Connect with us

Senza categoria

Vulnerabilità  in Microsoft Themes

Recentemente, Akamai ha identificato una vulnerabilità di spoofing in Microsoft Themes, designata come CVE-2024-21320 con un punteggio CVSS di 6,5.

Avatar

Pubblicato

il

Fin dall’epoca di Windows XP, Microsoft ha offerto varie opzioni di personalizzazione visiva, tra cui colori, caratteri e cursori, per rendere l’esperienza utente più piacevole. Per visualizzare i temi installati, basta fare clic destro sul desktop, selezionare Personalizza e quindi Temi. I file dei temi hanno l’estensione .theme e la documentazione è disponibile su MSDN.
Questa caratteristica, apparentemente innocua, può rivelarsi sede di vulnerabilità dannose. Nell’analisi del Patch Tuesday di settembre 2023, Akamai ha discusso brevemente l’impatto della vulnerabilità CVE-2023-38146. Inoltre, Akamai ha condotto test sui valori di un file di tema, scoprendo la mancanza di convalida di alcuni parametri. Sfruttando tale falla, è possibile eseguire un attacco con un’interazione dell’utente praticamente nulla. L’aggressore può sfruttare la vulnerabilità semplicemente facendo scaricare un file “.theme” sul computer della vittima. Quando l’utente visualizza il file in Explorer, vengono automaticamente inviati pacchetti di handshake Server Message Block (SMB) contenenti le credenziali al server dell’aggressore.
Questa vulnerabilità colpisce tutte le versioni di Windows, poiché i temi sono una funzionalità integrata nel sistema operativo. Microsoft ha risolto il problema nel Patch Tuesday di gennaio 2024, fornendo un file di prova del tema, un video di dimostrazione e diverse modalità per mitigare la vulnerabilità.

Akamai continuerà a monitorare queste e altre minacce e fornirà ulteriori informazioni non appena si presenteranno. Aggiornamenti in tempo reale su ulteriori ricerche sono disponibili sul canale Twitter di Akamai.

 

 

Leggi anche: “Akamai ha mitigato un attacco di tipo DDoS

*illustrazione articolo progettata da  Freepik

 

 

 


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

[wpdevart_facebook_comment curent_url="http://developers.facebook.com/docs/plugins/comments/" order_type="social" title_text="Facebook Comment" title_text_color="#000000" title_text_font_size="22" title_text_font_famely="monospace" title_text_position="left" width="100%" bg_color="#d4d4d4" animation_effect="random" count_of_comments="7" ]

Senza categoria

Hackerare un sito con l’IA

C’è chi l’ha fatto sfruttando le potenzialità di Chat GPT-4. Svelati tutti i retroscena

Avatar

Pubblicato

il

Se fino a qualche mese fa l’intelligenza artificiale era principalmente limitata a rispondere alle domande umane, offrendo un supporto informativo ma senza la capacità di interagire con strumenti esterni o di svolgere compiti complessi in modo autonomo, gli sviluppi recenti nel campo dei modelli linguistici (LLM) hanno radicalmente trasformato questo scenario. Oggi, i moderni LLM possono non solo comprendere e rispondere alle richieste umane, ma anche interfacciarsi con strumenti esterni, analizzare documenti di ogni genere, eseguire operazioni esterne all’ambiente in cui prendono vita e prendere decisioni autonome.

Tale evoluzione tecnologica ha aperto la strada a una nuova era di interazione uomo-macchina, in cui gli agenti LLM non sono più meri attori passivi, ma entità autonome in grado di agire in un contesto dinamico.
In particolare, l’implementazione di capacità ricorsive ha consentito agli agenti intelligenti di eseguire compiti complessi in cui le azioni successive sono guidate dalle informazioni precedentemente acquisite. Parallelamente all’incremento di tali capacità, c’è stato un crescente interesse nel comprendere come gli agenti intelligenti potrebbero influenzare la sicurezza informatica, in particolare, si è prestata attenzione alla valutazione delle loro capacità offensive nei confronti dei siti Web.
Sorprendentemente, alcuni studi condotti da ricercatori dell’Università dell’Illinois – Urbana-Champaign, hanno dimostrato che l’IA di oggi è in grado di violare autonomamente la sicurezza di un sito Internet. Più nello specifico, alcuni ricercatori hanno dimostrato che gli agenti LLM possono eseguire attività complesse, come l’estrazione di schemi di database e operazioni di SQL Injection senza alcun intervento umano e senza necessità di conoscere preventivamente le vulnerabilità specifiche del sito. Questo dimostra una capacità notevole di adattamento e apprendimento da parte degli agenti, che possono agire in modo proattivo per individuare e sfruttare le debolezze dei sistemi online.

 

GLI AGENTI

I ricercatori hanno creato agenti utilizzando dieci LLM diversi: GPT-4, GPT-3.5, OpenHermes-2.5-Mistral-7B, LLaMA-2 Chat (70B), LLaMA-2 Chat (13B), LLaMA-2 Chat (7B), Mixtral -8x7B Instruct, Mistral (7B) Instruct v0.2, Nous Hermes-2 Yi (34B) e OpenChat 3.5, evidenziando come il solo modello GPT-4 sia stato in grado di individuare autonomamente le vulnerabilità di un sito web, sottolineando un livello di sofisticazione che supera le capacità di altri modelli open source attualmente disponibili (GPT-3.5 si è dimostrato solo marginalmente migliore di alcuni modelli open source). Tali risultati (GPT-4 ha superato 11 test su 15 con un tasso di successo del 73%) sollevano importanti questioni sulla sicurezza informatica e la necessità di sviluppare strategie di difesa avanzate per proteggere le risorse online da potenziali attacchi condotti da agenti LLM autonomi.

 

COSA DICONO  GLI INQUIETANTI TEST

Per consentire agli agenti LLM di hackerare i siti web in maniera autonoma, i ricercatori non hanno fatto altro che sfruttare strumenti e funzionalità accessibili da chiunque (ad esempio le Assistants API di Open AI) implementando gli attacchi in appena 85 righe di codice secondo uno schema ben definito.

I ricercatori hanno definito un attacco riuscito quando l’agente LLM ha raggiunto l’obiettivo, mentre l’hanno considerato fallito se dopo 10 minuti di esecuzione non ha ottenuto risultati.

 

Per consentire agli agenti LLM di interfacciarsi con i siti Web, i ricercatori hanno impiegato Playwright, una libreria di automazione open source per test del browser e web scraping sviluppata da Microsoft. Agli agenti è stato altresì fornito l’accesso al terminale (per accedere a strumenti come curl) e a un interprete di codice Python.

Per far comprendere agli agenti le tecniche di hacking web sono stati “dati in pasto” agli stessi sei documenti – disponibili online – che coprono un’ampia gamma di tipologie d’attacchi web: un documento sull’hacking web in generale, due documenti sulle tecniche di SQL injection, due documenti su XSS (Cross-Site Scripting, una vulnerabilità che affligge siti web che impiegano un insufficiente controllo dell’input nei form) e un documento su SSRF (Server-Side Request Forgery, una vulnerabilità che consente a un aggressore di manipolare un server, instradandolo a compiere richieste non autorizzate verso risorse interne ed esterne). Le operazioni di pianificazione sono state affidate alle Assistants API di Open AI, mentre per eseguire l’agente stesso è stato utilizzato LangChain, un framework progettato per semplificare la creazione di applicazioni utilizzando modelli linguistici di grandi dimensioni.

Attenzione: precisiamo che…

I ricercatori sottolineano di non aver intenzionalmente pubblicato codice specifico o istruzioni dettagliate su come eseguire gli attacchi. Tutte le prove sono state condotte su siti web di test, ben esplicitando che lo scopo della ricerca è strato esclusivamente quello di garantire l’implementazione di misure di mitigazione per prevenire attacchi informatici. Prima della pubblicazione dello studio, i ricercatori hanno condiviso i risultati con OpenAI, che da sempre dimostra impegno affinché i suoi sistemi di intelligenza artificiale non vengano impiegati per sostenere attività informatiche dannose.

 

Leggi anche: “Database: la SQL la iniection è dietro l’angolo

 


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Senza categoria

Attacchi sempre più intelligenti!

Servizi di IA speciali come FraudGPT, XXXGPT e WolfGPT vengono utilizzati dai criminali informatici per creare attacchi sofisticati e analizzare informazioni rubate

Avatar

Pubblicato

il

Check Point® Software Technologies Ltd. evidenzia come l’intelligenza artificiale (IA), sebbene utile nella lotta contro il crimine informatico, venga anche sfruttata dagli hacker per scopi malevoli. Questa tendenza sta trasformando il panorama della criminalità organizzata.

Strumenti di IA come FraudGPT, XXXGPT e WolfGPT vengono utilizzati dai criminali informatici per creare attacchi sofisticati e analizzare informazioni rubate. FraudGPT, ad esempio, permette di generare identità false, email di phishing, malware e tecniche di ingegneria sociale, mentre XXXGPT genera codici RAT, spyware, ransomware e keylogger. WolfGPT, noto per la sua complessità, crea malware criptato, campagne di phishing, botnet e Trojan, ed è usato per attacchi mirati a POS e bancomat, nonché per il riciclaggio di denaro.

Questi strumenti dimostrano che i criminali informatici possono adattare l’IA per rendere gli attacchi più efficaci, facilitando il furto dei dati delle vittime. È, quindi, necessario ripensare le strategie di sicurezza informatica esistenti ed esaminare il quadro etico che regola lo sviluppo e l’utilizzo dell’IA“, sottolinea Oded Vanunu, Head of Vulnerability Research at Check Point Software Technologies.

 

Di seguito le principali attività da potenziare:

  1. Regolamentazione e legislazione sono le aree che devono essere prese in considerazione per l’introduzione di leggi e regolamenti forti, che sappiano controllare e supervisionare lo sviluppo e l’uso delle tecnologie di IA.
  2. Educazione: è fondamentale aumentare la consapevolezza del pubblico sui rischi associati all’IA e fornire strumenti e informazioni per proteggersi da frodi e abusi.
  3. Tecnologia: è necessario sviluppare sistemi e algoritmi di sicurezza avanzati in grado di rilevare e bloccare i servizi di IA pericolosi.
  4. Cooperazione internazionale: sarebbe auspicabile una stretta collaborazione tra governi, organizzazioni internazionali e aziende tecnologiche per creare standard e protocolli globali per lo sviluppo di IA sicure.

 

*illustrazione articolo progettata da  Freepik

 


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Senza categoria

Account Facebook presi di mira

Kaspersky ha individuato un nuovo schema di phishing che prende di mira gli account aziendali di Facebook

Avatar

Pubblicato

il

Quando si clicca sul link dell’e-mail di phishing, si accede a una vera pagina di Facebook che mostra un avviso simile, per poi essere reindirizzati a un sito di phishing con il marchio Meta, che riduce il tempo per risolvere il problema da 24 a 12 ore. Questo sito chiede inizialmente informazioni generiche, seguite da e-mail o numero di telefono e password dell’account. Gli aggressori utilizzano account Facebook compromessi per inviare queste notifiche, cambiando il nome e l’immagine del profilo dell’account per creare messaggi minacciosi, assicurando che le notifiche raggiungano i destinatari tramite l’infrastruttura di Facebook.

“Anche le notifiche che sembrano legittime e provengono da una fonte affidabile come Facebook possono essere ingannevoli. È fondamentale esaminare attentamente i link che vi vengono inviati, soprattutto quando si tratta di inserire dati o effettuare pagamenti. Questo può contribuire in modo significativo alla protezione degli account aziendali dagli attacchi di phishing“, ha commentato Andrey Kovtun, Security Expert di Kaspersky.

Ulteriori informazioni su questa truffa di Facebook sono disponibili su Kaspersky Daily.

 

Leggi anche: “Come individuare una truffa deepfake

 

*illustrazione articolo progettata da Freepik

 

 

 


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Senza categoria

Calcio da cyber-professionisti

Con l’avvicinarsi di UEFA Euro 2024™, le minacce informatiche per gli appassionati di sport sono in aumento. Questi eventi sono bersagli attraenti per i criminali informatici, soprattutto con la crescente digitalizzazione delle infrastrutture di streaming

Avatar

Pubblicato

il

A ridosso di uno dei maggiori eventi sportivi europei di quest’anno, UEFA Euro 2024TM, che avrà luogo in Germania tra il 14 giugno e il 14 luglio, le minacce informatiche per gli appassionati di sport sono in aumento. Questo tipo di situazioni in occasione di grandi eventi hanno già una lunga tradizione e con la crescente digitalizzazione dell’infrastruttura per lo streaming diventano ancora più allettanti per i criminali informatici.

 

Rischi per i tifosi

Gli organizzatori stanno avvertendo i tifosi delle possibili truffe nella vendita dei biglietti. Martin Kallen, responsabile degli eventi UEFA, ha segnalato milioni di richieste non valide durante la prima fase di vendita, attribuendo il problema ai “bot” che operano per il mercato nero. Anche il Centro europeo dei consumator e il BSI (Ufficio federale per la sicurezza delle informazioni tedesco) offrono consigli per evitare queste truffe.

 

Minacce informatiche oltre i biglietti

Le minacce informatiche non si limitano ai biglietti. Durante la Coppa del Mondo 2022 in Qatar, Avanan, una società di Check Point, ha rilevato un aumento delle e-mail di phishing riguardanti biglietti gratuiti e link per lo streaming. Un esempio è il sito web malevolo “uefa2024[.]org”, che si spaccia per un dominio ufficiale UEFA.

Esempio di sito web malevolo “uefa2024[.]org” che si spaccia per un dominio ufficiale UEFA (Fonte: Check Point Research 2024)

 

Attacchi DDoS

Gli attacchi DDoS rappresentano un’altra minaccia significativa, mirata a disturbare le trasmissioni negli stadi e diffondere disinformazione. Eventi come le Olimpiadi invernali del 2018 in Corea del Sud hanno già subito attacchi simili, chiamati “Olympic Destroyer“. Sebbene non siano stati ancora rilevati attacchi DDoS durante le partite di calcio, la possibilità resta concreta, come dimostrato dagli attacchi alla LCK, la Premier League del gioco online League of Legends, lo scorso febbraio.

 

L’uso di deepfake

Gli strumenti di intelligenza artificiale e i deepfake rappresentano una minaccia crescente, permettendo l’uso di immagini e video di star del calcio o celebrità per truffe. Su piattaforme come GitHub e Telegram sono disponibili migliaia di repository e canali che offrono servizi di deepfake a prezzi variabili.

 

Minacce alle infrastrutture critiche

Le infrastrutture critiche degli Stati potrebbero essere prese di mira durante UEFA Euro 2024™, con attacchi ai sistemi semaforici o agli impianti energetici per causare blackout nelle zone degli incontri.

 

Consigli per la sicurezza

Ecco alcuni consigli per le organizzazioni e i dipendenti appassionati di sport per evitare di cadere vittima di cyberattacchi:

Formazione sulla sicurezza: Sensibilizzare sul phishing e sulle truffe legate ai biglietti.

Aumento delle misure di protezione: Contrastare disinformazione, deepfake e altre tecniche di social engineering.

Prevenzione delle minacce: Proteggere le infrastrutture critiche tramite fornitori di servizi IT.

Preparazione al DDoS: Essere pronti a difendere siti governativi e sportivi da attacchi durante le partite.

Zero Trust: Prevenire movimenti laterali dopo infiltrazioni riuscite.

Prontezza di risposta agli incidenti: Assicurarsi che i sistemi rimangano operativi in caso di violazione.

Disaster Recovery e backup: Ridurre i tempi di inattività.


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Senza categoria

Nuova opzione anti-phishing per Chrome

Safe Browsing si aggiorna per rendere più sicura l’esperienza di navigazione

Avatar

Pubblicato

il

Un importante aggiornamento per Safe Browsing su Chrome introdurrà protezione in tempo reale contro malware e phishing. Questo sviluppo migliora significativamente la sicurezza degli utenti confrontando i siti Web con un elenco aggiornato di URL dannosi. Con oltre 5 miliardi di dispositivi protetti e l’analisi quotidiana di miliardi di URL e file, questo upgrade promette di ridurre i tentativi di phishing del 25%.

Safe Browsing protegge già oltre 5 miliardi di dispositivi in tutto il mondo, difendendo da phishing, malware, software indesiderati e altro ancora”, hanno dichiarato Jasika Bawa e Jonathan Li di Google, precisando che lo strumento “valuta ogni giorno più di 10 miliardi di URL e file, mostrando a più di 3 milioni di utenti avvisi di potenziali minacce”.

Inoltre, con questo questo aggiornamento BigG garantirà anche la privacy degli utenti nel corso della navigazione, grazie a una nuova API che utilizza per offuscare gli URL dei siti Web visitati.

 

 

Leggi anche: “Tor Browser: nuova versione disponibile


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Senza categoria

Redline è il malware più utilizzato

Nel 2023, secondo Kaspersky Digital Footprint Intelligence, oltre il 55% dei dispositivi presi di mira da attacchi di furto di password è stato infettato dal malware Redline

Avatar

Pubblicato

il

Secondo le informazioni estratte dai file di registro circolanti liberamente sul Dark Web, Redline ha rappresentato il 51% delle infezioni da infostealer dal 2020 al 2023. Altre famiglie di malware rilevanti includono Vidar (17%) e Raccodon (quasi il 12%). Complessivamente, Kaspersky Digital Footprint Intelligence ha individuato circa 100 varianti diverse di infostealer tra il 2020 e il 2023, analizzando i metadati dei file di registro. Il mercato illegale per lo sviluppo di malware finalizzato al furto di dati sta espandendosi, evidenziato dalla crescente diffusione degli stealer. Tra il 2021 e il 2023, la percentuale di infezioni causate da nuovi stealer è salita dal 4% al 28%. Nel 2023, in particolare, il nuovo stealer “Lumma” ha da solo causato oltre il 6% di tutte le infezioni.

I cambiamenti nella popolarità dei tre furti più diffusi nel periodo 2020-2023. Fonte: Kaspersky Digital Footprint

 

 Lumma è comparso nel 2022 e ha guadagnato popolarità nel 2023 grazie un modello di distribuzione Malware-as-a-Service (MaaS). Questo significa che qualsiasi criminale, anche chi non ha competenze tecniche avanzate, può acquistare un abbonamento per una soluzione malevola preconfezionata e utilizzare questo stealer per portare a termine i cyberattacchi. Lumma è stato progettato principalmente per rubare credenziali e altre informazioni dai portafogli di criptovalute, comunemente diffuse attraverso campagne di spam via e-mail, YouTube e Discord”, ha commentato Sergey Shcherbel, Expert di Kaspersky Digital Footprint Intelligence.

Gli infostealer si infiltrano nei dispositivi per ottenere credenziali sensibili come login e password in modo illegale, che vengono poi rivendute sul mercato shadow, costituendo una minaccia pericolosa per la sicurezza informatica dei sistemi personali e aziendali. Alla luce di questa crescente minaccia, Kaspersky ha lanciato una landing page, raggiungibile a questo indirizzo dedicata per aumentare la consapevolezza del problema e fornire consigli per mitigare i rischi associati.


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Senza categoria

Link malevoli negli allegati PDF

Il gruppo TA450, legato all’IRAN, ha tentato di distribuire un URL dannoso in un allegato PDF invece di collegare direttamente il file in un’email

Avatar

Pubblicato

il

I ricercatori di Proofpoint hanno scoperto una nuova attività da parte del gruppo TA450, un attore di minacce allineato all’Iran, noto anche come MuddyWater, Mango Sandstorm e Static Kitten, in cui ha utilizzato un’esca di social engineering a pagamento per colpire dipendenti israeliani di grandi organizzazioni multinazionali. In particolare, TA450 ha inviato email con allegati PDF contenenti link malevoli. Sebbene questo metodo non sia del tutto estraneo a TA450, più di recente questo attore si era affidato a link pericolosi inclusi direttamente nel corpo dei messaggi email, invece di aggiungere questo ulteriore passaggio.
I ricercatori di Proofpoint hanno notato che gli stessi obiettivi stavano ricevendo una serie di email di phishing con allegati PDF. Questi allegati contenevano link leggermente diversi che reindirizzavano a vari siti di condivisione file, tra cui Egnyte, Onehub, Sync e TeraBox. Inoltre, le email inviate in questa campagna hanno utilizzato un account salary[@]<compromisedorg>co[.]il, che è in linea con l’oggetto a tema retributivo

Come si può notare dalle figure 1 e 2 in basso, quando veniva aperto l’allegato e si cliccava sul link, veniva scaricato un archivio compresso in formato ZIP contenente un MSI che installava un software di amministrazione remota denominato AteraAgent.

Figura 1. Allegato PDF aperto con link dannoso (Traduzione automatica: Titolo del documento: Busta paga; Corpo del PDF: Buongiorno, d’ora in poi riceverai la tua busta paga tramite questo software).

 

Figura 2. Archivio ZIP tramite Onehub che porta al download del software di amministrazione remota.

 

Sebbene questa campagna condotta dal gruppo TA450 non sia il primo caso osservato in cui utilizza allegati con link malevoli come parte della catena di attacco, è la prima volta che i ricercatori di Proofpoint hanno osservato TA450 tentare di distribuire un URL pericoloso in un allegato PDF invece di collegare direttamente il file in una email.

Per approfondimenti, visitate questo link.

 

*illustrazione articolo progettata da  Freepik

 

 


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Trending