Aggiornamenti recenti Settembre 20th, 2024 9:00 AM
Set 03, 2024 Stefano Silvestri Attacchi, Hacking, Malware, Minacce, News, Vulnerabilità 0
I ricercatori di sicurezza informatica hanno individuato diverse campagne di attacchi che sfruttano vulnerabilità nei browser Safari e Chrome, ora corrette, per infettare dispositivi mobili con malware che ruba informazioni.
Queste campagne, segnalate dal Google Threat Analysis Group (TAG), hanno utilizzato exploit già noti e per cui erano disponibili patch, ma che risultavano ancora efficaci contro dispositivi non aggiornati.
Gli attacchi, osservati tra novembre 2023 e luglio 2024, si sono distinti per l’uso di tecniche di watering hole, ovvero la compromissione di siti web visitati frequentemente da utenti specifici, come i siti del governo mongolo cabinet.gov[.]mn e mfa.gov[.]mn, per distribuire gli exploit.
L’intrusione è stata attribuita con una certa sicurezza a un gruppo di hacker sponsorizzato dalla Russia, noto come APT29 (o Midnight Blizzard). Ci sono infatti evidenti somiglianze tra gli exploit usati e quelli precedentemente collegati a fornitori di spyware commerciali come Intellexa e NSO Group, suggerendo un possibile riutilizzo degli exploit.
Le vulnerabilità sfruttate includono:
Le campagne di novembre 2023 e febbraio 2024 hanno compromesso i siti del governo mongolo per distribuire un exploit tramite un iframe dannoso che puntava a un dominio controllato dagli hacker. Gli hacker si sono quindi avvalsi di un elemento HTML integrato nelle pagine web dei siti compromessi, che ha caricato contenuti da un’altra fonte in grado di eseguire codice pericoloso. Ciò nella maggior parte dei casi avviene senza che l’utente se ne accorga.
Quando questi siti venivano visitati con un dispositivo iOS, come un iPhone o un iPad, un payload di ricognizione veniva scaricato per eseguire controlli preliminari, prima di distribuire un exploit che rubava i cookie del browser.
Questo exploit è simile a uno utilizzato nel 2021 per rubare cookie di autenticazione da vari siti popolari, come Google e Facebook, inviandoli poi a un server controllato dagli attaccanti. Gli attacchi erano mirati principalmente a funzionari governativi di paesi europei, che ricevevano link dannosi tramite messaggi su LinkedIn.
A luglio 2024, il sito mfa.gov[.]mn è stato nuovamente compromesso per reindirizzare gli utenti Android che utilizzavano Chrome a un link dannoso, che sfruttava due vulnerabilità per installare un malware capace di rubare informazioni come cookie, password e dati delle carte di credito.
Questi attacchi evidenziano come gruppi di hacker sponsorizzati dallo Stato stiano sfruttando vulnerabilità già note (n-day exploit) che erano state utilizzate in passato come zero-day da fornitori di spyware commerciali. Ciò solleva il dubbio che tali exploit possano essere stati acquistati da broker di vulnerabilità, alimentando un mercato che continua a prosperare nonostante gli sforzi di Apple e Google per rafforzare la sicurezza dei loro prodotti.
Gli attacchi di tipo watering hole rimangono una minaccia significativa, in grado di colpire gruppi specifici di utenti, inclusi quelli che utilizzano dispositivi mobili, attraverso l’uso di exploit sofisticati che possono risultare efficaci anche su browser non aggiornati.
Lug 16, 2024 0
Giu 29, 2024 0
Giu 17, 2024 0
Apr 08, 2024 0
Set 20, 2024 0
Set 17, 2024 0
Set 16, 2024 0
Set 16, 2024 0
Set 20, 2024 0
Secondo il report del primo trimestre 2024 di Cisco Talos...Set 19, 2024 0
Ora più che mai le aziende si trovano nel mirino dei...Set 18, 2024 0
Negli ultimi tempi gli abusi “transitivi” di...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 20, 2024 0
Secondo il report del primo trimestre 2024 di CiscoSet 17, 2024 0
Pochi giorni fa il Port of Seattle, l’agenzia...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...