L’utente viene ingannato credendo di installare Google Protect. Così, il malware ottiene i permessi di accesso agli SMS, alle notifiche, ai contatti, alle chiamate, alla registrazione dello schermo e all’esecuzione di storage esterni. Poi, genera falsi screen di login che si sovrappongono ai form originali. E lo fa per ben 215 applicazioni di home banking, 110 crypto exchange e 94 criptowallet. A scoprirlo, un gruppo di analisti di Group-IB, che l’hanno rinominato “banking malware Godfather”. Le app bancarie nel mirino sono soprattutto in USA (49), Turchia (31), Spagna (30), Canada (22), Francia (20), Germania (19) e UK (17). Si è scoperto, anche, che l’attività di Godfather ha avuto in notevolissimo incremento (10 milioni di download da Google Play) a causa del diffondersi di un finto tool musicale molto popolare in Turchia.

*illustrazione articolo progettata da rawpixel / Freepik

Mentre la maggior parte dei malware simili si concentrano sul browser, StrelaStealer – celato dietro un falso file ISO o in un documento HTML – è in grado di accedere direttamente alle credenziali della posta elettronica, impossessandosi dell’archivio dove queste sono salvate. Diffuso tramite allegati di posta elettronica, il file contiene in realtà due file: un LNK e un HTML. Quest’ultimo, noto come “poliglotta”, perché può essere trattato in modo diverso a seconda dell’applicazione che lo apre, contiene la destinazione che appare dopo l’esecuzione dell’LNK, tramite rundll32.exe. A questo punto parte il payload principale del malware. Si apre il browser nel tentativo di fare credere all’utente che non ci sia nulla di strano. Ma non è così!
La DLL StrelaStealer cerca la directory Thunderbird e raccoglie i file logins.json e key4.db (i contenitori, in sostanza, delle informazioni necessarie per decrittografare le password memorizzate) e, allo stesso tempo, scansiona il registro di Windows a caccia dei dati sulle credenziali di Microsoft Outlook. Infine, utilizza la funzione Windows CryptUnprotectData per decrittografare il tutto. Terminato tutto ciò, invia i dati al server C2 dell’organizzazione criminale e il gioco è fatto.
A questo link i ricercatori di DSCO CyTec hanno riportato i dettagli sullo spyware individuato.

È passato più di un anno dalla pubblicazione di SuperTuxKart 1.3 ed ecco che finalmente arriva rombando la versione successiva, la 1.4. Essendo una major release, ha diverse novità sotto al cofano, a cominciare dalla disposizione di partenza dei kart per rendere le gare più avvincenti. Anche alcuni percorsi, come Battle Island, sono stati migliorati o hanno visto corretti alcuni difetti. Invece tra le novità vere e proprie abbiamo una nuova modalità di giro di prova, un veicolo aggiuntivo e svariate texture e animazioni. Dal punto di vista tecnico è stato invece introdotto il nuovo renderizzatore Vulkan che è ancora in versione beta ma che già garantisce risultati di ottimo livello. Per poter scaricare gratuitamente il file di installazione del videogioco completo, basta collegarsi a questo indirizzo e cliccare sul sistema operativo, in questo caso Linux. Se sei un appassionato di videogiochi non perdere MonkeyLeague  un gioco di calcio strategico distribuito sulla rete Solana in cui Paulo Dybala dell’AS Roma è l’ambasciatore ufficiale del marchio del gioco.

Nella vita di tutti i giorni dipendiamo dalle più differenti applicazioni di Machine Learning. Basti pensare ai sistemi di riconoscimento biometrico, oppure alle pubblicità personalizzate che appaiono sui social o anche alle stesse soluzioni antimalware e antispyware che si basano su modelli di Intelligenza Artificiale. Sempre più spesso succede di non capire se le chat di assistenza a cui ci rivolgiamo siano presidiate da persone oppure da bot e prima che ci venga autorizzato un prestito o un finanziamento sarà sempre l’Intelligenza Artificiale ad avere l’ultima parola. Da qualche tempo però i modelli di Machine Learning possono essere utilizzati non solo dalle aziende, ma anche da semplici appassionati grazie alla disponibilità di speciali librerie come SciKit, Numpy, TensorFlow, PyTorch, e CreateML che permettono di risolvere problemi complessi che solo qualche anno fa avrebbero richiesto l’intervento di un esperto. Come accade regolarmente nei settori in continua crescita, parallelamente agli avanzamenti tecnologici appaiono minacce e attacchi portati da pirati informatici che in molti casi riescono ad agire senza essere individuati, fin quando non è troppo tardi.

Machine Learning sotto attacco

Gli Adversarial Attack sono attacchi informatici compiuti ai danni dei vari modelli di Intelligenza Artificiale con l’obiettivo di ingannare il modello di Machine Learning, in modo da alterarne il risultato. Un esempio concreto è rappresentato dai Pixel Attack che funzionano applicando modifiche minime, anche di un solo pixel, come ha dimostrato l’abstract dei ricercatori Jiawei Su, Danilo Vasconcellos Vargas e Kouichi Sakurai. I risultati forniti dalle Reti Neurali Profonde, (Deep Neural Network) possono essere facilmente alterati modificando in maniera umanamente impercettibile il vettore iniziale con l’inserimento di un solo pixel alterato. In questo modo fino al 74% dei risultati viene completamente corrotto, fornendo risultati inaffidabili. Nell’abstract appena citato sono mostrati diversi esempi di immagini modificate in un solo pixel che una volta analizzati dai sistemi di Machine Learning producono risultati completamente differenti. In un caso, come riferito dal Washington Post, è bastato modificare un solo pixel di un’immagine per alterare complessi modelli di compravendita azionaria con risultati disastrosi.

Data Poisoning

La modalità di attacco Adversarial si fonda sui classici sistemi basati su algoritmi come quelli di data poisoning (inquinamento dei dati) e inference attack. Solo che in questo caso l’attaccante sceglie di colpire la modalità di archiviazione e di distribuzione dei modelli. Anche se i modelli di Machine Learning vengono percepiti come una tecnologia talmente evoluta da essere difficilmente analizzabile da un non addetto ai lavori, in realtà vengono utilizzate le stesse modalità in uso con normali software con tanto di ricerca di vulnerabilità che possano essere sfruttate dall’attaccante. È questo il caso del formato di archiviazione Pickle che viene normalmente utilizzato nel linguaggio di programmazione Python. Questo formato viene usato anche per i modelli di Machine Learning e permette a un’attaccante di eseguire del codice malevolo utilizzando uno strumento Open Source chiamato Fickling, come è ben noto alla community di sicurezza internazionale.

[Foto: DA GATTO A CANE
Come ha dimostrato il paper del ricercatore Goodfellow e dei suoi colleghi alla RSA Conference, è bastato inserire un pixel nell’immagine di un felino per farlo riconoscere come cane da un sistema di Machine Learning]

Succede a volte che lo sviluppo di un’applicazione non sia omogeneo in tutte le sue versioni e che alcuni utenti possano sfruttarne una caratteristica non ancora disponibile per altri. È il caso della messaggistica nativa di Firefox che, nel sistema operativo di Canonical, non era ancora presente. La causa principale era la versione in formato Snap del browser di Mozilla adottata da Ubuntu. In realtà, il problema era già stato risolto fin dallo scorso luglio, tuttavia questa caratteristica era presente solo nelle versioni beta del programma di navigazione. Invece ora gli utenti di Ubuntu la troveranno perfettamente integrata e soprattutto stabile. Così ha annunciato nel forum Snapcraft uno dei tecnici informatici di Canonical che si è occupato del problema, Olivier Tilloy. Ora gli add-on di Firefox Snap potranno scambiare messaggi con le applicazioni native del sistema operativo creato da Mark Shuttleworth.

Canonical  ha annunciato ufficialmente che il suo sistema operativo verrà ora supportato dai single-board computer LicheeRV D1 RISC-V marcati Sipeed. Si tratta quindi dell’ennesima operazione riuscita nell’ambito del progetto di espansione nel mondo RISC-V. La scheda in questione, che ha un costo molto conveniente perché si aggira sui 16 $, viene prodotta dalla cinese Sipeed  che punta tutto sull’hardware Open Source e sulle applicazioni AIoT/TinyML. Quindi non c’è da stupirsi che Canonical possa rappresentare un partner ideale per lo sviluppo di progetti futuri. Tornando alla scheda in questione, è stata pensata proprio per gli sviluppatori TinyML ed è dotata di una porta USB-C OTG e una HDMI. Inoltre i suoi 43,2 x 25 mm hanno a bordo 512 MB di RAM DD3 a 792 MHz e un socket per schede MicroSD. Il processore è un Allwinner D1 XuanTie C906 singlecore da 1 GHz a 4 bit con un acceleratore grafico G2D 2D.

Come da tradizione ampiamente consolidata in casa Canonical, la primissima informazione certa che si ha sul sistema operativo che succede a quello appena rilasciato è il nome in codice. Già si sapeva che sarebbe cominciato con la lettera L, che nell’alfabeto inglese segue la K appena usata per il recente Kinetic Kudu (Ubuntu 22.10). Questa volta per trovare l’animale simbolo della versione 23.04 si è lasciata la terraferma e ci si è gettati nel mare pescando “Lunar Lobster”, che significa aragosta lunare. Inutile cercare indizi in questo nome perché ormai Canonical li sceglie perché li trova simpatici. La data di rilascio è stata attualmente fissata per il 27 aprile 2023 e sono anche già state stabilite le tappe precedenti. Per esempio la Feature Freeze sarà il 23 febbraio, mentre l’interfaccia definitiva sarà stabilita il 16 marzo e la versione beta sarà disponibile dal 30 dello stesso mese. Per quanto riguarda invece le novità che dovrebbero esserci, le voci che circolano sono parecchie. Per il momento non è chiaro se verrà adottata come kernel la versione 6.1 o la 6.2 di Linux. Inoltre è possibile che venga introdotto il nuovo Ubuntu Software, già da tempo in lavorazione, così come il nuovo programma di installazione. Si parla anche dell’ambiente grafico GNOME 44 e della presenza nei repository del nuovo sistema operativo di librerie software più aggiornate, come PHP 8.2 e Python 3.11.