News
Nuovo Malware HiddenWasp che Attacca Linux

E’ stato rilevato un nuovo sofisticato malware che prende di mira il sistema operativo Linux soprannominato HiddenWasp utilizzato in attacchi mirati contro le vittime che sono già sotto attacco.
Il malware è altamente sofisticato e non è stato rilevato ed ha adottato una grande quantità di codici da malware disponibili pubblicamente come Mirai e il rootkit Azazel.
Il malware è composto da un rootkit in modalità utente, un trojan e uno script di distribuzione iniziale. I ricercatori hanno individuato i file non rilevati in VirusTotal e il malware ospitato nei server di una società di hosting ThinkDream con sede a Hong Kong.
Durante l’analisi degli script, Intezer ha individuato un utente denominato “sftp” e hardcodes, che può essere utilizzato inzialmente con script variabili per cancellare le versioni precedenti dai sistemi compromessi.
Secondo il rapporto , sia i rootkit che i trojan si aiutano a vicenda per mantenere la persistenza nel sistema “facendo sì che il rootkit tenti di nascondere il trojan e il trojan che impone il rootkit di rimanere operativo”.
Ecco l’elenco delle funzionalità di trojan in base alle richieste. Le aziende possono prevenire Intrusion bloccando gli indirizzi IP Command-and-Control.
IP 103.206.123[.]13 103.206.122[.]245 http://103.206.123[.]13:8080/system.tar.gz http://103.206.123[.]13:8080/configUpdate.tar.gz http://103.206.123[.]13:8080/configUpdate-32.tar.gz SHA256 e9e2e84ed423bfc8e82eb434cede5c9568ab44e7af410a85e5d5eb24b1e622e3 f321685342fa373c33eb9479176a086a1c56c90a1826a0aef3450809ffc01e5d d66bbbccd19587e67632585d0ac944e34e4d5fa2b9f3bb3f900f517c7bbf518b 0fe1248ecab199bee383cef69f2de77d33b269ad1664127b366a4e745b1199c8 2ea291aeb0905c31716fe5e39ff111724a3c461e3029830d2bfa77c1b3656fc0 d596acc70426a16760a2b2cc78ca2cc65c5a23bb79316627c0b2e16489bf86c0 609bbf4ccc2cb0fcbe0d5891eea7d97a05a0b29431c468bf3badd83fc4414578 8e3b92e49447a67ed32b3afadbc24c51975ff22acbd0cf8090b078c0a4a7b53d f38ab11c28e944536e00ca14954df5f4d08c1222811fef49baded5009bbbc9a2 8914fd1cfade5059e626be90f18972ec963bbed75101c7fbf4a88a6da2bc671b
News
App con lo spyware dentro
SpinOk minaccia la privacy degli utenti Android attraverso giochi e applicazioni presenti nel catalogo di Google Play

Doctor Web, una società specializzata in sicurezza informatica, ha rilevato una nuova minaccia per gli utenti di dispositivi Android: Android.Spy.SpinOk, un modulo dannoso integrato in diverse app e giochi disponibili nel Play Store di Google. Secondo quanto riferito, pare sia in grado di raccogliere e trasferire dati personali sensibili degli utenti agli aggressori, nonché di sostituire e caricare il contenuto degli appunti su un server remoto. Android.Spy.SpinOk si presenta come uno strumento di marketing che offre agli utenti mini-giochi, un sistema di attività ed estrazioni a premi. Ma dietro questa facciata innocua, stabilisce una connessione con un server di comando e controllo e invia informazioni tecniche sul dispositivo infetto, tra cui dati provenienti dai sensori come il giroscopio e il magnetometro. Inoltre, Android.Spy.SpinOk carica banner pubblicitari nella WebView con collegamenti arbitrari ricevuti dal server. Tali elementi grafici contengono codice JavaScript che può accedere ai file e agli appunti presenti sul dispositivo dell’utente. Di conseguenza, gli aggressori possono rubare informazioni riservate come password, numeri di carta di credito, documenti e altro ancora.
Ecco la top ten dei programmi più popolari in cui è stato rilevato l’SDK trojan Android.Spy.SpinOk:
- Noizz: editor video con musica (almeno 100.000.000 di installazioni),
- Zapya- Trasferimento, condivisione di file (almeno 100.000.000 di installazioni; il modulo trojan era presente dalla versione 6.3.3 alla versione 6.4 ed è assente nella versione attuale 6.4.1),
- VFly: video editor&video maker (almeno 50.000.000 di installazioni),
- MVBit – MV video status maker (almeno 50.000.000 di installazioni),
- Biugo: video maker&video editor (almeno 50.000.000 di installazioni),
- Crazy Drop (almeno 10.000.000 di installazioni),
- Cashzine – Earn money reward (almeno 10.000.000 di installazioni),
- Fizzo Novel – Reading Offline (almeno 10.000.000 di installazioni),
- CashEM:Get Rewards (almeno 5.000.000 di installazioni),
- Tick:watch to earn (almeno 5.000.000 di installazioni).
La lista completa delle app può essere consultata al seguente link.
Leggi anche: App che rubano la password di Facebook
*illustrazione articolo progettata da Freepik
News
Il malware che blocca la rete elettrica
Mandiant scopre COSMICENERGY, una vulnerabilità creata per causare interruzioni alla rete elettrica

Mandiant ha pubblicato una ricerca a seguito della scoperta di un nuovo malware specializzato per i sistemi OT, chiamato COSMICENERGY. A seguito di indagini e valutazioni, Mandiant ritiene che questo malware sia stato progettato per causare interruzioni dell’energia elettrica, interagendo con le unità terminali remote (RTU), comunemente utilizzate nelle operazioni di trasmissione e distribuzione elettrica in Europa, Medio Oriente e Asia. Il malware pare sia stato creato da un contractor di Rostelecom-Solar, una società russa di cyber security, come parte di uno strumento di red teaming per simulare esercitazioni di interruzione di energia. Secondo fonti pubbliche, Rostelecom-Solar nel 2019 ha ricevuto una sovvenzione da parte del governo russo per iniziare a formare esperti di sicurezza informatica e condurre esercitazioni di interruzione di energia elettrica e di risposta alle emergenze.
L’analisi del malware e delle sue funzionalità rivela che:
- COSMICENERGY è paragonabile, per quanto riguarda le capacità, a INDUSTROYER e INDUSTROYER.V2;
- COSMICENERGY presenta notevoli somiglianze tecniche con altre famiglie di malware OT, tra cui IRONGATE, TRITON e INCONTROLLER;
- Questa scoperta suggerisce che le barriere per limitare le attività offensive delle minacce OT si stanno pericolosamente abbassando.
News
Così gli smart speaker aiutano i ladri
Utilizzando frequenze inudibili dagli esseri umani è possibile inviare comandi potenzialmente pericolosi.

Smart speaker, così come altri dispositivi dotati di microfono, sono prodotti a rischio: un team di ricercatori delle università del Texas e del Colorado ha difatti dimostrato come sia possibile inviare comandi vocali sfruttando frequenze non udibili dagli esseri umani, ma captati dai loro microfoni. L’attacco, chiamato NUIT (Near-Ultrasound Inaudible Trojan) funziona con tutti i principali assistenti digitali, ovvero Amazon Alexa, Google Assistant, Apple Siri e Microsoft Cortana: basta un audio con frequenza compresa tra 16 e 20 kHz (ad esempio durante la riproduzione di un video da YouTube o altra piattaforma) per far eseguire dei comandi all’assistente digitale senza che l’utente se ne accorga, e questo potrebbe essere un grosso problema se l’assistente è collegato al sistema di allarme o a meccanismi di apertura di porte o finestre (potete trovare su YouTube un video esplicativo su questa tipologia di attacco). I ricercatori descrivono così sul loro sito il lavoro condotto: “NUIT è un nuovo attacco impercettibile contro gli assistenti vocali (Siri, Google Assistant, Alexa, Cortana) che può essere condotto da remoto tramite Internet”. Purtroppo al momento, a parte Siri, nessun altro assistente può limitare l’esecuzione dei comandi su una voce specifica.
News
Guai per gli smartphone Samsung e Google
Un malintenzionato potrebbe eseguire qualsiasi codice sui device all’insaputa dell’utente.

Project Zero, il team di ricerca sulla sicurezza di Google ha scoperto che i modem Samsung Exynos, utilizzati su diversi modelli della serie Galaxy, sui Pixel 6 e 7 con chip Tensor, sui dispositivi mobile Vivo, sui Galaxy Watch4 e 5 e su tutti i veicoli che utilizzano il chipset Exynos Auto T5123, soffrono di vulnerabilità zero-day che permettono l’esecuzione di codice da remoto da parte di un qualunque malintenzionato; basta solo che questi conosca il numero di telefono della potenziale vittima.
Al momento, Google ha introdotto delle patch per i Pixel con l’aggiornamento di sicurezza rilasciato il mese scorso; anche Samsung ha rilasciato degli aggiornamenti, ma ancora non tutti i prodotti coinvolti sono stati patchati. Per essere sicuri di essere protetti da eventuali attacchi è possibile soltanto disattivare le chiamate Wi-Fi e Voice-over-LTE (VoLTE) nelle impostazioni.
Leggi anche: Microsoft pubblica una patch per correggere 6 vulnerabilità Windows
News
Telegram? Un supermercato per pirati!
Lo dice Kaspersky, che ha individuato veri e propri market per servizi di phishing.

Kaspersky ha individuato su Telegram una fiorente community che offre servizi di phishing, sia gratuiti che a pagamento, con pacchetti di Phishing-as-a-service offerti a un costo variabile tra i 10 e i 300 dollari e pensati per rubare sia dati personali che denaro. I suggerimenti offerti per difendersi sono i classici: basta imparare velocemente a non diffondere i propri dati, osservare con cura le email e non lasciarsi ingannare dai toni allarmistici di alcune di esse, ma anzi dubitare sempre della loro bontà e verificare gli indirizzi in esse contenuti. Evitiamo anche le connessioni non sicure (ad esempio le Wi-Fi pubbliche), sulle quali la sicurezza è inferiore e per i cybercriminali è semplice reindirizzare la navigazione degli utenti verso siti di phishing. Infine, verifichiamo sempre che i siti bancari siano veicolati tramite connessione HTTPS (e ovviamente non forniamo mai dati per email o chat Telegram!). Kaspersky ha rilevato negli ultimi sei mesi oltre 2,5 milioni di URL generati dai kit di phishing offerti su Telegram.
Leggi anche: Telegram per macOS a rischio!
News
Il tool che libera i dati “sequestrati”
Buone notizie per le vittime di attacchi ransomware che da oggi avranno a disposizione un nuovo decryptor gratuito per il recupero dei dati.

CyberArk è la società che ha effettivamente sviluppato e pubblicato il decryptor White Phoenix grazie al quale le vittime di attacchi ransomware avranno a disposizione uno strumento per il recupero, anche se parziale, dei propri file. Lo sviluppo è finalizzato principalmente alla decrittazione dei dati ai quali è stata applicata la cosiddetta “crittografia discontinua”. Ricordiamo che con la crittografia discontinua, i dati di origine sono suddivisi in determinati blocchi, che vengono crittografati uno per uno a un certo intervallo. Gli esperti di CyberArk sono riusciti a recuperare con successo sia file PDF che altri formati di dati, inclusi i file che funzionano come archivi ZIP. Questi file includono documenti Word (docx, docm, dotx, dotm, odt), Excel (xlsx, xlsm, xltx, xltm, xlsb, xlam, ods) e PowerPoint (pptx, pptm, ptox, potm, ppsx, ppsm, odp). Il ripristino di questi tipi di file si ottiene utilizzando un tool di compressione dati, come 7zip, e un editor esadecimale per estrarre file XML non crittografati di documenti danneggiati.
News
Telegram per macOS a rischio!
Un bug di Telegram consente di accedere alla fotocamera su Apple MacOS

Un ingegnere della sicurezza di Google ha scoperto una vulnerabilità nell’app Telegram su MacOS che potrebbe essere utilizzata, da un malintenzionato, per ottenere l’accesso non autorizzato alla fotocamera del dispositivo. Il bug è dovuto alla mancanza di un “runtime sicuro” nell’app Telegram per iOS, che permetterebbe a un utente malebole di iniettarvi una libreria dinamica dannosa (Dylib) utilizzando la variabile “DYLD_INSERT_LIBRARIES”. Il Dylib incorporato esegue il suo codice anche prima che l’app Telegram venga lanciata, dando pieno accesso a determinate funzionalità, come l’attivazione della fotocamera per registrare. I video catturati verranno archiviati localmente nel file /tmp/telegram.logs, da dove, ipoteticamente, i criminali informatici potranno successivamente estrarli, violando gravemente la privacy della vittima.
Secondo Pavel Durov, il fondatore di Telegram, non esiste alcuna vulnerabilità, poiché per far accadere quanto riportato dai ricercatori, il computer dell’utente deve essere già compromesso.
Leggi anche: MGM Resorts Leak: 142 milioni di record trapelati su Telegram
-
News2 anni ago
Hacker Journal 269
-
News6 anni ago
Abbonati ad Hacker Journal!
-
Articoli7 mesi ago
Parrot Security OS: Linux all’italiana- La distro superblindata
-
Articoli2 anni ago
Guida: Come accedere al Dark Web in modo Anonimo
-
Articoli5 anni ago
Superare i firewall
-
News3 anni ago
Le migliori Hacker Girl di tutto il mondo
-
Articoli4 anni ago
Come Scoprire password Wi-Fi con il nuovo attacco su WPA / WPA2
-
News6 anni ago
Accademia Hacker Journal