redmount.xyz

Immagina di essere spiato sul tuo smartphone… senza cliccare nulla. Nessun link sospetto, nessuna app strana installata. Eppure, ogni tuo messaggio, ogni chiamata, ogni spostamento è sotto controllo. Fantascienza? Purtroppo no. È esattamente quello che può fare Graphite, uno spyware avanzato sviluppato dalla società israeliana Paragon Solutions, recentemente finito sotto i riflettori in Italia per motivi tutt’altro che rassicuranti. Chi è finito nel mirino di Graphite? Tra le vittime accertate ci sono nomi noti del panorama civile italiano: Luca Casarini, fondatore dell’ONG Mediterranea Saving Humans Francesco Cancellato, direttore di Fanpage Don Mattia Ferrari, cappellano della stessa ONG Tutti sono stati avvisati da Meta di essere stati bersaglio di un attacco “sofisticato, sostenuto da entità governative”. E no, non si tratta di teorie complottistiche: il Guardian ha confermato che Paragon ha interrotto i rapporti con l’Italia, proprio in seguito all’utilizzo non autorizzato del su...

Negli ultimi anni, il mercato dello spyware è cresciuto in modo esponenziale, con aziende che sviluppano strumenti sempre più sofisticati per la sorveglianza digitale. Tra queste, Paragon si è distinta come uno dei principali attori, con operazioni che hanno sollevato numerose preoccupazioni riguardo alla privacy e alla sicurezza dei cittadini. Un recente rapporto di Citizen Lab ha gettato luce sulle attività di Paragon, rivelando dettagli inquietanti sulle sue operazioni di spyware. Chi è Paragon? Paragon è un'azienda che opera nel settore della sorveglianza digitale, fornendo strumenti di monitoraggio e spyware a governi e agenzie di intelligence. Fondata da ex membri di unità militari e di intelligence, Paragon si presenta come un'azienda all'avanguardia nella lotta al terrorismo e al crimine organizzato. Tuttavia, le sue attività hanno spesso oltrepassato i confini della legalità, sollevando interrogativi etici e legali. Le operazioni di spyware Secondo il rapporto di C...

Negli ultimi anni, la crescente diffusione di spyware avanzati ha sollevato seri interrogativi sulla privacy e sulla sicurezza delle informazioni. Uno dei nomi più recenti a emergere nel panorama della sorveglianza digitale è Graphite , uno spyware sviluppato dalla società israeliana Paragon Solutions . Questo strumento ha attirato l’attenzione internazionale per il suo utilizzo da parte di governi e agenzie di intelligence, ma anche per le preoccupazioni legate ai diritti fondamentali e alla libertà di stampa. Cos’è Graphite? Graphite è uno spyware di livello governativo progettato per infiltrare dispositivi mobili e raccogliere informazioni sensibili. A differenza di altri spyware commerciali, Graphite viene venduto esclusivamente a enti statali per attività di intelligence e contrasto al crimine organizzato. Tuttavia, recenti rivelazioni indicano che è stato utilizzato anche per monitorare giornalisti e attivisti, sollevando interrogativi sulla sua gestione e sulle sue implicazioni ...

Nel mondo del pentesting e del CTF, capita spesso di cercare proof-of-concept (PoC) su GitHub o altrove per testare vulnerabilità o comprendere meglio il funzionamento di un exploit. È una pratica comune, ma non sempre sicura. Purtroppo, alcuni PoC in circolazione sono stati deliberatamente confezionati per agire come dropper o malware, sfruttando l’ingenuità di chi li esegue senza verificarli. Un caso recente riguarda un PoC apparentemente legittimo per la CVE-2023-3824, pubblicato su GitHub. Il codice sembrava valido, ma conteneva un payload offuscato che, una volta decompresso ed eseguito, scaricava da un repository remoto diversi binari tra cui un cryptominer e uno script shell persistente. Il tutto veniva installato nella directory ~/.local/bin , e avviato tramite un servizio systemd mascherato come Xsession Auth daemon . Il repository remoto era ospitato su Codeberg, ma oggi risulta rimosso. Alcuni utenti si sono accorti del comportamento sospetto leggendo il codice o esaminand...

I siti WordPress sono presi di mira da un ceppo precedentemente sconosciuto di malware Linux che sfrutta i difetti in oltre due dozzine di plugin e temi per compromettere i sistemi vulnerabili. "Se i siti utilizzano versioni obsolete di tali componenti aggiuntivi, prive di correzioni cruciali, le pagine Web mirate vengono iniettate con JavaScript dannosi", ha affermato il fornitore di sicurezza russo Doctor Web in un rapporto pubblicato la scorsa settimana. "Di conseguenza, quando gli utenti fanno clic su qualsiasi area di una pagina attaccata, vengono reindirizzati ad altri siti". Gli attacchi comportano l'armamento di un elenco di vulnerabilità di sicurezza note in 19 diversi plug-in e temi che sono probabilmente installati su un sito WordPress, utilizzandolo per distribuire un impianto che può prendere di mira un sito Web specifico per espandere ulteriormente la rete. È anche in grado di iniettare codice JavaScript recuperato da un server remoto per reindiriz...

Un attore di minaccia persistente avanzata (APT) di lingua cinese "estremamente sofisticato" soprannominato LuoYu è stato osservato utilizzare uno strumento Windows dannoso chiamato WinDealer che viene fornito per mezzo di attacchi man-on-the-side. "Questo sviluppo rivoluzionario consente all'attore di modificare il traffico di rete in transito per inserire payload dannosi", ha affermato la società russa di sicurezza informatica Kaspersky in un nuovo rapporto. "Tali attacchi sono particolarmente pericolosi e devastanti perché non richiedono alcuna interazione con il bersaglio per portare a un'infezione di successo". Conosciute per essere attive dal 2008, le organizzazioni prese di mira da LuoYu sono principalmente organizzazioni diplomatiche straniere stabilite in Cina e membri della comunità accademica, nonché società finanziarie, di difesa, logistiche e di telecomunicazioni. L'uso di WinDealer da parte di LuoYu è stato documentato per la pr...

Un certo numero di app Android canaglia che sono state installate cumulativamente dal Google Play Store ufficiale più di 50.000 volte vengono utilizzate per prendere di mira banche e altri enti finanziari. Si dice che il trojan bancario a noleggio, soprannominato Octo, sia un rebranding di un altro malware Android chiamato ExobotCompact, che, a sua volta, è un sostituto "leggero" del suo predecessore Exobot, ha affermato la società di sicurezza mobile olandese ThreatFabric. Si dice anche che Exobot abbia aperto la strada a un discendente separato chiamato Coper, che è stato inizialmente scoperto come bersaglio degli utenti colombiani intorno a luglio 2021, con infezioni più recenti rivolte agli utenti Android in diversi paesi europei. Come altri trojan bancari Android, le app non sono altro che contagocce, la cui funzione principale è distribuire il payload dannoso incorporato al loro interno. L'elenco dei contagocce Octo e Coper utilizzati da più attori delle minacce è d...

Un attacco informatico in Iran ha danneggiato le stazioni di servizio in tutto il paese, interrompendo le vendite di carburante e deturpando i cartelloni elettronici per mostrare messaggi che sfidavano la capacità del regime di distribuire benzina. Post e video diffusi sui social media hanno mostrato messaggi che dicevano: "Khamenei! Dov'è il nostro gas?" — un riferimento al leader supremo del paese, l'ayatollah Ali Khamenei. Altri cartelli recitano: "Gas gratuito nella stazione di servizio di Jamaran", con le pompe di benzina che mostrano le parole "attacco informatico 64411" quando si tenta di acquistare carburante, secondo quanto riportato dall'agenzia di stampa semi-ufficiale dell'agenzia di stampa iraniana degli studenti (ISNA) . Abolhassan Firouzabadi, capo del Consiglio supremo del cyberspazio iraniano, ha affermato che gli attacchi sono stati "probabilmente" sponsorizzati dallo stato, ma ha aggiunto che è troppo presto...

Lazarus Group, il gruppo di minacce persistenti avanzate (APT) attribuito al governo nordcoreano, è stato osservato condurre due distinte campagne di attacco alla catena di approvvigionamento come mezzo per ottenere un punto d'appoggio nelle reti aziendali e prendere di mira un'ampia gamma di entità a valle. L'ultima operazione di intelligence di raccolta ha comportato l'uso di MATA quadro malware, nonché backdoor doppiati BLINDINGCAN e COPPERHEDGE per attaccare l'industria della difesa, un fornitore della soluzione di monitoraggio delle risorse IT con sede a Lettonia e un think tank con sede in Corea del Sud, secondo un nuovo Rapporto sulle tendenze APT del terzo trimestre 2021 pubblicato da Kaspersky. In un caso, l'attacco alla catena di approvvigionamento ha avuto origine da una catena di infezione originata da un legittimo software di sicurezza sudcoreano che esegue un payload dannoso, portando alla distribuzione del malware BLINDINGCAN e COPPERHEDGE sull...

È stato trovato un rootkit appena identificato con una firma digitale valida emessa da Microsoft che viene utilizzata per proxy del traffico agli indirizzi Internet di interesse per gli aggressori da oltre un anno prendendo di mira i giocatori online in Cina. Bitdefender, società di tecnologia di sicurezza informatica con sede a Bucarest, ha chiamato il malware " FiveSys " , indicando il suo possibile furto di credenziali e i motivi del dirottamento degli acquisti all'interno del gioco. Il produttore di Windows da allora ha revocato la firma in seguito alla divulgazione responsabile. "Le firme digitali sono un modo per stabilire fiducia", hanno affermato i ricercatori di Bitdefender in un white paper, aggiungendo "una firma digitale valida aiuta l'attaccante a aggirare le restrizioni del sistema operativo sul caricamento di moduli di terze parti nel kernel. Una volta caricato, il rootkit consente suoi creatori di ottenere privilegi virtualmente illimi...

I ricercatori di malware ritengono che questa botnet abbia guadagnato milioni sfruttando una facile scorciatoia presa da molti La botnet di lunga data nota come MyKings è ancora in attività e ha incassato almeno $ 24,7 milioni utilizzando la sua rete di computer compromessi per estrarre criptovalute. MyKings, noto anche come Smominru e Hexmen, è la più grande botnet al mondo dedicata al mining di criptovalute, sfruttando le CPU desktop e server delle vittime. È un'attività redditizia che ha attirato l'attenzione nel 2017 dopo aver infettato più di mezzo milione di computer Windows per estrarre circa 2,3 milioni di dollari di Monero in un mese. La società di sicurezza Avast ha ora confermato che i suoi operatori hanno acquisito almeno $ 24,7 milioni in varie criptovalute che sono state trasferite su conti Bitcoin, Ethereum e Dogecoin. Sostiene, tuttavia, che il gruppo ha realizzato la maggior parte di questo attraverso il suo "modulo ladro di appunti". Quando rileva c...

Sono emersi dettagli su una nuova campagna di spionaggio informatico diretta contro l'industria aerospaziale e delle telecomunicazioni, principalmente in Medio Oriente, con l'obiettivo di rubare informazioni sensibili su risorse critiche, infrastrutture e tecnologia delle organizzazioni rimanendo all'oscuro ed eludendo con successo le soluzioni di sicurezza . La società di sicurezza informatica con sede a Boston Cybereason ha soprannominato gli attacchi " Operazione Ghostshell ", sottolineando l'uso di un trojan di accesso remoto (RAT) precedentemente non documentato e furtivo chiamato ShellClient che viene distribuito come il principale strumento di spionaggio preferito. Il primo segno degli attacchi è stato osservato nel luglio 2021 contro un insieme selezionato di vittime, indicando un approccio altamente mirato. "ShellClient RAT è in fase di sviluppo almeno dal 2018, con diverse iterazioni che hanno introdotto nuove funzionalità, mentre è sfuggito agl...

TangleBot utilizza un keylogger per rubare le informazioni inserite nei siti Web e può monitorare la posizione delle vittime, oltre a registrare segretamente audio e video. Un'altra nuova forma di malware Android viene diffusa tramite messaggi di testo con l'obiettivo di indurre le vittime a fare clic su un collegamento dannoso e consentire inavvertitamente ai criminali informatici di ottenere il pieno controllo del dispositivo per rubare informazioni personali e dettagli bancari. Soprannominato TangleBot, il malware è apparso per la prima volta a settembre e una volta installato ottiene l'accesso a molte diverse autorizzazioni necessarie per intercettare le comunicazioni e rubare dati sensibili, inclusa la possibilità di monitorare tutte le attività dell'utente, utilizzare la fotocamera, ascoltare l'audio, monitorare la posizione del dispositivo e altro ancora. Attualmente, si rivolge a utenti negli Stati Uniti e in Canada. La campagna è stata dettagliata dai ri...

Diverse agenzie di sicurezza nazionale, coordinate da Europol e Interpol, hanno arrestato due sospetti operatori di ransomware in Ucraina. Come annunciato lunedì da Europol, i due uomini sono stati arrestati il ​​28 settembre. Sono accusati di aver rubato dati con un malware appropriato e di estorcere loro riscatti compresi tra 5 milioni di euro e 70 milioni di euro. Si dice che i due sospetti abbiano effettuato una serie di attacchi mirati a "grandi gruppi industriali" in Europa e Nord America dall'aprile 2020, rubando dati sensibili per crittografarli. La comunicazione di Europol lascia aperta la questione delle imprese coinvolte . In caso di ricatto, i potenziali autori avrebbero chiesto diversi milioni di euro per la decrittazione dei dati. In caso di mancato pagamento, i dati rubati dovrebbero essere altrimenti pubblicati su Darknet. Secondo The Record, uno dei due sospetti, un uomo di 25 anni, avrebbe fatto parte di un'operazione di ransomware più ampia . Con ...

Un attore di minacce di lingua cinese precedentemente sconosciuto è stato collegato a un'operazione evasiva di lunga data mirata a obiettivi del sud-est asiatico già nel luglio 2020 per distribuire un rootkit in modalità kernel su sistemi Windows compromessi. Si dice anche che gli attacchi sferrati dal gruppo di hacker, soprannominato GhostEmperor di Kaspersky, abbiano utilizzato un "sofisticato framework di malware multi-stadio" che consente di fornire persistenza e controllo remoto sugli host mirati. La società di sicurezza informatica russa ha chiamato il rootkit Demodex , con infezioni segnalate in diverse entità di alto profilo in Malesia, Thailandia, Vietnam e Indonesia, oltre a valori anomali situati in Egitto, Etiopia e Afghanistan. "[Demodex] viene utilizzato per nascondere gli artefatti del malware in modalità utente agli investigatori e alle soluzioni di sicurezza, mentre dimostra un interessante schema di caricamento non documentato che coinvolge il compo...

I ricercatori della sicurezza informatica mercoledì hanno rivelato una backdoor precedentemente non documentata probabilmente progettata e sviluppata dal Nobelium Advanced Persistent Threat (APT) dietro l' attacco alla catena di approvvigionamento SolarWinds dello scorso anno , unendosi all'arsenale in continua espansione di strumenti di hacking dell'attore della minaccia. L'azienda con sede a Mosca Kaspersky ha chiamato il malware " Tomiris " , definendo le sue somiglianze con un altro malware di seconda fase utilizzato durante la campagna, SUNSHUTTLE (alias GoldMax), che prende di mira la piattaforma Orion del fornitore di software di gestione IT. Nobelium è anche conosciuto con i moniker UNC2452, SolarStorm, StellarParticle, Dark Halo e Iron Ritual. "Mentre gli attacchi alla catena di approvvigionamento erano già un vettore di attacco documentato sfruttato da un certo numero di attori APT, questa specifica campagna si è distinta per l'estrema atten...

Una campagna mobile "aggressiva" appena scoperta ha infettato oltre 10 milioni di utenti da oltre 70 paesi tramite app Android apparentemente innocue che iscrivono le persone a servizi premium che costano 36 € (~ $ 42) al mese a loro insaputa. Zimperium zLabs ha soprannominato il trojan dannoso "GriftHorse". Si ritiene che lo schema per fare soldi sia in fase di sviluppo attivo a partire da novembre 2020, con vittime segnalate in Australia, Brasile, Canada, Cina, Francia, Germania, India, Russia, Arabia Saudita, Spagna, Regno Unito e Stati Uniti Al momento dell'installazione, tuttavia, il Trojan GriftHorse, scritto in Apache Cordova, bombarda costantemente l'utente di messaggi, avvisandolo di un falso premio vinto e quindi reindirizzandolo a una pagina del sito Web in base alla loro geolocalizzazione e, quindi, alla loro lingua. Agli utenti di dispositivi mobili viene quindi chiesto di inviare i propri numeri di telefono a scopo di verifica. Se inviano quest...

Il software di sorveglianza FinFisher sviluppato commercialmente è stato aggiornato per infettare i dispositivi Windows utilizzando un bootkit UEFI (Unified Extensible Firmware Interface) utilizzando un Boot Manager Windows trojanizzato, segnando un cambiamento nei vettori di infezione che gli consentono di eludere la scoperta e l'analisi. Rilevato in natura dal 2011, FinFisher (alias FinSpy o Wingbird) è un set di strumenti spyware per Windows, macOS e Linux sviluppato dalla società anglo-tedesca Gamma International e fornito esclusivamente alle forze dell'ordine e alle agenzie di intelligence. Ma come con Pegasus di NSO Group, il software è stato utilizzato anche per spiare gli attivisti del Bahrein in passato presumibilmente e consegnato come parte di campagne di spear-phishing nel settembre 2017. FinFisher è in grado di raccogliere credenziali utente, elenchi di file, documenti sensibili, registrare sequenze di tasti, sottrarre messaggi e-mail da Thunderbird, Outlook, Ap...

Microsoft lunedì ha rivelato un nuovo malware distribuito dal gruppo di hacker dietro l'attacco alla catena di approvvigionamento SolarWinds lo scorso dicembre per fornire payload aggiuntivi e rubare informazioni sensibili dai server Active Directory Federation Services ( ADFS ). Il Threat Intelligence Center (MSTIC) del gigante tecnologico ha chiamato FoggyWeb "backdoor passiva e altamente mirata", rendendolo l'attore di minacce tracciato come l'ultimo strumento di Nobelium in una lunga lista di armi informatiche come Sunburst , Sunspot , Raindrop , Teardrop , GoldMax, GoldFinder , Sibot , Flipflop , NativeZone , EnvyScout, BoomBox e VaporRage . "Una volta che Nobelium ottiene le credenziali e compromette con successo un server, l'attore fa affidamento su tale accesso per mantenere la persistenza e approfondire la sua infiltrazione utilizzando malware e strumenti sofisticati", hanno affermato i ricercatori di MSTIC . "Nobelium utilizza Foggy...

Gli hacker sponsorizzati dallo stato affiliati alla Russia sono dietro una nuova serie di intrusioni che utilizzano un impianto precedentemente non documentato per compromettere i sistemi negli Stati Uniti, in Germania e in Afghanistan. Cisco Talos ha attribuito gli attacchi al gruppo Turla advanced persistent threat (APT), coniando il malware "TinyTurla" per le sue funzionalità limitate e lo stile di codifica efficiente che gli consente di non essere rilevato. Si ritiene che gli attacchi che incorporano la backdoor si siano verificati dal 2020. "Questa semplice backdoor è probabilmente utilizzata come backdoor di seconda possibilità per mantenere l'accesso al sistema, anche se il malware principale viene rimosso", hanno affermato i ricercatori . "Potrebbe anche essere usato come contagocce di secondo livello per infettare il sistema con malware aggiuntivo". Inoltre, TinyTurla può caricare ed eseguire file o esfiltrare dati sensibili dalla macchina i...