Il malware Alien per Android arriva in Italia come fake app Immuni
Ancora una volta, sfruttando il tema “Covid-19” e la popolarità dell’app Immuni, i criminali stanno diffondendo una versione fake della stessa app attraverso domini creati ad-hoc. A segnalare la presenza della fake app Immuni nella scorsa giornata di giovedì 15 è stato il gruppo di ricercatori di Malware Hunter Team (MHT) attraverso un tweet. I [...]
by CERT-AgID - https://cert-agid.gov.it/news/il-malware-alien-per-android-arriva-in-italia-come-fake-app-immuni/
Ancora una volta, sfruttando il tema “Covid-19” e la popolarità dell’app Immuni, i criminali stanno diffondendo una versione fake della stessa app attraverso domini creati ad-hoc. A segnalare la presenza della fake app Immuni nella scorsa giornata di giovedì 15 è stato il gruppo di ricercatori di Malware Hunter Team (MHT) attraverso un tweet. I [...]
by CERT-AgID - https://cert-agid.gov.it/news/il-malware-alien-per-android-arriva-in-italia-come-fake-app-immuni/
CERT-AGID
Il malware Alien per Android arriva in Italia come fake app Immuni
sul tema #EMAleaks, altro aggiornamento che conferma i sospetti di manipolazione prima della pubblicazione on-line sul dark web
https://www.zdnet.com/article/hackers-manipulated-stolen-vaccine-data-before-leaking-it-online/
https://www.zdnet.com/article/hackers-manipulated-stolen-vaccine-data-before-leaking-it-online/
ZDNet
Hackers 'manipulated' stolen COVID-19 vaccine data before leaking it online | ZDNet
European Medicines Agency says investigation into cyberattack has revealed the hackers have attempted to "undermine trust" in COVID-19 vaccines.
YAU – Parte 3 – Il packer
Nell’articolo precedente abbiamo visto come analizzare i documenti malevoli utilizzati da Ursnif.In particolare abbiamo mostrato come ottenere l’URL dal quale il dropper recupera il payload da eseguire. Da più di un anno a questa parte il payload è una DLL eseguita con regsvr32.exe mentre in precedenza era un PE eseguibile (un .EXE).Questo payload non contiene [...]
by CERT-AgID - https://cert-agid.gov.it/news/malware/yau-parte-3-il-packer/
Nell’articolo precedente abbiamo visto come analizzare i documenti malevoli utilizzati da Ursnif.In particolare abbiamo mostrato come ottenere l’URL dal quale il dropper recupera il payload da eseguire. Da più di un anno a questa parte il payload è una DLL eseguita con regsvr32.exe mentre in precedenza era un PE eseguibile (un .EXE).Questo payload non contiene [...]
by CERT-AgID - https://cert-agid.gov.it/news/malware/yau-parte-3-il-packer/
CERT-AGID
YAU – Parte 3 – Il packer
Falso sito “Il portale dell’Automobilista” online cattura le password inserite
Il sito, raggiungibile all’indirizzo ilportaledellautomobilista.net, si presenta come copia identica del sito lecito.Quando la vittima clicca sul pulsante ACCEDI AL PORTATE ed inserisce nome utente e password, queste vengono rubate dai criminali. Il dominio ilportaledellautomobilista.net era già noto al CERT-AGID, grazie ad una segnalazione ricevuta da D3Lab, ed era già stato segnalato alle autorità competenti [...]
by CERT-AgID - https://cert-agid.gov.it/uncategorized/falso-sito-il-portale-dellautomobilista-online-cattura-le-password-inserite/
Il sito, raggiungibile all’indirizzo ilportaledellautomobilista.net, si presenta come copia identica del sito lecito.Quando la vittima clicca sul pulsante ACCEDI AL PORTATE ed inserisce nome utente e password, queste vengono rubate dai criminali. Il dominio ilportaledellautomobilista.net era già noto al CERT-AGID, grazie ad una segnalazione ricevuta da D3Lab, ed era già stato segnalato alle autorità competenti [...]
by CERT-AgID - https://cert-agid.gov.it/uncategorized/falso-sito-il-portale-dellautomobilista-online-cattura-le-password-inserite/
CERT-AGID
Falso sito “Il portale dell’Automobilista” online cattura le password inserite
YAU – Parte 4 – Primo stadio e la sezione bss
Nell’ultimo articolo avevamo visto come ottenere il payload contenuto nel packer. In alcune occasioni il payload è risultato essere un’eseguibile PE ma nei campioni recenti (e in quelli del 2018) è una DLL.Indipendentemente dal tipo di PE, l’esecuzione procede nello stesso modo; sono presenti alcune variazioni ma sono dettagli minori di implementazione. Vedremo che questo [...]
by CERT-AgID - https://cert-agid.gov.it/news/malware/yau-parte-4-primo-stadio-e-la-sezione-bss/
Nell’ultimo articolo avevamo visto come ottenere il payload contenuto nel packer. In alcune occasioni il payload è risultato essere un’eseguibile PE ma nei campioni recenti (e in quelli del 2018) è una DLL.Indipendentemente dal tipo di PE, l’esecuzione procede nello stesso modo; sono presenti alcune variazioni ma sono dettagli minori di implementazione. Vedremo che questo [...]
by CERT-AgID - https://cert-agid.gov.it/news/malware/yau-parte-4-primo-stadio-e-la-sezione-bss/
CERT-AGID
YAU – Parte 4 – Primo stadio e la sezione bss
I volti della protesta e gli algoritmi di riconoscimento facciale
“La mia faccia non mi è nuova, ce l’ho da quando sono nato.”Totò Le immagini dell’assalto a Capitol…
by Zerozone.it - https://www.zerozone.it/politica-societa/i-volti-della-protesta-e-gli-algoritmi-di-riconoscimento-facciale/18700
“La mia faccia non mi è nuova, ce l’ho da quando sono nato.”Totò Le immagini dell’assalto a Capitol…
by Zerozone.it - https://www.zerozone.it/politica-societa/i-volti-della-protesta-e-gli-algoritmi-di-riconoscimento-facciale/18700
La balcanizzazione dei social network.
https://www.infodata.ilsole24ore.com/2021/01/21/si-radicalizza-la-balcanizzazione-dei-social-network-una-nuova-mappa-dello-splinternet/
https://www.infodata.ilsole24ore.com/2021/01/21/si-radicalizza-la-balcanizzazione-dei-social-network-una-nuova-mappa-dello-splinternet/
Info Data
Si radicalizza la balcanizzazione dei social network. Una nuova mappa dello "splinternet" - Info Data
La mappa descrive quello che è stato ribattezzato lo "splinternet" delle piattaforme, un processo che prelude a una balcanizzazione dei social
Sintesi riepilogativa delle campagne malevole della settimana 22/01/2021
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 34 campagne malevole attive, di cui 4 generiche veicolate anche in Italia e 30 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 368 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai [...]
by CERT-AgID - https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-della-settimana-22-01-2021/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 34 campagne malevole attive, di cui 4 generiche veicolate anche in Italia e 30 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 368 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai [...]
by CERT-AgID - https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-della-settimana-22-01-2021/
CERT-AGID
Sintesi riepilogativa delle campagne malevole della settimana 22/01/2021
Quando il malware arriva via Telegram
Stamani ho ricevuto via Telegram, dall’utente cinese “永利-24h支付通道-白熊” (“Wynn-24h Payment Channel-White Bear”), un file .zip da 1,7MB contenente,…
by Zerozone.it - https://www.zerozone.it/servizio-antiphishing/quando-il-malware-arriva-via-telegram/18710
Stamani ho ricevuto via Telegram, dall’utente cinese “永利-24h支付通道-白熊” (“Wynn-24h Payment Channel-White Bear”), un file .zip da 1,7MB contenente,…
by Zerozone.it - https://www.zerozone.it/servizio-antiphishing/quando-il-malware-arriva-via-telegram/18710
Il blog di Michele Pinassi
Quando il malware arriva via Telegram
Stamani ho ricevuto via Telegram, dall’utente cinese “永利-24h支付通道-白熊” (“Wynn-24h Payment Channel-White Bear”), un file .zip da 1,7MB contenente,…
Individuato sito che veicola in Italia un APK malevolo
In data odierna è stato individuato da AddressIntel un dominio denominato “supportoapp[.]com” dal quale è possibile scaricare il file “Assistenzaclienti.apk” caricato sul server remoto in data odierna. Una volta installata l’app, che si presenta con il nome “Protezione Cliente“, viene richiesto all’utente di abilitare il servizio di accessibilità che servirà per attivare le funzionalità di [...]
by CERT-AgID - https://cert-agid.gov.it/news/individuato-sito-che-veicola-in-italia-un-apk-malevolo/
In data odierna è stato individuato da AddressIntel un dominio denominato “supportoapp[.]com” dal quale è possibile scaricare il file “Assistenzaclienti.apk” caricato sul server remoto in data odierna. Una volta installata l’app, che si presenta con il nome “Protezione Cliente“, viene richiesto all’utente di abilitare il servizio di accessibilità che servirà per attivare le funzionalità di [...]
by CERT-AgID - https://cert-agid.gov.it/news/individuato-sito-che-veicola-in-italia-un-apk-malevolo/
CERT-AGID
Individuato sito che veicola in Italia un APK malevolo
Storie di ordinaria burocrazia: il centro per l’impiego vs e-mail
Per motivi che non sto a spiegare, ho dovuto richiedere l’invio di un certificato a un centro per…
by Zerozone.it - https://www.zerozone.it/politica-societa/storie-di-ordinaria-burocrazia-il-centro-per-limpiego-vs-e-mail/18715
Per motivi che non sto a spiegare, ho dovuto richiedere l’invio di un certificato a un centro per…
by Zerozone.it - https://www.zerozone.it/politica-societa/storie-di-ordinaria-burocrazia-il-centro-per-limpiego-vs-e-mail/18715
Il blog di Michele Pinassi
Storie di ordinaria burocrazia: il centro per l’impiego vs e-mail
Per motivi che non sto a spiegare, ho dovuto richiedere l’invio di un certificato a un centro per…
YAU – Parte 5 – Ancora il primo stadio e i “JJ chunk”
Nell’ultimo articolo avevamo interrotto l’analisi del primo stadio a metà.Avevamo visto come è decodificata la sezione bss e come automatizzarne il processo.Il malware creava un nuovo thread che portava avanti l’infezione tramite un’APC. In questo articolo proseguiamo dall’APC e arriviamo al termine dell’analisi del primo stadio, passando per la decodifica dei “JJ chunk”. Per facilitare [...]
by CERT-AgID - https://cert-agid.gov.it/news/malware/yau-parte-5-ancora-il-primo-stadio-e-i-jj-chunk/
Nell’ultimo articolo avevamo interrotto l’analisi del primo stadio a metà.Avevamo visto come è decodificata la sezione bss e come automatizzarne il processo.Il malware creava un nuovo thread che portava avanti l’infezione tramite un’APC. In questo articolo proseguiamo dall’APC e arriviamo al termine dell’analisi del primo stadio, passando per la decodifica dei “JJ chunk”. Per facilitare [...]
by CERT-AgID - https://cert-agid.gov.it/news/malware/yau-parte-5-ancora-il-primo-stadio-e-i-jj-chunk/
CERT-AGID
YAU – Parte 5 – Ancora il primo stadio e i “JJ chunk”
Oscorp, il “solito” malware per Android
Ieri abbiamo pubblicato la notizia di un sito volto alla distribuzione dell’ennesimo malware per Android. Oggi vediamo più nel dettaglio le capacità di questo malware. Va precisato che i malware per Android seguono tutti lo stesso copione: inducono l’utente ad installare un servizio di accessibilità con il quale possono leggere cosa è presente e cosa [...]
by CERT-AgID - https://cert-agid.gov.it/news/oscorp-il-solito-malware-per-android/
Ieri abbiamo pubblicato la notizia di un sito volto alla distribuzione dell’ennesimo malware per Android. Oggi vediamo più nel dettaglio le capacità di questo malware. Va precisato che i malware per Android seguono tutti lo stesso copione: inducono l’utente ad installare un servizio di accessibilità con il quale possono leggere cosa è presente e cosa [...]
by CERT-AgID - https://cert-agid.gov.it/news/oscorp-il-solito-malware-per-android/
CERT-AGID
Oscorp, il “solito” malware per Android
TikTok, la Rete e i nostri figli
“Due cose importanti da insegnare ai figli: fare e fare senza.”Marceline Cox Il dramma della bambina di 10…
by Zerozone.it - https://www.zerozone.it/politica-societa/tiktok-la-rete-e-i-nostri-figli/18719
“Due cose importanti da insegnare ai figli: fare e fare senza.”Marceline Cox Il dramma della bambina di 10…
by Zerozone.it - https://www.zerozone.it/politica-societa/tiktok-la-rete-e-i-nostri-figli/18719
Il blog di Michele Pinassi
TikTok, la Rete e i nostri figli
“Due cose importanti da insegnare ai figli: fare e fare senza.”Marceline Cox Il dramma della bambina di 10…
YAU – Parte 6 – Il secondo stadio e i primi IoC
Nel capitolo precedente avevamo finalmente terminato l’analisi dei packer di Ursnif.A partire dal dropper contenuto nelle macro del documento malevolo (spesso una macro 4.0 che usa UrlDownloadToFile) avevamo analizzato la DLL scaricata per scoprire come questa fosse in realtà un packer che utilizza tecniche ed algoritmi piuttosto variabili nel tempo. Grazie ad UUE possiamo estrarre [...]
by CERT-AgID - https://cert-agid.gov.it/news/malware/yau-parte-6-il-secondo-stadio-e-i-primi-ioc/
Nel capitolo precedente avevamo finalmente terminato l’analisi dei packer di Ursnif.A partire dal dropper contenuto nelle macro del documento malevolo (spesso una macro 4.0 che usa UrlDownloadToFile) avevamo analizzato la DLL scaricata per scoprire come questa fosse in realtà un packer che utilizza tecniche ed algoritmi piuttosto variabili nel tempo. Grazie ad UUE possiamo estrarre [...]
by CERT-AgID - https://cert-agid.gov.it/news/malware/yau-parte-6-il-secondo-stadio-e-i-primi-ioc/
CERT-AGID
YAU – Parte 6 – Il secondo stadio e i primi IoC
L’ICT della PA alla prova del vaccino anti-covid
“In Italia c’è sempre la possibilità di venire assolti per sovrabbondanza di prove.”Gabriele Martufi Credo che non ci…
by Zerozone.it - https://www.zerozone.it/politica-societa/lict-della-pa-alla-prova-del-vaccino-anti-covid/18680
“In Italia c’è sempre la possibilità di venire assolti per sovrabbondanza di prove.”Gabriele Martufi Credo che non ci…
by Zerozone.it - https://www.zerozone.it/politica-societa/lict-della-pa-alla-prova-del-vaccino-anti-covid/18680
Il blog di Michele Pinassi
L’ICT della PA alla prova del vaccino anti-covid
“In Italia c’è sempre la possibilità di venire assolti per sovrabbondanza di prove.”Gabriele Martufi Credo che non ci…
Sintesi riepilogativa delle campagne malevole della settimana 29/01/2021
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 29 campagne malevole attive, di cui 1 generica veicolata anche in Italia e 28 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 155 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai [...]
by CERT-AgID - https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-della-settimana-29-01-2021/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 29 campagne malevole attive, di cui 1 generica veicolata anche in Italia e 28 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 155 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai [...]
by CERT-AgID - https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-della-settimana-29-01-2021/
CERT-AGID
Sintesi riepilogativa delle campagne malevole della settimana 29/01/2021
Augias pubblica la storia di come è caduto in un phishing
“La prima volta che m’inganni la colpa è tua, ma la seconda volta la colpa è mia.”proverbio arabo…
by Zerozone.it - https://www.zerozone.it/tecnologia-privacy-e-sicurezza/augias-pubblica-la-storia-di-come-e-caduto-in-un-phishing/18799
“La prima volta che m’inganni la colpa è tua, ma la seconda volta la colpa è mia.”proverbio arabo…
by Zerozone.it - https://www.zerozone.it/tecnologia-privacy-e-sicurezza/augias-pubblica-la-storia-di-come-e-caduto-in-un-phishing/18799
Il blog di Michele Pinassi
Augias pubblica la storia di come è caduto in un phishing
“La prima volta che m’inganni la colpa è tua, ma la seconda volta la colpa è mia.”proverbio arabo…