Microsoft avverte: il ransomware sfrutta gli ambienti cloud con nuove tecniche

Microsoft ha emesso un avviso riguardante sofisticati attacchi ransomware che prenderanno di mira gli ambienti cloud ibridi nel primo trimestre del 2025.

Questi attacchi sfruttano le vulnerabilità all'intersezione tra infrastrutture on-premise e servizi cloud, mettendo a dura prova le organizzazioni con configurazioni ibride.

In una svolta significativa, l'organizzazione statale nordcoreana Moonstone Sleet ha distribuito il ransomware Qilin in attacchi mirati.

Questa segna la loro prima operazione come affiliati al ransomware-as-a-service anziché utilizzare malware personalizzato, il che indica un'evoluzione tattica per aumentare l'efficienza mantenendo al contempo una plausibile negabilità.

I ricercatori di Microsoft Threat Intelligence hanno identificato l'autore della minaccia Storm-0501 che sfrutta capacità avanzate per lo spostamento laterale dai sistemi locali all'infrastruttura cloud.

La loro analisi ha scoperto tecniche che prendono di mira dispositivi non gestiti e sfruttano account ibridi non sicuri per accedere a risorse critiche, eliminare backup e distribuire ransomware.

Una fuga di notizie di febbraio nelle chat di gruppo del ransomware Black Basta ha svelato i loro metodi tecnici, tra cui lo sfruttamento delle vulnerabilità di Citrix, Jenkins e VPN.

Altri gruppi attivi erano Lace Tempest e Storm-1175; quest'ultimo sfruttò le nuove vulnerabilità di SimpleHelp subito dopo la divulgazione.

L'ingegneria sociale rimane prevalente, con gli autori che avviano i contatti tramite false chiamate di supporto IT prima di implementare strumenti di accesso remoto. Storm-1674 è stato osservato utilizzando false chiamate IT tramite Microsoft Teams, che hanno portato all'utilizzo di Quick Assist e PowerShell.

Tecniche di sfruttamento del cloud ibrido

La metodologia di compromissione del cloud di Storm-0501 inizia con uno spostamento laterale dai sistemi locali compromessi attraverso configurazioni di identità ibride non sicure.

Dopo aver ottenuto l'accesso iniziale, gli aggressori prendono di mira gli account con permessi eccessivi in ​​tutti gli ambienti. Questo approccio consente loro di passare agevolmente dall'infrastruttura tradizionale alle risorse cloud.

La catena di attacco in genere include richieste HTTP specifiche che prendono di mira i file di configurazione:

Questa tecnica di attraversamento del percorso espone i token di autenticazione e le impostazioni di federazione, consentendo agli aggressori di aggirare l'autenticazione a più fattori sfruttando le relazioni di fiducia tra i sistemi di identità.

Microsoft consiglia di implementare l'igiene delle credenziali, di applicare i principi dei privilegi minimi e di adottare architetture Zero Trust per proteggere gli ambienti ibridi.

Le organizzazioni dovrebbero inoltre monitorare attentamente i modelli di autenticazione insoliti che potrebbero indicare la compromissione dei sistemi di identità ibridi.

https://cybersecuritynews.com/microsoft-warns-of-ransomware-exploiting-cloud-environments/

Attacco malware multifase utilizza .JSE e PowerShell per distribuire Agent Tesla e XLoader

È stato osservato un nuovo attacco multifase che diffonde famiglie di malware come le varianti di Agent Tesla, Remcos RAT e XLoader.

"Gli aggressori si affidano sempre di più a meccanismi di distribuzione complessi per eludere il rilevamento, aggirare i sandbox tradizionali e garantire la distribuzione e l'esecuzione corrette del payload", ha affermato Saqib Khanzada, ricercatore dell'Unità 42 di Palo Alto Networks, in un resoconto tecnico della campagna.

Il punto di partenza dell'attacco è un'e-mail ingannevole che si spaccia per una richiesta d'ordine di consegna di un allegato dannoso di tipo archivio 7-zip, contenente un file codificato in JavaScript (.JSE).

L'email di phishing, rilevata nel dicembre 2024, affermava falsamente che era stato effettuato un pagamento e invitava il destinatario a esaminare un file d'ordine allegato. L'avvio del payload JavaScript innesca la sequenza di infezione, con il file che funge da downloader per uno script di PowerShell da un server esterno.

Lo script, a sua volta, contiene un payload codificato in Base64 che viene successivamente decifrato, scritto nella directory temporanea di Windows ed eseguito. Ecco dove accade qualcosa di interessante: l'attacco genera un dropper di fase successiva, compilato con .NET o AutoIt.

Nel caso di un eseguibile .NET, il payload incorporato crittografato (una variante di Agent Tesla sospettata di essere Snake Keylogger o XLoader) viene decodificato e iniettato in un processo "RegAsm.exe" in esecuzione, una tecnica osservata in precedenti campagne di Agent Tesla.

L'eseguibile compilato da AutoIt, d'altra parte, introduce un livello aggiuntivo nel tentativo di complicare ulteriormente le attività di analisi. Lo script AutoIt all'interno dell'eseguibile incorpora un payload crittografato responsabile del caricamento dello shellcode finale, causando l'iniezione del file .NET in un processo "RegSvcs.exe", che porta infine all'implementazione dell'agente Tesla.

"Questo suggerisce che l'aggressore utilizzi più percorsi di esecuzione per aumentare la resilienza ed eludere il rilevamento", ha osservato Khanzada. "L'attenzione dell'aggressore rimane su una catena di attacco multilivello piuttosto che su un offuscamento sofisticato."

"Accumulando fasi semplici anziché concentrarsi su tecniche altamente sofisticate, gli aggressori possono creare catene di attacco resilienti che complicano l'analisi e il rilevamento."

IronHusky presenta la nuova versione di MysterySnail RAT

La rivelazione arriva mentre Kaspersky descrive in dettaglio una campagna che prende di mira organizzazioni governative con sede in Mongolia e Russia con una nuova versione di un malware chiamato MysterySnail RAT. L'attività è stata attribuita a un autore di minacce di lingua cinese soprannominato IronHusky.

IronHusky, la cui attività è stata stimata almeno dal 2017, era stato precedentemente documentato dalla società russa di sicurezza informatica nell'ottobre 2021 in relazione allo sfruttamento zero-day di CVE-2021-40449, una falla di escalation dei privilegi Win32k, per diffondere MysterySnail.

Le infezioni provengono da uno script dannoso di Microsoft Management Console (MMC) che imita un documento Word dell'Agenzia Nazionale del Territorio della Mongolia ("co-financing letter_alamgac"). Lo script è progettato per recuperare un archivio ZIP contenente un documento esca, un file binario legittimo ("CiscoCollabHost.exe") e una DLL dannosa ("CiscoSparkLauncher.dll").

Non si sa esattamente come lo script MMC venga distribuito ai bersagli di interesse, anche se la natura del documento esca suggerisce che potrebbe essere avvenuto tramite una campagna di phishing.

Come osservato in molti attacchi, "CiscoCollabHost.exe" viene utilizzato per caricare lateralmente la DLL, una backdoor intermedia in grado di comunicare con l'infrastruttura controllata dall'aggressore sfruttando il progetto open source piping-server .

La backdoor supporta funzionalità per eseguire shell di comandi, scaricare/caricare file, enumerare il contenuto delle directory, eliminare file, creare nuovi processi e terminarsi. Questi comandi vengono quindi utilizzati per eseguire il sideload di MysterySnail RAT.

L'ultima versione del malware è in grado di accettare quasi 40 comandi, consentendogli di eseguire operazioni di gestione dei file, eseguire comandi tramite cmd.exe, avviare e terminare processi, gestire servizi e connettersi alle risorse di rete tramite moduli DLL dedicati.

Kaspersky ha affermato di aver osservato gli aggressori rilasciare una "versione riproposta e più leggera" di MysterySnail, nome in codice MysteryMonoSnail, dopo che le aziende interessate avevano adottato misure preventive per bloccare le intrusioni.

"Questa versione non ha tutte le funzionalità della versione di MysterySnail RAT", ha osservato l'azienda. "È stata programmata per avere solo 13 comandi di base, utilizzati per elencare il contenuto delle directory, scrivere dati su file e avviare processi e shell remote."

https://thehackernews.com/2025/04/multi-stage-malware-attack-uses-jse-and.html?_m=3n%2e009a%2e3646%2esn0ao466fe%2e2o9e

Il kit di smishing cinese alimenta una campagna diffusa di frode tariffaria che prende di mira gli utenti statunitensi in 8 stati

I ricercatori di sicurezza informatica lanciano l'allarme: da metà ottobre 2024 è in corso una campagna di phishing tramite SMS "diffusa e in corso" che prende di mira gli utenti delle autostrade a pedaggio negli Stati Uniti per commettere furti finanziari.

"Gli attacchi di smishing sulle autostrade a pedaggio vengono condotti da più autori di minacce motivati ​​da interessi economici, utilizzando il kit di smishing sviluppato da 'Wang Duo Yu'", hanno valutato con moderata sicurezza i ricercatori di Cisco Talos Azim Khodjibaev, Chetan Raghuprasad e Joey Chen.

Secondo l'azienda, le campagne di phishing impersonano i sistemi di riscossione elettronica del pedaggio statunitensi come E-ZPass, inviando messaggi SMS e iMessage di Apple a persone in Washington, Florida, Pennsylvania, Virginia, Texas, Ohio, Illinois e Kansas per segnalare un pedaggio non pagato e cliccare su un collegamento falso inviato nella chat.

Vale la pena notare che alcuni aspetti della campagna di phishing a pagamento erano stati precedentemente evidenziati dal giornalista di sicurezza Brian Krebs nel gennaio 2025, e che l'attività era riconducibile a un servizio di phishing tramite SMS con sede in Cina chiamato Lighthouse, pubblicizzato su Telegram.

Mentre Apple iMessage disattiva automaticamente i link nei messaggi ricevuti da mittenti sconosciuti, i testi di smishing sollecitano i destinatari a rispondere con "Y" per attivare il link, una tattica osservata in kit di phishing come Darcula e Xiū gǒu.

Se la vittima clicca sul link e visita il dominio, le viene chiesto di risolvere un falso CAPTCHA basato su un'immagine, dopodiché viene reindirizzata a una pagina E-ZPass falsa (ad esempio, "ezp-va[.lcom" o "e-zpass[.]com-etcjr[.]xin") dove le viene chiesto di inserire il suo nome e il codice postale per accedere alla fattura.

Alle vittime viene poi chiesto di procedere ulteriormente per effettuare il pagamento su un'altra pagina fraudolenta, dopodiché tutte le informazioni personali e finanziarie immesse vengono trasmesse agli autori della minaccia.

Talos ha osservato che diversi attori della minaccia stanno portando avanti campagne di smishing sulle autostrade a pedaggio, probabilmente utilizzando un kit di phishing sviluppato da Wang Duo Yu, e che ha osservato kit di smishing simili utilizzati da un altro gruppo cinese di criminalità informatica organizzata noto come Smishing Triad.

È interessante notare che Wang Duo Yu sarebbe anche il creatore dei kit di phishing utilizzati da Smishing Triad, secondo il ricercatore di sicurezza Grant Smith. "Il creatore è uno studente di informatica in Cina che sta usando le competenze che sta imparando per guadagnare un bel gruzzolo extra", ha rivelato Smith in un'analisi approfondita nell'agosto 2024.

Smishing Triad è nota per aver condotto attacchi di smishing su larga scala contro i servizi postali in almeno 121 paesi, utilizzando esche come fallimenti nella consegna dei pacchi per indurre i destinatari dei messaggi a cliccare su link fasulli che richiedono i loro dati personali e finanziari con il pretesto di una presunta commissione di servizio per la riconsegna.

Inoltre, gli autori della minaccia che utilizzano questi kit hanno tentato di registrare i dettagli delle carte di credito delle vittime in un portafoglio mobile, consentendo loro di incassare ulteriormente i loro fondi su larga scala utilizzando una tecnica nota come Ghost Tap.

Si è scoperto inoltre che i kit di phishing contengono backdoor, nel senso che le informazioni sulle carte di credito/debito catturate vengono anche esfiltrate ai creatori, una tecnica nota come doppio furto.

"Wang Duo Yu ha creato e progettato specifici kit di smishing e ne ha venduto l'accesso sui propri canali Telegram", ha affermato Talos. "I kit sono disponibili con diverse opzioni infrastrutturali, al prezzo di 50 dollari ciascuno per lo sviluppo completo, 30 dollari ciascuno per lo sviluppo proxy (quando il cliente dispone di un dominio e un server personali), 20 dollari ciascuno per gli aggiornamenti di versione e 20 dollari per tutto il supporto di vario tipo."

Secondo Silent Push, a partire da marzo 2025, si ritiene che il gruppo dedito alla criminalità informatica abbia concentrato i propri sforzi su un nuovo kit di phishing Lighthouse, finalizzato a raccogliere credenziali da banche e organizzazioni finanziarie in Australia e nella regione Asia-Pacifico.

Gli autori della minaccia affermano inoltre di avere "oltre 300 addetti alla reception in tutto il mondo" per supportare vari aspetti delle frodi e dei sistemi di prelievo di denaro associati al kit di phishing.

"Smishing Triad sta vendendo i suoi kit di phishing anche ad altri autori di minacce informatiche tramite Telegram e probabilmente altri canali", ha affermato l'azienda. "Queste vendite rendono difficile attribuire i kit a un singolo sottogruppo, quindi i siti sono attualmente tutti riconducibili a Smishing Triad."

Secondo Silent Push, a partire da marzo 2025, si ritiene che il gruppo dedito alla criminalità informatica abbia concentrato i propri sforzi su un nuovo kit di phishing Lighthouse, finalizzato a raccogliere credenziali da banche e organizzazioni finanziarie in Australia e nella regione Asia-Pacifico.

Gli autori della minaccia affermano inoltre di avere "oltre 300 addetti alla reception in tutto il mondo" per supportare vari aspetti delle frodi e dei sistemi di prelievo di denaro associati al kit di phishing.

In un rapporto pubblicato il mese scorso, PRODAFT ha rivelato che Lighthouse condivide tattiche simili con kit di phishing come Lucid e Darcula e che opera indipendentemente dal gruppo XinXin, il gruppo criminale informatico dietro il kit Lucid. L'azienda svizzera di sicurezza informatica sta tracciando Wang Duo Yu (alias Lao Wang) come LARVA-241.

"Un'analisi degli attacchi condotti utilizzando i panel Lucid e Darcula ha rivelato che Lighthouse (Lao Wang / Wang Duo Yu) presenta notevoli somiglianze con il gruppo XinXin in termini di targeting, landing page e modelli di creazione di domini", ha osservato PRODAFT.

La società di sicurezza informatica Resecurity, che è stata la prima a documentare lo Smishing Triad nel 2023 e che ha anche monitorato le campagne di truffa, ha affermato che il sindacato dello smishing ha utilizzato oltre 60.000 nomi di dominio, rendendo difficile per Apple e Google bloccare efficacemente l'attività fraudolenta.

"L'utilizzo di servizi di SMS sotterranei di massa consente ai criminali informatici di espandere le proprie operazioni, prendendo di mira milioni di utenti contemporaneamente", ha affermato Resecurity. "Questi servizi consentono agli aggressori di inviare in modo efficiente migliaia o milioni di messaggi di messaggistica istantanea fraudolenti, prendendo di mira singoli utenti o gruppi di utenti in base a dati demografici specifici in diverse regioni."

https://thehackernews.com/2025/04/chinese-smishing-kit-behind-widespread.html

La tua tecnologia di difesa dei confini e dei margini è vulnerabile? Cosa puoi fare al riguardo?

A seguito di una serie di recenti eventi di alto profilo, le tecnologie di difesa perimetrale e di confine, come firewall, gateway VPN e sistemi di prevenzione delle intrusioni, hanno ricevuto molta attenzione sia dai ricercatori sulla sicurezza che dagli autori delle minacce.

Tra queste, una campagna di sfruttamento di massa contro i firewall Fortinet, l'interruzione di CrowdStrike dell'estate 2024 e l'uso di una vulnerabilità per disabilitare i firewall di Palo Alto, tra le altre, ognuna delle quali ha causato diversi livelli di interruzione. Le problematiche sono particolarmente preoccupanti perché colpiscono specificamente i sistemi utilizzati per proteggere le nostre reti dalle minacce.

Alcuni report recenti hanno rivelato che gli attacchi zero-day contro tali dispositivi sono rimasti attivi e inosservati per mesi prima di essere scoperti, con vulnerabilità rimaste inalterate anche dopo l'emissione delle patch. Pertanto, la necessità di un approccio più proattivo alla protezione dei dispositivi è più urgente che mai. Questo perché, se i criminali informatici riuscissero a mettere piede in queste tecnologie, potrebbero potenzialmente controllare l'intera rete dietro il dispositivo, nonché il flusso di traffico in uscita.

È tempo di essere proattivi

Ma come affrontare questi problemi? Dal punto di vista di chi si occupa di sicurezza, è importante comprendere che i dispositivi di sicurezza edge e border non sono intrinsecamente sicuri. Certo, svolgono un ruolo fondamentale e lo fanno da molti anni – ad esempio, i firewall sono utilizzati dal 75% delle aziende del Regno Unito – ma per garantire che rimangano idonei allo scopo, richiedono un approccio basato sulle best practice e aggiornamenti regolari.

A livello pratico, ciò può includere il controllo delle configurazioni dei dispositivi, la revisione e la modifica delle impostazioni predefinite di registrazione e avviso e la limitazione dell'esposizione delle interfacce di gestione e dei servizi sensibili alla rete Internet pubblica. Le organizzazioni dovrebbero inoltre pianificare i possibili scenari , inclusi quelli che presuppongono la compromissione dei dispositivi.

Si considerino, ad esempio, i rischi associati a dispositivi non configurati correttamente, che possono esporre involontariamente interfacce e protocolli di gestione a Internet e renderli visibili a chiunque desideri trovarli. Questo nonostante il fatto che, a meno che il servizio fornito non sia destinato al pubblico generale, relativamente poche tecnologie di difesa edge e border debbano essere completamente accessibili da Internet. L'accesso dovrebbe invece essere limitato su base zero trust/ needs - must.

Portando questo concetto ancora più in là, è anche una buona idea limitare le posizioni da cui è possibile accedere a un dispositivo di difesa perimetrale o di confine a posizioni prevedibili. In questa situazione, i team di sicurezza possono applicare più facilmente regole, autorizzazioni e controlli di accesso che attivano avvisi in caso di tentativi di accesso anomali. Un esempio di questo approccio è quando l'accesso al dispositivo viene instradato tramite una VPN o un jump box, il che garantisce che la posizione sia sempre prevedibile e sotto controllo. Per le organizzazioni in cui l'uso di una VPN non è un'opzione, l'accesso può essere limitato a posizioni fisiche specifiche per mantenere questo prezioso livello di controllo.

Essere proattivi in ​​materia di sicurezza dei dispositivi di difesa edge e border si basa anche su processi come i penetration test, che possono aiutare a identificare configurazioni errate e casi di accesso diretto a Internet indesiderato. Un approccio olistico che testa il maggior numero possibile di dispositivi esterni può garantire ai team di sicurezza un quadro completo di eventuali vulnerabilità legate all'accesso. Grazie a queste informazioni, è molto più facile ed efficace migliorare la sicurezza e garantire che la porta non venga inavvertitamente lasciata aperta.

Non tornare al valore predefinito

Un altro aspetto della difesa edge e border spesso trascurato è quando le organizzazioni si affidano alle impostazioni di log predefinite sui propri dispositivi, o dimenticano di aggiornarle, spesso inadeguate per tracciare e analizzare potenziali exploit di minacce. Inoltre, molte organizzazioni conservano i log dei dispositivi e i dati di avviso solo per poche settimane, un approccio che, in caso di incidente di sicurezza, rende più difficile condurre le necessarie analisi forensi e comprendere l'origine dell'attacco. Ciò è particolarmente vero nel caso di attacchi zero-day, in cui gli exploit possono rimanere attivi e non rilevati per settimane e persino mesi. Per rimanere proattive, le organizzazioni dovrebbero condurre analisi di log regolari (e idealmente in tempo reale) per identificare comportamenti anomali sulla rete e rilevare potenziali minacce.

Il messaggio generale dietro queste best practice è che questi dispositivi di sicurezza critici non sono semplicemente plug-and-play. Sebbene siano sempre più sofisticati e offrano diverse funzionalità di automazione, rimangono vulnerabili agli attacchi. Gli aggressori si affidano alle organizzazioni per dimenticare, ignorare o de-priorizzare la configurazione, la manutenzione e gli aggiornamenti. Prenderanno di mira le organizzazioni con difese deboli, punti di ingresso vulnerabili e che sono esposte a rischi da exploit zero-day e altri problemi di sicurezza specifici dei fornitori. Al contrario, i team di sicurezza in grado di colmare ogni falla di sicurezza relativa ai dispositivi possono garantire che le loro difese edge e border siano robuste e all'altezza della sfida di mantenere le reti sicure.

https://cybersecurity-magazine.com/is-your-edge-and-border-defence-tech-vulnerable-and-what-to-do-about-it/

Gli hacker nordcoreani sfruttano LinkedIn per infettare gli sviluppatori di criptovalute con infostealer

Se sei uno sviluppatore che lavora su progetti di criptovaluta, fai attenzione a chi cerca di assumerti su LinkedIn: potrebbero essere hacker nordcoreani.

In un rapporto del 14 aprile, l'Unità 42, divisione di ricerca di Palo Alto Networks, ha condiviso nuove scoperte su Slow Pisces, un gruppo di hacker affiliato al regime nordcoreano.

In una nuova campagna dannosa iniziata nel 2024, il gruppo si è spacciato per reclutatori su LinkedIn, prendendo di mira gli sviluppatori di progetti di criptovaluta con sfide di codifica dannose.

Queste sfide sfruttano le esche PDF, creando repository dannosi su GitHub che distribuiscono due nuovi payload malware, che i ricercatori dell'Unità 42 hanno chiamato RN Loader e RN Stealer.

Le esche PDF su LinkedIn portano a repository GitHub dannosi

Questa campagna si svolge in più fasi.

In primo luogo, gli hacker di Slow Pisces si spacciano per potenziali reclutatori su LinkedIn e interagiscono con i probabili obiettivi, inviando loro un PDF innocuo con una descrizione del lavoro. Gli obiettivi sono principalmente coinvolti in progetti di criptovaluta.

Esche PDF "benigne". Fonte: Unità 42, Palo Alto Networks

Se gli obiettivi sono validi, gli aggressori presentano loro una sfida di programmazione composta da diversi compiti delineati in un foglio di domande.

Questi fogli di domande in genere includono attività generiche di sviluppo software e una sfida di codifica di un "progetto reale", collegata a un repository GitHub.

I repository contengono codice adattato da progetti open source, tra cui applicazioni per la visualizzazione e l'analisi dei dati del mercato azionario, statistiche dei campionati di calcio europei, dati meteorologici e prezzi delle criptovalute.

"Il gruppo utilizzava principalmente progetti in Python o JavaScript, probabilmente a seconda che la vittima si candidasse per un ruolo di sviluppo front-end o back-end. Abbiamo anche individuato repository basati su Java in questa campagna, sebbene fossero molto meno comuni, con solo due casi in cui si spacciavano per un'applicazione di criptovaluta chiamata jCoin", si legge nel rapporto di Unit 42.

I ricercatori hanno aggiunto che potrebbero esistere repository non scoperti anche per altri linguaggi di programmazione.

Panoramica della campagna "Sfide di programmazione" di Slow Pisces. Fonte: Unità 42, Palo Alto Networks

I repository Python distribuiscono malware Infostealer

In genere, Slow Pisces utilizza repository con più fonti di dati, la maggior parte delle quali legittime e una dannosa.

Slow Pisces evita i metodi tradizionali di distribuzione del malware, facilmente rilevabili, confermando innanzitutto che il suo server di comando e controllo (C2) fornisca dati applicativi validi e previsti (come un elenco JSON di simboli aziendali S&P 500) al repository di destinazione.

Gli aggressori inviano quindi payload dannosi solo a obiettivi accuratamente convalidati in base a fattori quali indirizzo IP, geolocalizzazione, ora e intestazioni HTTP.

Concentrandosi sugli individui contattati tramite LinkedIn anziché condurre campagne di phishing su larga scala, il gruppo controlla attentamente le fasi successive della campagna per distribuire il malware esclusivamente alle vittime designate.

I ricercatori dell'Unità 42 hanno identificato due carichi utili precedentemente sconosciuti, RN Loader e RN Stealer.

RN Loader invia informazioni di base sul computer della vittima e sul sistema operativo tramite HTTPS al server C2 degli hacker.

RN Stealer è un infostealer che estrae dati, anche compressi, dal dispositivo della vittima.

I ricercatori hanno recuperato lo script di un campione di RN Stealer da un sistema macOS. Questo campione era in grado di rubare informazioni specifiche dei dispositivi macOS, tra cui:

• Informazioni di base sulla vittima: nome utente, nome del computer e architettura
• Applicazioni installate
• Un elenco di directory e il contenuto di primo livello della directory home della vittima
• Il file login.keychain-db che memorizza le credenziali salvate nei sistemi macOS
• Chiavi SSH memorizzate
• File di configurazione per AWS, Kubernetes e Google Cloud

I ricercatori dell'Unità 42 non sono riusciti a recuperare l'intera catena di attacco per i repository JavaScript.

Metodi di occultamento avanzati

L'utilizzo di esche come LinkedIn e GitHub è una tattica comune tra gli attori nordcoreani responsabili delle minacce, tra cui Alluring Pisces e Contagious Interview.

Tuttavia, Slow Pisces si distingue per la rigorosa sicurezza operativa: fornisce payload che esistono esclusivamente nella memoria e implementa metodi di occultamento avanzati come la deserializzazione YAML e EJS escapeFunction solo quando necessario.

Queste tattiche ostacolano l'analisi e il rilevamento, rendendo particolarmente difficile per gli sviluppatori di criptovalute inesperti identificare le minacce.

I resoconti pubblici sui furti di criptovalute suggeriscono che questa campagna ha avuto un grande successo e potrebbe continuare fino al 2025, sottolineando la necessità di una rigorosa separazione dei dispositivi aziendali e personali per mitigare il rischio di attacchi mirati di ingegneria sociale.

L'Unità 42 ha confermato che GitHub e LinkedIn hanno rimosso gli account e i repository in questione.

Informazioni sui Pesci Lenti

Slow Pisces (noto anche come Jade Sleet, TraderTraitor e Pukchong) è un gruppo di hacker sponsorizzato dallo stato nordcoreano, il cui obiettivo principale è generare entrate per il regime, in genere prendendo di mira grandi organizzazioni, con particolare attenzione al settore delle criptovalute.

Si dice che il gruppo abbia rubato oltre 1 miliardo di dollari dal settore delle criptovalute nel 2023, utilizzando vari metodi, tra cui false applicazioni di trading, malware diffuso tramite Node Package Manager (NPM) e compromissioni della supply chain.

Nel dicembre 2024, l'FBI ha collegato Slow Pisces al furto di 308 milioni di dollari da una società di criptovalute con sede in Giappone.

Più di recente, il gruppo ha attirato l'attenzione per il suo presunto ruolo nel furto di 1,5 miliardi di dollari da un exchange di criptovalute di Dubai.

https://www.infosecurity-magazine.com/news/north-korea-hackers-linkedin/

Il fronte invisibile: impatto della cyberwar Algeria-Marocco sulle aziende italiane

Le tensioni tra Algeria e Marocco, storicamente radicate in dispute territoriali e divergenze politiche, si stanno riversando con forza nel dominio cibernetico.

Il gruppo di hacker algerini JabaRoot DZ ha recentemente rivendicato un attacco informatico su larga scala ai danni di enti pubblici marocchini, rivelando profonde vulnerabilità nei sistemi di sicurezza del Paese e causando una massiccia fuga di dati sensibili.

Cyber attacco contro il Marocco

La sera dell’8 aprile 2025, infatti, JabaRoot DZ ha annunciato sul proprio canale Telegram di aver condotto un cyber attacco di ampia portata violando i sistemi informatici di alcune istituzioni del Marocco ed esfiltrando informazioni personali relative a quasi due milioni di cittadini marocchini.

Tra gli obiettivi colpiti, figurano il sito del ministero per l’Inclusione economica, le Piccole imprese e l’occupazione, e il database del Fondo nazionale di previdenza sociale (CNSS).

A destare particolare preoccupazione è l’entità della violazione. I dati sottratti, pubblicati dal gruppo su Telegram, comprendono infatti: un file CSV con informazioni relative a 499.881 aziende, inclusi nomi commerciali, numeri di registrazione, date di costituzione, dati bancari e identità dei direttori. Tra le entità coinvolte si annoverano il Mohammed VI Investment Fund, il Crédit du Maroc, e perfino Siger, la holding personale del monarca;

un secondo file CSV con dati su 1.996.026 dipendenti iscritti al CNSS, tra cui nomi, indirizzi e-mail, numeri di carte d’identità e dettagli occupazionali;

circa 53.574 file PDF contenenti elenchi dei dipendenti delle aziende e i relativi stipendi.

Inoltre, tra i documenti esfiltrati figurano anche dati finanziari non verificati riguardanti dirigenti di aziende statali, membri di partiti politici, personaggi associati al fondo di beneficenza della famiglia reale marocchina, nonché individui connessi all’ufficio di collegamento israeliano a Rabat.

Tuttavia, in un comunicato stampa pubblicato il giorno dopo l’attacco, il CNSS ha affermato che i primi controlli effettuati sui documenti divulgati hanno rivelato che questi contenevano informazioni false, inesatte o troncate.

Cyberguerra fra Algeria e Marocco: cosa sappiamo

Secondo quanto dichiarato dal gruppo algerino, l’attacco sarebbe stato una ritorsione contro presunte attività ostili compiute da hacker marocchini, accusati di aver compromesso l’account X dell’Algerian Press Service (APS), agenzia di stampa nazionale algerina.

JabaRoot DZ ha inoltre asserito che “qualsiasi futura azione ostile contro gli interessi algerini incontrerà risposte ancora più forti”, minacciando nuove offensive informatiche in caso di ulteriori attacchi ai danni di siti algerini.

Le frizioni tra i due Paesi si sono dunque spostate nel cyberspazio. Secondo quanto recentemente dichiarato dal ministro delegato per l’amministrazione della Difesa nazionale, Abdeltif Loudiyi, infatti, solo nel 2024 il Marocco ha registrato 644 attacchi informatici, di cui 134 hanno richiesto interventi tecnici urgenti da parte del Centro per la vigilanza, il monitoraggio e la risposta agli attacchi informatici.

Il ministro ha inoltre aggiunto che alla luce dell’escalation dei cyber attacchi, sono state implementate misure di protezione avanzate per incrementare la sicurezza dei sistemi informativi e delle infrastrutture vitali.

Tuttavia, nonostante le contromisure recentemente adottate, l’offensiva informatica dell’8 aprile ha messo in luce gravi lacune nella resilienza cibernetica del Paese.

Il picco più alto della cyberguerra fra Algeria e Marocco

Questo episodio rappresenta il picco più alto – finora – della guerra informatica tra Algeria e Marocco, inserendosi nel contesto di una crisi diplomatica che si protrae da anni.

Nell’agosto 2021, infatti, l’Algeria ha interrotto le relazioni diplomatiche con il Marocco, accusando Rabat di aver perpetrato atti ostili nei confronti del governo di Algeri. Tra i principali motivi di attrito figurano la normalizzazione dei rapporti tra Marocco e Israele avvenuta nel 2020, il sostegno marocchino ai movimenti separatisti della Cabilia e la disputa irrisolta sul Sahara Occidentale.

Tale regione, considerata dall’ONU un “territorio non autonomo”, è teatro di un conflitto che da oltre cinquant’anni vede contrapposti il ​​Marocco e il movimento indipendentista saharawi del Fronte polisario, sostenuto dall’Algeria.

A tal proposito, in una conferenza stampa tenutasi giovedì 10 aprile, il portavoce del governo marocchino Mustapha Baitas ha affermato che gli attacchi farebbero parte di una strategia mirata a minare il crescente sostegno internazionale al Marocco, specialmente in relazione al conflitto del Sahara Occidentale.

Nel 2020, infatti, nel corso del suo primo mandato, il presidente Donald Trump ha modificato la posizione consolidata degli Usa sostenendo apertamente la sovranità del Marocco sul territorio. Tale posizione non è stata revocata né esplicitamente confermata durante la presidenza Biden.

Secondo Baitas, la tempistica di questi attacchi informatici non è stata casuale, ma ha coinciso con la dichiarazione da parte del Segretario di Stato americano Marco Rubio del rinnovato riconoscimento della sovranità del Marocco sulla regione contesa.

L’impatto del cyber attacco sulle aziende italiane

Considerata la vasta portata delle informazioni sottratte da JabaRoot DZ, l’impatto dell’attacco potrebbe avere ripercussioni ben oltre i confini maghrebini. Il Marocco rappresenta, infatti, un partner strategico per diversi Paesi europei, tra cui l’Italia, che detiene investimenti significativi nel Paese.

Come affermato il 10 aprile 2025 da Nicola Vanin, Chief Information Security Officer di Cassa Depositi e Prestiti, le aziende italiane che operano sul territorio marocchino potrebbero subire conseguenze indirette per via della fuga di dati e delle interruzioni ai servizi.

La violazione delle infrastrutture digitali marocchine potrebbe infatti rallentare, complicare o mettere a rischio transazioni economiche bilaterali, catene di fornitura e informazioni sensibili relative alle aziende italiane attive nel Paese.

Inoltre, è importante considerare che tra i dati esfiltrati dal gruppo di hacker algerino potrebbero esserci anche informazioni personali riguardanti stranieri, inclusi cittadini italiani, che risiedono o lavorano in Marocco.

È dunque fondamentale monitorare la questione e comprendere se vi siano rischi diretti per i nostri connazionali e per le aziende italiane operanti nel Paese.

Il cyberspazio come frontiera del confronto geopolotico

L’attacco di JabaRoot DZ è solo l’ultimo esempio di come il cyberspazio si sia trasformato in un’estensione del confronto geopolitico.

In uno scenario internazionale sempre più segnato da “guerre fredde digitali”, i gruppi hacker – spesso legati o tollerati da apparati statali – diventano strumenti di pressione, operando in una zona grigia tra guerra convenzionale, intelligence e terrorismo informatico.

Per il Marocco – così come per qualsiasi altro attore statale – la resilienza cibernetica non può più essere considerata un’opzione, ma una necessità strategica per proteggere non solo i dati dei cittadini, ma anche la propria stabilità interna, le relazioni diplomatiche e la competitività economica sul piano globale.

https://www.cybersecurity360.it/cybersecurity-nazionale/il-fronte-invisibile-impatto-della-cyberwar-algeria-mar

Nuova truffa UniCredit con SMS e telefonate false a tema: come proteggersi

Una truffa particolarmente insidiosa sta prendendo di mira i clienti di UniCredit mediante SMS e telefonate fraudolenti che informano la vittima di una presunta situazione urgente, come un accesso non autorizzato o un tentativo di frode sul conto.

Ecco come riconoscere la trappola e difendersi

Spoofing, chiamate false che inducono all’errore

Meccanismo della truffa: La truffa inizia con un SMS fraudolento che appare nella cronologia dei messaggi ufficiali della banca, invitando il destinatario a contattare un numero per un’emergenza bancaria. Una volta chiamato, un truffatore che finge di essere un operatore UniCredit informa la vittima di una situazione urgente e induce a eseguire bonifici istantanei per “proteggere il conto”.

Pericolosità della truffa: Questa frode è particolarmente insidiosa per l’uso di tecniche di “spoofing”, che rendono autentiche le chiamate e i messaggi, e per il fatto che non vengono chieste credenziali ma l’esecuzione diretta di operazioni dal conto della vittima. I bonifici istantanei rendono il recupero del denaro difficile.

Misure di protezione: Si consiglia di diffidare di richieste di bonifici via telefono, non richiamare numeri sospetti, non condividere informazioni personali, verificare sempre le comunicazioni con la banca tramite canali ufficiali e segnalare immediatamente i tentativi di truffa alle autorità competenti.

Un tentativo di truffa sta mettendo a rischio i clienti bancari UniCredit attraverso SMS inviati con la tecnica dello smishing e telefonate false che sembrano provenire dall’istituto bancario.

La banca ha diramato un avviso per mettere in guardia gli utenti e prevenire possibili perdite finanziarie.

Come funziona la truffa a tema UniCredit

Il raggiro inizia con un SMS fraudolento che appare nella stessa cronologia dei messaggi ufficiali della banca. Il testo invita il destinatario a chiamare un numero per una “emergenza bancaria”.

Una volta contattato il numero, il truffatore, fingendosi un operatore UniCredit, informa il cliente di una presunta situazione urgente, come un accesso non autorizzato o un tentativo di frode sul conto.

Dopo questa prima chiamata, la vittima viene ricontattata da un altro numero che sembra appartenere alla banca, spesso spacciato come Servizio Clienti o Ufficio Antifrode.

Fonte: UniCredit.

A questo punto, l’operatore falso fornisce istruzioni per eseguire bonifici istantanei, spesso giustificati con la necessità di “proteggere il conto” o “bloccare un’operazione sospetta”.

Il cliente, pensando di seguire una procedura ufficiale, esegue i bonifici istantanei direttamente dal proprio dispositivo senza mai rivelare le proprie credenziali.

Purtroppo, poiché i bonifici istantanei vengono eseguiti in tempo reale, il denaro viene trasferito immediatamente ai truffatori, rendendone estremamente difficile il recupero.

Perché questa truffa è pericolosa

Questa frode è particolarmente insidiosa perché sfrutta tecniche di spoofing, ovvero la manipolazione dell’identità del chiamante. Il numero visualizzato dalla vittima può apparire autentico, rendendo difficile riconoscere l’inganno.

Inoltre, il fatto che il primo contatto avvenga tramite SMS inserito nella cronologia ufficiale della banca aumenta il senso di autenticità della comunicazione.

La truffa dell’SMS a tema uniCredit è completata dal Vishing

Il vishing o voice phishing, è una forma di truffa in cui i malintenzionati cercano di ottenere informazioni sensibili o indurre le vittime a compiere azioni dannose tramite chiamate telefoniche.

Durante queste chiamate, i truffatori si spacciano spesso per rappresentanti di enti affidabili come banche, istituzioni governative o aziende, e utilizzano tecniche di inganno per convincere le vittime a fornire dettagli personali, come numeri di conto bancario, password o informazioni della carta di credito, oppure per indurle a trasferire denaro o eseguire altre operazioni finanziarie.

Il vishing è una tecnica di social engineering, cioè si basa sull’inganno e sulla manipolazione psicologica per indurre le persone a rivelare informazioni riservate o a compiere determinate azioni.

Come i truffatori convincono a effettuare un bonifico istantaneo

I fantomatici operatori di banca, cioè i malfattori, convincono con la persuasione la vittima a effettuare un bonifico istantaneo per pagare un prodotto o un servizio.

Con il bonifico istantaneo, il beneficiario (in questo caso il truffatore) potrà disporre del denaro trasferito entro pochi secondi dalla conclusione dell’operazione bancaria.

E per la vittima sarà impossibile recuperare la somma estorta a causa della natura finanziaria del bonifico istantaneo.

Molte vittime non si rendono conto dell’inganno anche perché non viene chiesto loro di fornire PIN o password, ma di eseguire direttamente le operazioni dal proprio conto, rendendo il tutto più credibile.

Come proteggersi dalla truffa a tema UniCredit

Per evitare di cadere vittima di questa truffa a tema UniCredit, si consiglia di seguire alcune semplici precauzioni:Diffidare di qualsiasi richiesta di bonifici o trasferimenti di denaro ricevuta via telefono. Le banche non chiedono mai di spostare fondi per motivi di sicurezza.

Non richiamare numeri forniti via SMS o e-mail. Se ricevi un messaggio sospetto, contatta la tua banca solo attraverso i numeri ufficiali reperibili sul sito web.

Non condividere informazioni personali o bancarie. Anche se il chiamante sembra essere un operatore ufficiale, non fornire mai PIN, password o codici di sicurezza.

Verificare le comunicazioni. Se ricevi una chiamata sospetta, chiudi la telefonata e ricontatta direttamente la banca attraverso canali ufficiali.

Segnalare immediatamente i tentativi di truffa. Se sospetti di essere stato contattato da un truffatore, informa subito la tua banca e le autorità competenti.

Incogni, il servizio online che cancella i dati personali

Incogni è un servizio specializzato nella protezione della privacy online attraverso la rimozione dei dati personali da internet.Con Incogni è più difficile per aziende e malintenzionati trovare e utilizzare le informazioni personali degli utenti.

Ecco come funziona:

Rimozione dati personali: Incogni individua e rimuove le informazioni personali dai siti web che raccolgono e vendono questi dati, noti come broker di dati. Questo aiuta a ridurre la visibilità online delle informazioni sensibili.

Riduzione dei rischi di truffa: Eliminando i dati personali dalla rete, Incogni abbassa il rischio di essere vittima di spam, truffe, furti d’identità e attacchi di phishing.

Automazione e continuità: Il servizio funziona in modo automatizzato, inviando regolarmente richieste di rimozione ai broker di dati. Questo assicura che le informazioni non vengano ripubblicate con il tempo.

Rapporti regolari: Gli utenti ricevono rapporti regolari sullo stato della rimozione dei loro dati, permettendo loro di monitorare l’efficacia del servizio e mantenere il controllo sui propri dati personali.

Garanzia di rimborso: Incogni offre una garanzia di rimborso entro 30 giorni per assicurarsi che i clienti siano soddisfatti del servizio.

Le frodi bancarie stanno diventando sempre più sofisticate e i criminali sfruttano le nuove tecnologie per ingannare le loro vittime.

La migliore difesa è la consapevolezza: se ricevi un SMS o una telefonata che ti chiede di eseguire operazioni finanziarie urgenti, fermati e verifica con attenzione.

La prudenza, in questi casi, non è mai troppa.

https://www.cybersecurity360.it/news/nuova-truffa-con-sms-e-telefonate-false-a-tema-unicredit-come-proteggersi/