Un pizzico di ALPHV e Agenzia Cyber, Tor nel futuro e MaliBot come trojan bancario su Unicredit e Satander
Buon sabato e ben ritrovato caro cyber User. Nel primo punto stavolta mi dilungo un po' sui fatti della settimana, e poi i racconti di questo sabato.
In breve oggi ti parlo di:
Mi dilungo sui fatti della settimana
Tor sembra mettere le basi per l'Internet del futuro
Oggi è MaliBot, attenzione con gli smartphone Android
Mi dilungo sui fatti della settimana
Settimana che ha visto, tra i fatti più chiacchierati, l'addio definitivo allo storico browser Web di casa Microsoft, Internet Explorer che ha cessato ufficialmente il 15 giugno 2022, con la "commozione" quasi WorldWide.
Diverse discussioni si sono accese (anche in Italia) sulla cyber gang di ransomware ALPHV BlackCat, l'attacco all'Università di Pisa con la paura crescente per la diffusione dei file rubati, Brian Krebs che ha analizzato un nuovo schema estorsivo sull'Internet pubblico della medesima cyber gang e Microsoft che ha riproposto una analisi del software ransomware utilizzato da BlackCat, il tutto nei primi 3 giorni della settimana.
Altra informazione della settimana della quale tenere traccia è la costituzione del nuovo Comitato Tecnico Scientifico per la cybersecurity a completamento dell'Agenzia per la Cybersicurezza Nazionale (ACN), sono stati diffusi i nomi dei 9 membri che ne faranno parte.
Con l'occasione anche il sottosegretario alla Difesa Giorgio Mulè si è espresso dicendo che «Con l’Agenzia Nazionale sulla Cybersicurezza l’Italia si è dotata di uno strumento efficace», secondo le sue dichiarazioni il problema rimarrebbero le PMI non adeguatamente protette.
Segnalo che della questione ne parla in maniera dettagliata, questo articolo di Giornalettismo.
Ricordiamo al lettore che queste dichiarazioni arrivano nella stessa settimana della notizia di un grosso attacco a Università di Pisa (ente statale) e a pochi giorni di distanza dall'attacco al Comune di Palermo (ente statale). Non si capisce dunque se sono frutto di semplice confusione, tra l'aver respinto con successo alcuni DDoS che stanno colpendo l'Italia da gruppi di attivisti impegnati nella propaganda Russia - Ucraina, e la messa in sicurezza (a 360 gradi) dei sistemi che contengono dati riservati. Oppure se le dichiarazioni sono semplicemente parte di una più ampia campagna elettorale (sempre attiva), che sfrutta l'ondata dei nuovi insediamenti governativi (a completamento dell'ACN).
Tor sembra mettere le basi per l'Internet del futuro
Un interessante podcast recente di Malwarebytes LAB, con la partecipazione del noto Alec Muffett, fa emergere la questione dello sviluppo della Rete così come la conosciamo noi adesso, da un lato poco studiato, quello della sicurezza del Web. In effetti che Internet esponga quotidianamente l'utente che naviga, a numerosi rischi di sicurezza è indubbio. Solo che non ci si pensa. In effetti una semplice navigazione Web, può essere intercettata, dirottata e i dati possono essere catturati, tutto per fini poco leciti e sicuramente non voluti dall'utente iniziale che ha fatto la richiesta di navigazione.
Allo stesso modo anche i gestori dei siti Web sono sottoposti a rischi con i loro DNS e nomi di dominio associati, che possono essere manomessi. Ciò che negli anni a venire potrebbe davvero cambiare la sicurezza globale di Internet e del Web, così come lo conosciamo, è Tor. La rete onion infatti è stata nominata ed analizzata largamente da Muffett, che l'ha definita come un "da te a loro. End-to-End sicuro".
Ciò che si vuole intendere con questa frase è sostanzialmente che quando si cerca un indirizzo specifico ".onion" quindi sotto rete Tor, si sta effettuando l'interrogazione utilizzando la chiave crittografica del server che ospita il sito web che stavi cercando, il quale risponderà unicamente se la chiave è effettivamente giusta.
È importante sottolineare che in questo discorso, non si fa riferimento all'utilizzo di Tor come porta d'accesso al darkweb, unicamente per l'aspetto negativo e criminale con il quale tutti lo ricordano. Qui Muffett, che è una voce autorevole nel settore (ha sviluppato personalmente il porting di diversi siti web globali verso la rete Tor, come Twitter e New York Times), evidenzia come Tor possa diventare la tecnologia di base per ogni connessione Web utile a finalizzare una navigazione. Un po' come si è passati, ormai quasi esclusivamente, dall'HTTP all'HTTPS, Muffett sostiene che il prossimo passaggio possa essere con la crittografia, come base di sicurezza atta a risolvere tutti quei problemi che impattano dal momento in cui un utente richiede un sito Internet digitandone il www sul browser, a quando vede effettivamente apparire il sito Web davanti al proprio monitor. Una crittografia end-to-end garantirebbe che ciò che si chiede è effettivamente ciò che si vede, senza possibilità di dirottamenti lato utente o lato sito Web (con i DNS).
Insomma tutto il sistema potrebbe trarne beneficio, in termini di sicurezza.
Oggi è MaliBot, attenzione con gli smartphone Android
Non più tardi di due settimane fa, parlavo qui su NINAsec di FluBot, oggi si parla invece di MaliBot, nuovo malware che si rivolge ai consumatori di servizi bancari online e portafogli di criptovaluta in Spagna e in Italia. L'operatività è infatti la medesima, compresi i danni che si cerca di infliggere alle vittime. Nonostante l'arresto da parte delle forze dell'ordine di tutto il meccanismo dietro a FluBot, come spesso accade questo non ha fatto demordere i criminali a incidere su una nuova operazione malevola, con un nuovo software, distribuito per Android.
MaliBot è noto per assumere la forma di app di mining di criptovaluta come Mining X o The CryptoApp, che sono diffuse attraverso siti Web fasulli progettati per invogliare le persone a scaricarle.
Alcune delle banche prese di mira da MaliBot utilizzando questo approccio includono UniCredit, Santander, CaixaBank e CartaBCC. Nonché dati sensibili delle app Binance e Trust Wallet, come saldi totali e chiavi di autenticazione (le frasi iniziali).
Il trojan per il furto di informazioni, soprannominato MaliBot dallo studio di F5 Labs, ha tutte le caratteristiche di altre minacce per il mondo mobile.
Tra le funzionalità note si evidenzia:
raccogliere credenziali e cookie,
aggirare i codici di autenticazione a più fattori (MFA),
rubare le credenziali 2FA dall'app Google Authenticator,
sfrutta lo smishing come vettore di distribuzione tramite accessi ai contatti di uno smartphone infetto, inviando SMS con collegamenti al virus.
I server di comando e controllo (C2) di MaliBot hanno sede in Russia e sembrano essere gli stessi che hanno distribuito il virus Sality. È una versione sostanzialmente ottimizzata del SOVA, malware del 2021, con nuove funzionalità, obiettivi, server C2, domini e tecniche di compressione.
Il pericolo d'impatto è che, qualsiasi applicazione che utilizzi WebView è vulnerabile al furto delle credenziali e dei cookie dell'utente, sotto il malware MaliBot.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon sabato, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.