Non si ferma lo sfruttamento di dispositivi IoT (Internet of Things) per la costituzione di botnet. 

Benché già nota e corretta dal vendor, una vulnerabilità consente ancora oggi l’assorbimento in una botnet di numerosi dispositivi ancora vulnerabili di prodotti NVR (Network Video Recorder) di Hikvision, un grande produttore di prodotti di videosorveglianza con base in Cina. 

La campagna è ancora molto attiva e viene portata avanti mediante una botnet derivazione della conosciutissima Mirai e nota con il nome di Moobot. 

Come rilevato dai ricercatori di FortiGuard Labs, la botnet di questa campagna sfrutta una vulnerabilità nota dei prodotti Hikvision (CVE-2021-36260) che consente l’esecuzione remota di codice (RCE), pertanto è ovvio che, come primo obiettivo dello sfruttamento della stessa, la prima azione applicata contro l’obiettivo sia quella di iniettare il malware Moobot stesso per la propagazione della botnet stessa. L’assimilazione è così avvenuta, ed il destino del dispositivo è così legato alla botnet. 

Moobot, abbiamo detto, è una variante di Mirai (storico malware open-source e potentissima botnet per IoT) con tracce del codice Satori (una delle varianti Mirai note), ma

Non bastava la minaccia reale? Ora la paura torna a correre anche nel cyberspazio. 

Ancora non è chiara la vera natura della nuova variante Omicron del SARS-CoV-2 (noto a tutti come COVID-19), che già si fa ben evidente la rinnovata virulenza degli agenti di minaccia che intendano sfruttare la pandemia e la paura che ne consegue per i loro sporchi affari. 

La pandemia è terreno di differenti scontri ideologici che tutti noi conosciamo, ma fuori dai riflettori dei canali mainstream è successo ben altro: con l’abilità che li contraddistingue e la facile debolezza di molti indotti dal senso di ansia che attanaglia il mondo, gli agenti di minaccia si sono fin da subito contraddistinti in ingegnose campagne di attacco a tema COVID-19, con tecniche classiche di ingegneria sociale. 

Già con l’arrivo dei primi vaccini non sono mancate campagne a tema, così come quando è stato lanciato il Covid Pass (per noi Green Pass). Si pensi che in soli 3 mesi a cavallo tra il 2020 e il 2021 si è avuto un incremento pari al 26% delle campagne a tema Covid (fonte Barracuda Networks) e oltre 290 domini pericolosi che

Le procedure di sviluppo software possono facilmente fallire nel garantire la qualità del prodotto quando si procede “in emergenza”, ossia per correre ai ripari rispetto a qualche anomalia riscontrata nel software, in special modo quando questa anomalia riguarda la sicurezza. 

Il fallimento è ancora più grave quando, per correggere un problema, se ne introduca un altro. 

È esattamente quello che è capitato a Microsoft lo scorso mese, quando è incappata in un simile errore durante la soluzione di un altro problema di sicurezza. In particolare le correzioni che si intendeva porre, pur correggendo il problema originale, hanno introdotto (con la patch rilasciata a novembre) un ulteriore problema di sicurezza relativamente al software Windows Installer, problema nel medesimo dominio ma non correlato al precedente bug risolto da Microsoft. Diciamo che la soluzione applicata al precedente problema non è stata semplicemente “di livello adeguato”. 

La vulnerabilità 0-Day derivante (ed il conseguente probabile exploit) in entrambi i casi si sono esplicitati in una possibilità di elevare il privilegio attraverso

Il panorama Android è variegato: la particolare licenza di questo sistema ha consentito a ciascun produttore di dispositivi mobile di costruire la propria isola felice, stringendo attorno a sé la propria clientela con servizi specifici. Tra questi anche gli store per la distribuzione di software (app). Per questo motivo, quando si parla di Android e dei software disponibili, non si può prescindere dall’esistenza di differenti canali di distribuzione. Questo risulta in una difficoltà evidente nel tracciare la presenza di malware nel panorama Android quando questi vengano diffusi mediante trojanizzazione della app diffuse via store: è necessario eseguire ricerche per ciascuno store (Google, Samsung, Huawei, ecc). 

Questa volta è toccato all’AppGallery di Huawei, non nuova a queste minacce (in aprile furono individuate applicazioni contenenti il trojan Joker, infettando più di 500 mila dispositivi): il malware in questo caso è stato denominato Android.Cynos.7.origin. 

Il nome deriva dal fatto che Android.Cynos.7.origin è una variante della piattaforma malware Cynos per la trojanizzazione delle app Android, già nota agli

Il sistema operativo mobile di Google, Android, negli ultimi anni ha raggiunto quella maturazione che ha consentito questo di tenere lontano la minaccia costituita dai malware con capacità di rooting. 

Questa capacità consente ad un malware di ottenere il privilegio amministrativo all’interno del sistema operativo, ossia concede autorizzazioni al malware che gli consentono di eseguire azioni, di modificare impostazioni e persino installare altro software (malware). In questo modo si arriva al cuore del sistema, e garantisce al malware (e quindi all’attaccante) un controllo assoluto. 

La pericolosità di questo tipo di malware è estrema: questo arsenale consente ad un agente di minaccia di condurre attacchi micidiali e mirati, in particolare godendo della capacità di violare le informazioni sensibili e/o la privacy della vittima arrivando alla sorveglianza della stessa (audio, video, GPS, ecc). 

È del tutto evidente che la ricerca di nuove opportunità per questa forma di minaccia non sia stata abbandonata. Pertanto il periodo di calma apparente non è stato

Lascereste la chiave di casa sotto lo zerbino? 

Probabilmente no, eppure avere una password debole per servizi online o per il proprio PC di casa (o al lavoro) è una operazione del tutto equivalente. Equivalente perché nel mondo digitale non è necessario possedere fisicamente la chiave di accesso, ma è sufficiente conoscerne il valore, lo scritto, insomma averne una “copia”, esattamente come potrebbe fare un ladro con un calco pur lasciando ancora lì, sotto lo zerbino, la vostra chiave, lasciandovi tranquilli e orgogliosi del nascondiglio “perfetto”. 

È naturale che il paragone non sia immediato per i più che si accostano al mondo digitale, ma ad oggi le grida di allarme sul rischio delle “password deboli” sono ormai quotidiane, e tutti questi messaggi dovrebbero aver raggiunto una qualche capacità di persuasione. Ed invece no. 

Ma cosa è una password debole? Una password debole è una password (ossia una parola che, in teoria, dovrebbe essere segreta, ossia conosciuta solo da noi) che un

È possibile sfruttare economicamente la paura?

Sembrerebbe proprio di sì.

La paura è questione irrazionale e può essere stimolata da false conoscenze, miti e quanto altro possa influenzare la psiche della vittima. Cosa c’è di meglio di infliggere paura utilizzando la cattiva fama derivante da esperienze negative altrui?

Facile, immediato, economico.

È quanto sta succedendo nel mondo dei blog costituiti su tecnologia WordPress: questa piattaforma CMS open-source è stata infatti presa di mira da agenti di minaccia che sfruttano la diffusa (ormai) paura dei ransomware, ovvero quella tipologia di malware che blocca l’accesso ai dati della vittima (mediante crittografia) pretendendo un riscatto (in crittovaluta) per lo sblocco (non sempre certo).

Abbiamo detto che attaccano “sfruttando la

Il mondo IoT è l’attuale frontiera per le scorribande degli agenti di minaccia. La struttura minima dei software che realizzano i servizi in questo dominio, l’immaturità o mancanza di aggiornamento dei software stessi, l’immaturità in termini di sicurezza di chi realizza e utilizza questi strumenti in azienda o in casa, rende questi (quando esposti su Internet) oggetti e soggetti di attacchi: soggetti quando utilizzati come strumenti (loro malgrado) per attacchi DDoS riflessi, oggetti, come in questo caso, quando consentono il loro controllo remoto ed eventuale assimilazione in una BotNet. 

Un esempio classico è il caso dei dispositivi IoT che adottino ancora Boa come servizio web per l’implementazione delle sue

Non è bastato il famigerato e controverso Pegasus dell’israeliano NSO Group (operativo anche contro attivisti ONG per conto di governi del medio oriente), ora un’altra e apparentemente più pericolosa minaccia si sta affacciando nel mondo mobile: è PhoneSpy.

La minaccia è già operativa; è stata vista infatti agire contro migliaia di utenti nella penisola sudcoreana. Per i ricercatori (Zlabs di Zimperium) non è chiaro quale sia l’agente di minaccia coinvolto nella campagna, così come non è chiaro il motivo di una simile concentrazione in un unico luogo, né quale possa essere la relazione tra le vittime coinvolte (se ve ne sia).

Certo

Un attacco di Spear Phishing è costato la bellezza di 55 milioni di dollari alla piattaforma di scambio decentralizzata (DeFi) che prende il nome di BZX. 

Gli attaccanti sono venuti in possesso di due chiavi private apparteneti ad al portafoglio di uno sviluppatore della piattaforma con attacco simile a quello sferrato ad “mgnr.io” 

Si tratta di un attacco di tipo spear phishing il cui payload è un documento word che una volta aperto, tramite una macro, installa una sorta di keylogger in grado di scovare la passphrase