regimi (democratici e no) eredi della struttura governativa, territoriale o anche solo ideologica dei protagonisti dell’epoca. E di “blocchi contrapposti” si è sempre quindi trattato, anche se sotto le ceneri create dalla Globalizzazione che ha fatto “tutti uguali” solo davanti al WTO. 

Non ci si è mai meravigliati tanto quindi che gli APT parlassero russo o mandarino. I russofoni, in particolare, sono sempre stati considerati gli hacker “proverbiali”. Forse li si riteneva monolitici, ma in realtà non lo sono mai stati; e i fatti di questi giorni stanno a dimostrarlo, cambiando, radicalizzando, precipitando le alchimie di questi gruppi di minacce. 

Secondo un rapporto di Cyber Threat Inteligence di Accenture (ACTI, “UPDATED-ACTI-Global-Incident-Report-Ideological-Divide-Blog-14MARCH22.pdf”) le questioni ideologiche stanno prendendo il sopravvento sulla struttura e le motivazioni delle crew delle minacce cyber, creando spaccature e affiliazioni. 

Chi è filo-ucraino si rifiuta di fare affari o semplicemente collaborare con quelli filo-russi, dispiegando le loro forze contro obiettivi russi; chi è filo-russo (es. membri dei collettivi Conti Team, LockBit, CoomingProject), ovviamente, si schiera dalla parte opposta, in più con comportamenti tipici dell’hacktivismo (che non gli erano propri) contro obiettivi anche occidentali (“nemici della Russia”). 

Che i forum di minaccia cyber più importanti al mondo parlassero russo non è mai stato un mistero: il linguaggio comune, l’allineamento culturale e anche politico hanno

L’uso del kernel Linux nell’implementazione di differenti soluzioni hardware non è una novità, anzi è ormai una consuetudine che avvantaggia i produttori nell’abbattere i costi di sviluppo del software di base delle loro soluzioni. 

Ovviamente questo allarga la platea degli utilizzatori di Linux “a loro insaputa” (più o meno): i dispositivi Android, ad esempio, sono una di queste soluzioni, ma anche i prodotti per lo storage di massa come il blasonato marchio QNAP, così come tanti altri prodotti IoT. Non c’è da stare tranquilli quindi quando si disponga di queste soluzioni, in quanto il ciclo di aggiornamenti differisce (a volte anche fortemente) con i rilasci correttivi che avvengono a livello di sviluppo del Kernel (in mano a Torvalds): i motivi sono di semplice packaging e distribuzione, o nei casi più estremi, di obsolescenza del prodotto che non prevede quindi ulteriori aggiornamenti dalla casa madre. 

D’altronde c’è da considerare, nella valutazione del rischio, anche l’ampia platea di implementazioni software che si basano su tecnologia Linux, come moltissimi servizi Web su Internet e soprattutto molti servizi cloud. 

Quindi, quando Linux ha un problema, molti hanno un problema. 

L’ultimo che è saltato fuori nel panorama Linux è la vulnerabilità a livello kernel denominata “Dirty Pipe” (per il coinvolgimento del sistema di comunicazione inter processo dei sistemi Unix in questa vulnerabilità) e censita con CVE-2022-0847 (con un base score 7.8, quindi considerata molto seria). Questo difetto può consentire ad un utente non privilegiato di ottenere privilegi superiori nel seguente modo: creando una pipe su cui ha permessi di scrittura, l’attaccante, confondendo il kernel, fa credere a questo che la pipe in questione sia invece un file su cui in effetti non avrebbe permessi di scrittura, ed in questo modo ottenendoli. Questo può naturalmente aumentare i privilegi dell’attaccante sul sistema. 

Le versioni kernel interessate sono le successive alla 5.8, quindi sono esenti le precedenti. In particolare il difetto è stato già corretto nelle versioni 5.16.11, 5.15.25 e 5.10.102 che

Mentre il mondo dell’hacking underground si riposiziona nel campo delle minacce persistenti per via di spinte nazionaliste che soffiano su di loro a seguito degli accadimenti ucraini e ne infiammano strategie e motivazioni, altre minacce non mutano la loro presenza e aggressività. 

È il caso della botnet Qakbot, il trojan bancario visto per la prima volta nel 2007 e divenuto ben presto uno dei più diffusi. Oggi, se possibile, ha aumentato la sua pericolosità, prendendo questa volta di mira thread di posta elettronica per distribuire DLL dannose con lo scopo di potenziare la botnet principale con i nuovi zombie aggiunti. 

Questa volta l’attacco, analizzato dai ricercatori di Sophos, parte dal dirottamento dei messaggi di una discussione di posta elettronica grazie ad errate risposte alla stessa, messaggi dannosi che includono una breve frase e un collegamento (nella ultima campagna l’URL presentava frasi latine, considerato così un IoC della minaccia) per scaricare un file zip contenente un foglio di calcolo Excel dannoso. Il messaggio è lì per stimolare la vittima ad “abilitare il contenuto”, in quanto, è situazione comune, altrimenti le macro nel foglio di calcolo non verrebbero attivate. Ma come sappiamo, quello che non dovrebbe essere fatto verrà fatto. 

Così inizia la catena delle infezioni, ed il primo payload inizia a raccogliere da subito una ampia gamma di informazioni sul profilo delle macchine infette, compreso account utente e autorizzazioni, software istallati, servizi in esecuzione e altro. 

Finito il gathering, sempre il payload scarica dalle C2, per accrescere la potenza di fuoco, altri moduli malevoli (almeno tre). Questi vengono iniettati nel browser come DLL per differenti finalità: uno per il furto delle password nelle pagine del web, uno per la scansione della rete (e raccogliere informazioni sulle macchine nel perimetro), e l’ultimo per identificare i server di posta elettronica SMTP e provarne la connessione, con il conseguente invio di spam. 

La struttura Qakbot è stata sempre modulare, e, sul cuore principale dedito al furto di credenziali e altre informazioni, da sempre ha acquisito tante altre funzionalità: spiare operazioni finanziarie, diffondere e

La metafora della pesca viene usata spesso anche nel parlare comune quando si indica la condizione di cadere in un inganno, dallo scherzo più innocente fino alla truffa più complessa: diciamo “abboccare” o “essere presi all’amo”, e naturalmente nessuno di noi si immagina fisicamente nei panni di un pesce. Questa metafora è ovviamente universale quanto l’attività umana della pesca, di pesci intendo, pertanto è stato del tutto naturale utilizzarla, da parte degli anglofoni, nell’indicare anche una specifica forma di truffe informatiche, sebbene trasformando il fishing (pesca) in phishing, con un gioco di suoni facile in inglese (ma difficilmente riproducibile in altre lingue), per denotarne l’origine difforme dalla attività di pesca vera e propria. In italiano formule idonee che potessero avere medesimo significato laterale o gioco di suoni non erano possibili, pertanto abbiamo scelto di adottare il termine senza produrne una traduzione, e dunque il termine risulta sfuggente a chi non è pratico di lingua inglese. 

Semplicemente, nel phishing i pesci siamo noi ed il mare è Internet: ecco il senso di tutta la metafora. 

Il phishing è dunque una truffa, una truffa che, pur portata avanti attraverso strumenti informatici ed in particolare tramite la posta elettronica, ha sempre gli stessi caratteri necessari in una truffa. Il truffatore deve di dissimulare i suoi intenti, attirare la vittima e condizionarla ad agire in modo tale che la truffa abbia luogo, qualsiasi sia lo scopo finale. Il phisher (il truffatore, o meglio il “pescatore”, se continuiamo nella metafora) deve ingannare, pertanto il contenuto dei messaggi saranno coerenti con l’identità (es. filiale della banca, un ente previdenziale, ecc) impersonata dal truffatore per rendere credibile il dialogo con la vittima, ma soprattutto dovrà spingere la vittima ad agire, indicando una urgenza o una opportunità. Le azioni che la vittima deve compiere possono essere differenti secondo il progetto del phisher: possono andare dalla semplice apertura dell’allegato (che sarà un malware), al seguire collegamenti ipertestuali nel messaggio che portano verso siti altrettanto truffaldini e pericolosi. Spesso l’intento è di ottenere informazioni personali (di natura anagrafica, principalmente), e questo può essere richiesto in vari modi, ma ad oggi dovrebbe essere ben noto che

Ancora una volta una nuova forma di occultamento porta alla distribuzione di malware per il mondo mobile, ed in particolare per Android. La cosa più drammatica è che questo avviene attraverso lo store ufficiale, o meglio sotto il suo naso. A beneficiare di questa nuova strategia è ora il famigerato trojan bancario per Android già visto nel 2021, TeaBot, anche noto come Anatsa. 

Si tratta di un pericoloso malware bancario in grado di intercettare messaggi SMS e credenziali di accesso da utenti inconsapevoli (anche codici 2FA “rubato” dallo schermo del dispositivo), di propagarsi in rete (RAT) tramite lo streaming live dello schermo dei dispositivi (attivato a richiesta, quindi con la ignara “complicità” dell’utente). 

L’evoluzione della minaccia ha scelto come forma di distribuzione le cosiddette “applicazioni dropper” (applicazioni che non contengono il malware, ma il modo per portarlo nel dispositivo) attraverso il Google Play Store ufficiale, con un fortissimo aumento nell’ultimo periodo che ha elevato a 400 il numero delle applicazioni contaminate, tutte di natura bancaria, portafoglio di criptovaluta, assicurazioni e affine, tutto al fine di rendersi utili agli usi e necessità delle vittime designate. 

Infatti, tutto quanto è coerente con il profilo delle vittime può occultare questa minaccia, come è stato ad esempio per “QR Code Reader – Scanner App” (ha distribuito 17 varianti di TeaBot con più di 100000 download), “QR Scanner 2021”, “PDF Document Scanner” e “CryptoTracker”, oppure come l’ultimo caso scoperto, quella “QR Code & Barcode – Scanner” già scaricata più di 10000 volte che, con la classica struttura da dropper, attraverso una finta procedura di aggiornamento richiesta subito dopo la sua installazione attraverso un popup, incastra l’utente vittima facendogli scaricare il codice del malware. Quindi è evidente che il comportamento anomalo dell’utente è il migliore alleato degli agenti di minaccia: contrariamente alla normale prassi di aggiornamento attraverso il Google Play Store ufficiale, questa applicazione chiede di scaricare e installare una

L’immagine che abbiamo di un analista forense è quella del “poliziotto della scientifica” che con un pennellino spolvera una superficie a caccia di impronte digitali, scatta foto o recupera capelli e altri residui organici dal luogo di un delitto. Alternativamente abbiamo l’immagine del patologo legale che esamina il cadavere nella sala delle autopsie, analizza i risultati di prelievi e osservazioni. Vabbè è chiaro: questa ultima immagine non è molto accattivante. In tutti i casi abbiamo però chiaro il loro fine: scoprire cause e autori di un delitto. 

Ma se il crimine venisse commesso contro o mediante strumenti informatici? 

Certamente cambierebbero le forme e gli strumenti dell’indagine, ma anche in questo caso si avrebbero “armi del delitto”, “impronte digitali” ed in qualche circostanza anche dei “cadaveri ancora caldi”, naturalmente “a base silicio” e non “a base carbonio”, come si direbbe tra amanti della fantascienza: insomma, tutto ruoterebbe attorno e dentro i circuiti di un computer (e di altre sue componenti). Ecco il mondo della Computer Forensic. 

Probabilmente sarà pure una attività meno movimentata (sbilanciata maggiormente sull’attività in laboratorio che sul campo), e certamente sarà meno impressionante per i deboli di stomaco; quello che sicuramente non mostrerà cambiamenti è la sussistenza delle medesime motivazioni, procedure, e finalità, che anche nella analisi forense nell’ambito informatico hanno il loro spazio tra le tante conoscenze tecniche indiscutibilmente necessarie (come d’altronde nelle altre specializzazioni forensi). Queste conoscenze hanno inoltre necessità di crescere costantemente: un analista forense deve essere al passo con gli sviluppi tecnologici, avere familiarità quindi con tecnologie e prodotti differenti, deve conoscere i sistemi operativi in uso, deve capire di networking in maniera approfondita (l’ispezione del traffico in termini di protocollo è tra le sue armi segrete), deve capire e gestire componenti hardware, e tanto altro ancora. Il termine analista poi non

Il noto gruppo di minaccia avanzata persistente (APT) Lazarus non è nuovo ad attività di abuso della reputazione. 

Già nel passato, al pari di altre minacce persistenti, sfruttarono, in attività di phishing, società del calibro di Northrop Grumman e BAE Systems, spacciando false offerte di lavoro ai malcapitati, sfruttando (abusando del) la reputazione delle aziende impersonate per raggiungere le vittime e, naturalmente, abusando di loro. 

Si è trattato di vere e proprie frodi nel reclutamento: questa hanno tipicamente il solo intento di ottenere informazioni personali (dai dati anagrafici alle coordinate bancarie, ecc) delle vittime sfruttando la reputazione del mittente falsificato, in genere aziende grandi e famose. 

L’obiettivo del gruppo Lazarus si è spostato recentemente verso l’industria della difesa, con una nuova campagna che va all’attacco di aspiranti candidati a lavori legati al settore della difesa, ed in particolare impersonando, in questa ultima operazione rilevata da Qualys, la Lockheed Martin, società con base a Bethesda (Maryland, USA) legata come noto all'aeronautica statunitense. Lockheed Martin offre soluzioni di varia tecnologia militare, dai sistemi di missione all'esplorazione spaziale: si tratta quindi certamente di un “pesce grosso” (più di 65 miliardi di dollari di fatturato nel 2020 e oltre 100 mila dipendenti in tutto il mondo) che per il suo peso strategico è naturalmente obiettivo sensibile per tutti gli agenti di minaccia collegati a stati nazionali (come Lazarus con i suoi legami con la Corea del Nord). 

Le capacità del gruppo Lazarus sono tristemente note: il gruppo è sofisticato nelle strategie e motivato finanziariamente, e non

Di WordPress già abbiamo parlato l’ultima volta, inseguendo il momento, la cronaca di nuove vulnerabilità emergenti. 

Ma ora che il 2021 è alle spalle, è anche il momento di fare un consuntivo delle vulnerabilità nell’ecosistema WordPress che abbiamo già detto essere vasto e quindi importante. 

Avete in mente un evento significativo del 2021 che abbia attirato l’interesse dei più? Ebbene, mai quanto WordPress per gli agenti di minaccia: nel solo 2021 sono state segnalate 2.240 vulnerabilità di plug-in terze parti per WordPress, portanto a 10359 il numero delle vulnerabilità note per questo sistema (dalla sua nascita che risale al 2007). 

Si tratta di un incremento pari al 142% rispetto al 2020: se non è indice di interesse questo. 

La cosa può sembrare già di per sé allarmante considerando questo in termini numerici assoluti, ma quando si guarda anche alla qualità delle vulnerabilità, le cose, per quanto possibile, peggiorano ulteriormente: 7993 vulnerabilità, più di ¾, il 77% del totale posseggono un exploit pubblico, ossia un metodo, un software capace dello sfruttamento delle stesse. 

Ci sono altri numeri che aumentano l’agitazione degli addetti ai lavori. 

Di tutte le vulnerabilità note, 7592 (73%) sono sfruttabili da remoto contro le 2767 che lo sono altrimenti. Un altro indicatore significativo è esistenza di 4797 vulnerabilità (46% sul totale e 60% sulle 7993 vulnerabilità con exploit pubblico) che possiedono un exploit pubblico ma non sono state mai censite da un CVE ID. 

Questo è il dato più allarmante, in