Aggiornamenti recenti Agosto 13th, 2025 11:24 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Cina contro Nvidia: dubbi sulla sicurezza dei chip AI e sospetti di backdoor
- Ondata di attacchi brute-force contro le VPN Fortinet, poi FortiManager
- Un invito Google Calendar bastava per prendere il controllo di Gemini
- CERT-AGID 2 – 8 agosto: rubati documenti d’identità a clienti di hotel italiani
- SonicWall: Akira non sfrutta uno zero-day, ma una falla del 2024
Operazione BadBox fermata in Germania grazie a una sinkhole
La Germania compie un passo significativo nella lotta al crimine informatico. Il Bundesamt für Sicherheit in der Informationstechnik (BSI), l’Agenzia Federale per la Sicurezza Informatica, ha annunciato di aver bloccato l’operazione BADBOX. Si tratta di un sofisticato attacco malware che ha compromesso almeno 30.000 dispositivi connessi a Internet e venduti nel Paese UE.
Un malware nascosto nei dispositivi preinstallati
BADBOX è stato rilevato su dispositivi come cornici digitali, media player e device per lo streaming multimediale. Si sospetta, però, che anche smartphone e tablet siano coinvolti. Tutti questi dispositivi, accomunati da versioni obsolete di Android, sarebbero stati distribuiti con malware preinstallato.
Grazie all’uso del sinkholing, il BSI ha interrotto le comunicazioni tra i dispositivi infetti e i loro server di comando e controllo, isolando efficacemente la minaccia. In pratica, il sinkholing re-indirizza tutto il traffico proveniente dagli IP malevoli, spostandolo verso server appositamente messi a disposizione per smaltirlo.
Le caratteristiche dell’operazione BADBOX
Documentata per la prima volta nell’ottobre 2023 dal team di ricerca Satori Threat Intelligence di HUMAN, BADBOX è stata definita una “operazione complessa”, basata su falle nella supply chain di dispositivi Android economici e di marchi poco noti. Il malware principale, Triada, consente di raccogliere dati sensibili, come codici di autenticazione, e di installare ulteriori software dannosi.
Un aspetto particolarmente preoccupante di BADBOX è la sua integrazione con un botnet per frodi pubblicitarie chiamato PEACHPIT. Questo sistema genera traffico fraudolento da app Android e iOS falsificate. “Una frode pubblicitaria in piena regola che permetteva agli operatori di guadagnare da impression fasulle generate sulle loro stesse app falsificate” ha spiegato HUMAN. Le impression rappresentano il numero di visualizzazioni.
Un rischio per la privacy e la sicurezza
I dispositivi compromessi da BADBOX possono essere utilizzati come proxy, oltre che per le frodi pubblicitarie. In questo modo altri criminali hanno la possibilità di instradare il traffico Internet usando i device compromessi, aggirando i controlli di sicurezza. Tali dispositivi, inoltre, possono creare account online su piattaforme come Gmail e WhatsApp. Questi ultimi mandano messaggi fraudolenti, aumentando i rischi per la privacy e la sicurezza.
Le azioni intraprese dal BSI
Il BSI ha emesso direttive chiare ai provider di Internet con più di 100mila abbonati, ordinando loro di reindirizzare il traffico verso la sinkhole. Inoltre, l’agenzia ha invitato i consumatori a scollegare immediatamente i dispositivi sospetti dalla rete. Questo per prevenire ulteriori compromissioni.
Occhio ai firmware compromessi
L’operazione del BSI contro BADBOX rappresenta un esempio di eccellenza nella cybersecurity. Soprattutto, mette in luce i pericoli legati a dispositivi con firmware compromesso e supply chain vulnerabili. Consumatori e aziende dovrebbero prestare maggiore attenzione nella scelta dei dispositivi tecnologici. Come? Privilegiando quelli certificati e dotati di aggiornamenti di sicurezza regolari. La collaborazione tra agenzie governative, fornitori di tecnologia e utenti finali è essenziale per garantire un ecosistema digitale più sicuro.
Condividi l'articolo
Auriga: protezione multi-livello per i terminali di pagamento
Glutton, la backdoor che colpisce anche i cybercriminali
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Cisco svela un nuovo tipo di jailbreak AI: i guardrail non... I chatbot basati su modelli linguistici di grandi... -
SafePay, cresce la minaccia ransomware contro gli MSP Tra le minacce più recenti che stanno facendo tremare il... -
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,... -
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Cina contro Nvidia: dubbi sulla sicurezza dei chip AI e... Le tensioni tra Stati Uniti e Cina si spostano sul... -
Ondata di attacchi brute-force contro le VPN Fortinet, poi... Una nuova campagna di attacchi informatici sta prendendo di... -
Un invito Google Calendar bastava per prendere il controllo... Una vulnerabilità in Google Calendar consentiva a un... -
CERT-AGID 2 – 8 agosto: rubati documenti d’identità a... La scorsa settimana il CERT-AGID ha rilevato e analizzato... -
SonicWall: Akira non sfrutta uno zero-day, ma una falla del... SonicWall ha smentito l’ipotesi che i recenti attacchi...
Ransomware: la serie
No posts found.