YAU – Parte 5 – Ancora il primo stadio e i “JJ chunk”
Nell’ultimo articolo avevamo interrotto l’analisi del primo stadio a metà.Avevamo visto come è decodificata la sezione bss e come automatizzarne il processo.Il malware creava un nuovo thread che portava avanti l’infezione tramite un’APC. In questo articolo proseguiamo dall’APC e arriviamo al termine dell’analisi del primo stadio, passando per la decodifica dei “JJ chunk”. Per facilitare [...]
by CERT-AgID - https://cert-agid.gov.it/news/malware/yau-parte-5-ancora-il-primo-stadio-e-i-jj-chunk/
Nell’ultimo articolo avevamo interrotto l’analisi del primo stadio a metà.Avevamo visto come è decodificata la sezione bss e come automatizzarne il processo.Il malware creava un nuovo thread che portava avanti l’infezione tramite un’APC. In questo articolo proseguiamo dall’APC e arriviamo al termine dell’analisi del primo stadio, passando per la decodifica dei “JJ chunk”. Per facilitare [...]
by CERT-AgID - https://cert-agid.gov.it/news/malware/yau-parte-5-ancora-il-primo-stadio-e-i-jj-chunk/
CERT-AGID
YAU – Parte 5 – Ancora il primo stadio e i “JJ chunk”
Oscorp, il “solito” malware per Android
Ieri abbiamo pubblicato la notizia di un sito volto alla distribuzione dell’ennesimo malware per Android. Oggi vediamo più nel dettaglio le capacità di questo malware. Va precisato che i malware per Android seguono tutti lo stesso copione: inducono l’utente ad installare un servizio di accessibilità con il quale possono leggere cosa è presente e cosa [...]
by CERT-AgID - https://cert-agid.gov.it/news/oscorp-il-solito-malware-per-android/
Ieri abbiamo pubblicato la notizia di un sito volto alla distribuzione dell’ennesimo malware per Android. Oggi vediamo più nel dettaglio le capacità di questo malware. Va precisato che i malware per Android seguono tutti lo stesso copione: inducono l’utente ad installare un servizio di accessibilità con il quale possono leggere cosa è presente e cosa [...]
by CERT-AgID - https://cert-agid.gov.it/news/oscorp-il-solito-malware-per-android/
CERT-AGID
Oscorp, il “solito” malware per Android
TikTok, la Rete e i nostri figli
“Due cose importanti da insegnare ai figli: fare e fare senza.”Marceline Cox Il dramma della bambina di 10…
by Zerozone.it - https://www.zerozone.it/politica-societa/tiktok-la-rete-e-i-nostri-figli/18719
“Due cose importanti da insegnare ai figli: fare e fare senza.”Marceline Cox Il dramma della bambina di 10…
by Zerozone.it - https://www.zerozone.it/politica-societa/tiktok-la-rete-e-i-nostri-figli/18719
Il blog di Michele Pinassi
TikTok, la Rete e i nostri figli
“Due cose importanti da insegnare ai figli: fare e fare senza.”Marceline Cox Il dramma della bambina di 10…
YAU – Parte 6 – Il secondo stadio e i primi IoC
Nel capitolo precedente avevamo finalmente terminato l’analisi dei packer di Ursnif.A partire dal dropper contenuto nelle macro del documento malevolo (spesso una macro 4.0 che usa UrlDownloadToFile) avevamo analizzato la DLL scaricata per scoprire come questa fosse in realtà un packer che utilizza tecniche ed algoritmi piuttosto variabili nel tempo. Grazie ad UUE possiamo estrarre [...]
by CERT-AgID - https://cert-agid.gov.it/news/malware/yau-parte-6-il-secondo-stadio-e-i-primi-ioc/
Nel capitolo precedente avevamo finalmente terminato l’analisi dei packer di Ursnif.A partire dal dropper contenuto nelle macro del documento malevolo (spesso una macro 4.0 che usa UrlDownloadToFile) avevamo analizzato la DLL scaricata per scoprire come questa fosse in realtà un packer che utilizza tecniche ed algoritmi piuttosto variabili nel tempo. Grazie ad UUE possiamo estrarre [...]
by CERT-AgID - https://cert-agid.gov.it/news/malware/yau-parte-6-il-secondo-stadio-e-i-primi-ioc/
CERT-AGID
YAU – Parte 6 – Il secondo stadio e i primi IoC
L’ICT della PA alla prova del vaccino anti-covid
“In Italia c’è sempre la possibilità di venire assolti per sovrabbondanza di prove.”Gabriele Martufi Credo che non ci…
by Zerozone.it - https://www.zerozone.it/politica-societa/lict-della-pa-alla-prova-del-vaccino-anti-covid/18680
“In Italia c’è sempre la possibilità di venire assolti per sovrabbondanza di prove.”Gabriele Martufi Credo che non ci…
by Zerozone.it - https://www.zerozone.it/politica-societa/lict-della-pa-alla-prova-del-vaccino-anti-covid/18680
Il blog di Michele Pinassi
L’ICT della PA alla prova del vaccino anti-covid
“In Italia c’è sempre la possibilità di venire assolti per sovrabbondanza di prove.”Gabriele Martufi Credo che non ci…
Sintesi riepilogativa delle campagne malevole della settimana 29/01/2021
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 29 campagne malevole attive, di cui 1 generica veicolata anche in Italia e 28 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 155 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai [...]
by CERT-AgID - https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-della-settimana-29-01-2021/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 29 campagne malevole attive, di cui 1 generica veicolata anche in Italia e 28 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 155 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai [...]
by CERT-AgID - https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-della-settimana-29-01-2021/
CERT-AGID
Sintesi riepilogativa delle campagne malevole della settimana 29/01/2021
Augias pubblica la storia di come è caduto in un phishing
“La prima volta che m’inganni la colpa è tua, ma la seconda volta la colpa è mia.”proverbio arabo…
by Zerozone.it - https://www.zerozone.it/tecnologia-privacy-e-sicurezza/augias-pubblica-la-storia-di-come-e-caduto-in-un-phishing/18799
“La prima volta che m’inganni la colpa è tua, ma la seconda volta la colpa è mia.”proverbio arabo…
by Zerozone.it - https://www.zerozone.it/tecnologia-privacy-e-sicurezza/augias-pubblica-la-storia-di-come-e-caduto-in-un-phishing/18799
Il blog di Michele Pinassi
Augias pubblica la storia di come è caduto in un phishing
“La prima volta che m’inganni la colpa è tua, ma la seconda volta la colpa è mia.”proverbio arabo…
Il dominio spamcop.net scade bloccando la posta elettronica
Lo spam, o “posta indesiderata“, è sin dagli albori di Internet una delle piaghe digitali più fastidiose. Negli…
by Zerozone.it - https://www.zerozone.it/tecnologia-privacy-e-sicurezza/il-dominio-spamcop-net-scade-bloccando-la-posta-elettronica/18812
Lo spam, o “posta indesiderata“, è sin dagli albori di Internet una delle piaghe digitali più fastidiose. Negli…
by Zerozone.it - https://www.zerozone.it/tecnologia-privacy-e-sicurezza/il-dominio-spamcop-net-scade-bloccando-la-posta-elettronica/18812
Il blog di Michele Pinassi
Il dominio spamcop.net scade bloccando la posta elettronica
Lo spam, o “posta indesiderata“, è sin dagli albori di Internet una delle piaghe digitali più fastidiose. Negli…
Storie di ordinaria burocrazia: il Comune di Oniferi non ha medico, il Sindaco impone il divieto di ammalarsi di CoVID-19
“Ognuno può giustificare, nessuno vietare.”Blaise Pascal Può un sindaco vietare ai cittadini di “ammalarsi, di avere necessità di…
by Zerozone.it - https://www.zerozone.it/politica-societa/storie-di-ordinaria-burocrazia-il-comune-di-oniferi-non-ha-medico-il-sindaco-impone-il-divieto-di-ammalarsi-di-covid-19/18817
“Ognuno può giustificare, nessuno vietare.”Blaise Pascal Può un sindaco vietare ai cittadini di “ammalarsi, di avere necessità di…
by Zerozone.it - https://www.zerozone.it/politica-societa/storie-di-ordinaria-burocrazia-il-comune-di-oniferi-non-ha-medico-il-sindaco-impone-il-divieto-di-ammalarsi-di-covid-19/18817
Il blog di Michele Pinassi
Storie di ordinaria burocrazia: il Comune di Oniferi non ha medico, il Sindaco impone il divieto di ammalarsi di CoVID-19
“Ognuno può giustificare, nessuno vietare.”Blaise Pascal Può un sindaco vietare ai cittadini di “ammalarsi, di avere necessità di…
YAU – Parte 7 – Il secondo stadio, seed, GUID e privilegi
Nell’articolo precedente avevamo solo estratto i JJ chunk dal secondo stadio e avevamo visto come questo fosse sufficiente ad ottenere i primi IoC. Adesso è il momento di analizzare il secondo stadio nel dettaglio. YET ANOTHER URSNIF Questo è il settimo di una seria di articoli, tutti raggruppati qui. Indice Parte 1, Le e-mail e il [...]
by CERT-AgID - https://cert-agid.gov.it/news/yau-parte-7-il-secondo-stadio-seed-guid-e-privilegi/
Nell’articolo precedente avevamo solo estratto i JJ chunk dal secondo stadio e avevamo visto come questo fosse sufficiente ad ottenere i primi IoC. Adesso è il momento di analizzare il secondo stadio nel dettaglio. YET ANOTHER URSNIF Questo è il settimo di una seria di articoli, tutti raggruppati qui. Indice Parte 1, Le e-mail e il [...]
by CERT-AgID - https://cert-agid.gov.it/news/yau-parte-7-il-secondo-stadio-seed-guid-e-privilegi/
CERT-AGID
YAU – Parte 7 – Il secondo stadio, seed, GUID e privilegi
Phishing Poste Italiane via SMS
Il CERT-AGID ha ricevuto segnalazione di un SMS di phishing ai danni di clienti Poste Italiane. Il link riportato nel messaggio (SMS) punta ad una pagina clone del sito di Poste Italiane. Perchè è malevolo? La pagina si può identificare come malevola da una serie di elementi.Il primo, riguarda il dominio utilizzato (lc-pi-com[.]preview-domain[.]com), che oltre [...]
by CERT-AgID - https://cert-agid.gov.it/news/phishing-poste-italiane-via-sms/
Il CERT-AGID ha ricevuto segnalazione di un SMS di phishing ai danni di clienti Poste Italiane. Il link riportato nel messaggio (SMS) punta ad una pagina clone del sito di Poste Italiane. Perchè è malevolo? La pagina si può identificare come malevola da una serie di elementi.Il primo, riguarda il dominio utilizzato (lc-pi-com[.]preview-domain[.]com), che oltre [...]
by CERT-AgID - https://cert-agid.gov.it/news/phishing-poste-italiane-via-sms/
CERT-AGID
Phishing Poste Italiane via SMS
NetWalker è chiuso ma i ransomware rimangono un trend in crescita
Il 27 gennaio 2021 il Dipartimento di Giustizia degli Stati Uniti ha comunicato con un avviso pubblico, l’arresto di un cittadino canadese legato a NetWalker, ransomware di cui avevamo parlato in una news lo scorso novembre 2020. NetWalker, inteso come gruppo criminale, avrebbe raccolto, a seguito di tre distinti attacchi, 454.530 dollari dalle vittime, tra [...]
by CERT-AgID - https://cert-agid.gov.it/news/netwalker-e-chiuso-ma-i-ransomware-rimangono-un-trend-in-crescita/
Il 27 gennaio 2021 il Dipartimento di Giustizia degli Stati Uniti ha comunicato con un avviso pubblico, l’arresto di un cittadino canadese legato a NetWalker, ransomware di cui avevamo parlato in una news lo scorso novembre 2020. NetWalker, inteso come gruppo criminale, avrebbe raccolto, a seguito di tre distinti attacchi, 454.530 dollari dalle vittime, tra [...]
by CERT-AgID - https://cert-agid.gov.it/news/netwalker-e-chiuso-ma-i-ransomware-rimangono-un-trend-in-crescita/
CERT-AGID
NetWalker è chiuso ma i ransomware rimangono un trend in crescita
Roma ha speso 6.300.000€ + IVA per le licenze Microsoft
“Il fine può giustificare i mezzi purché ci sia qualcosa che giustifichi il fine.”Lev Trotsky L’Amministrazione Capitolina ha…
by Zerozone.it - https://www.zerozone.it/politica-societa/roma-ha-speso-6-300-000e-iva-per-le-licenze-microsoft/18823
“Il fine può giustificare i mezzi purché ci sia qualcosa che giustifichi il fine.”Lev Trotsky L’Amministrazione Capitolina ha…
by Zerozone.it - https://www.zerozone.it/politica-societa/roma-ha-speso-6-300-000e-iva-per-le-licenze-microsoft/18823
Il blog di Michele Pinassi
Roma ha speso 6.300.000€ + IVA per le licenze Microsoft
“Il fine può giustificare i mezzi purché ci sia qualcosa che giustifichi il fine.”Lev Trotsky L’Amministrazione Capitolina ha…
YAU – Parte 8 – Il secondo stadio, configurazione e download
Nell’ultimo articolo avevamo iniziato a vedere il secondo stadio.Abbiamo visto le funzionalità più accessorie, adesso è il momento di iniziare a fare sul serio e analizzare il codice più interessante. In questo articolo vedremo come Ursnif interagisca con il C2 e come decifrare in modo automatico i moduli scaricati. YET ANOTHER URSNIF Questo è l’ottavo [...]
by CERT-AgID - https://cert-agid.gov.it/news/yau-parte-8-il-secondo-stadio-configurazione-e-download/
Nell’ultimo articolo avevamo iniziato a vedere il secondo stadio.Abbiamo visto le funzionalità più accessorie, adesso è il momento di iniziare a fare sul serio e analizzare il codice più interessante. In questo articolo vedremo come Ursnif interagisca con il C2 e come decifrare in modo automatico i moduli scaricati. YET ANOTHER URSNIF Questo è l’ottavo [...]
by CERT-AgID - https://cert-agid.gov.it/news/yau-parte-8-il-secondo-stadio-configurazione-e-download/
CERT-AGID
YAU – Parte 8 – Il secondo stadio, configurazione e download
Sintesi riepilogativa delle campagne malevole della settimana 05/02/2021
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 35 campagne malevole attive, di cui 2 generiche veicolate anche in Italia e 33 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 449 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai [...]
by CERT-AgID - https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-della-settimana-05-02-2021/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 35 campagne malevole attive, di cui 2 generiche veicolate anche in Italia e 33 con obiettivi italiani, mettendo così a disposizione dei suoi enti accreditati i relativi 449 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate nei grafici, risultanti dai [...]
by CERT-AgID - https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-della-settimana-05-02-2021/
CERT-AGID
Sintesi riepilogativa delle campagne malevole della settimana 05/02/2021
Tech workers, diritti e sindacati
“Il sindacato col passare del tempo ha finito per somigliare troppo alla politica, o meglio, ai partiti politici,…
by Zerozone.it - https://www.zerozone.it/politica-societa/tech-workers-diritti-e-sindacati/18830
“Il sindacato col passare del tempo ha finito per somigliare troppo alla politica, o meglio, ai partiti politici,…
by Zerozone.it - https://www.zerozone.it/politica-societa/tech-workers-diritti-e-sindacati/18830
Il blog di Michele Pinassi
Tech workers, diritti e sindacati
“Il sindacato col passare del tempo ha finito per somigliare troppo alla politica, o meglio, ai partiti politici,…
Malware sLoad sfrutta PEC con allegato malevolo annidato in doppio ZIP.
Gli autori di sLoad hanno sfruttato la PEC, per la seconda volta nel 2021, come mezzo per veicolare la campagna malevola che ha avuto inizio domenica 07-02-2021 intorno le ore 23:00 ed è terminata oggi alle ore 09:00. Esattamente come già osservato nella campagna di giorno 11 gennaio 2021, l’e-mail con oggetto “Comunicazione [RAGIONE_SOCIALE]” allega [...]
by CERT-AgID - https://cert-agid.gov.it/news/malware-sload-sfrutta-pec-con-allegato-malevolo-annidato-in-doppio-zip/
Gli autori di sLoad hanno sfruttato la PEC, per la seconda volta nel 2021, come mezzo per veicolare la campagna malevola che ha avuto inizio domenica 07-02-2021 intorno le ore 23:00 ed è terminata oggi alle ore 09:00. Esattamente come già osservato nella campagna di giorno 11 gennaio 2021, l’e-mail con oggetto “Comunicazione [RAGIONE_SOCIALE]” allega [...]
by CERT-AgID - https://cert-agid.gov.it/news/malware-sload-sfrutta-pec-con-allegato-malevolo-annidato-in-doppio-zip/
CERT-AGID
Malware sLoad sfrutta PEC con allegato malevolo annidato in doppio ZIP.
YAU – Parte 9 – Il secondo stadio, salvataggio dei moduli e persistenza
Questo articolo termina l’analisi del secondo stadio.Nel precedente ci eravamo fermati alla decifratura dei moduli.Ursnif contatta ogni C2 della sua configurazione fino ad ottenere un esito positivo, esito che si materializza con il download di tre moduli. Una volta scaricati e decifrati, questi moduli sono ri-codificati prima di essere salvati nel registro di sistema.Lo noscript [...]
by CERT-AgID - https://cert-agid.gov.it/uncategorized/yau-parte-9-il-secondo-stadio-salvataggio-dei-moduli-e-persistenza/
Questo articolo termina l’analisi del secondo stadio.Nel precedente ci eravamo fermati alla decifratura dei moduli.Ursnif contatta ogni C2 della sua configurazione fino ad ottenere un esito positivo, esito che si materializza con il download di tre moduli. Una volta scaricati e decifrati, questi moduli sono ri-codificati prima di essere salvati nel registro di sistema.Lo noscript [...]
by CERT-AgID - https://cert-agid.gov.it/uncategorized/yau-parte-9-il-secondo-stadio-salvataggio-dei-moduli-e-persistenza/
CERT-AGID
YAU – Parte 9 – Il secondo stadio, salvataggio dei moduli e persistenza
Perché il Safer Internet Day?
“La società è organizzata non tanto dalla legge quanto dalla tendenza all’imitazione.”Carl Gustav Jung Internet è una straordinaria…
by Zerozone.it - https://www.zerozone.it/politica-societa/perche-il-safer-internet-day/18842
“La società è organizzata non tanto dalla legge quanto dalla tendenza all’imitazione.”Carl Gustav Jung Internet è una straordinaria…
by Zerozone.it - https://www.zerozone.it/politica-societa/perche-il-safer-internet-day/18842
Il blog di Michele Pinassi
Perché il Safer Internet Day?
“La società è organizzata non tanto dalla legge quanto dalla tendenza all’imitazione.”Carl Gustav Jung Internet è una straordinaria…
YAU – Parte 10 – Rimozione di Ursnif
In questo articolo vedremo come rimuovere Ursnif dal computer di una vittima. L’analisi fin ora fatta ci ha permesso di determinare quale meccanismo di persistenza usi Ursnif e quindi ci dà modo di rimuoverlo. YET ANOTHER URSNIF Questo è il decimo di una seria di articoli, tutti raggruppati qui. Indice Parte 1, Le e-mail e il [...]
by CERT-AgID - https://cert-agid.gov.it/news/yau-parte-10-rimozione-di-ursnif/
In questo articolo vedremo come rimuovere Ursnif dal computer di una vittima. L’analisi fin ora fatta ci ha permesso di determinare quale meccanismo di persistenza usi Ursnif e quindi ci dà modo di rimuoverlo. YET ANOTHER URSNIF Questo è il decimo di una seria di articoli, tutti raggruppati qui. Indice Parte 1, Le e-mail e il [...]
by CERT-AgID - https://cert-agid.gov.it/news/yau-parte-10-rimozione-di-ursnif/
CERT-AGID
YAU – Parte 10 – Rimozione di Ursnif