sabato, Settembre 30, 2023
GIANO NEWS
  • Home
  • TECNOLOGIA
  • ENERGIA
  • TRASPORTI
  • DIFESA
  • SCENARI
  • SANITÀ
  • ECONOMIA
  • CITTADINI E MINORI
  • LEGALITÀ
  • AVVISO AI NAVIGANTI
  • RIFLESSIONI
  • EDITORIALI
Nessun risultato
Visualizza tutti i risultati
GIANO NEWS
Nessun risultato
Visualizza tutti i risultati
Home TECNOLOGIA

OPERAZIONE MAGALENHA: BANCHE PORTOGHESI SOTTO ATTACCO

Adriano Spadari di Adriano Spadari
27/05/2023
in TECNOLOGIA
OPERAZIONE MAGALENHA: BANCHE PORTOGHESI SOTTO ATTACCO
387
Visualizzazioni
Condividi su FacebookCondividi su Linkedin
0:00 / 0:00
TE LO LEGGO IO

Alcuni cybercriminali brasiliani stanno prendendo di mira oltre 30 istituti finanziari portoghesi, mediante l’utilizzo del malware PeepingTitle, appartenente alla famiglia Maxtrilha, osservata per la prima volta nel settembre del 2021.

Sicuramente non è primo e non sarà nemmeno l’ultimo attacco su larga scala ad istituzioni finanziarie o governative, ma quel che probabilmente lo differenzia da molti altri è il passo in avanti dei criminali nella progettazione e implementazione dell’attacco.

Da un lato, l’autore della minaccia distribuisce simultaneamente due varianti di backdoor su ciascuna macchina infetta, con l’obiettivo di massimizzare la potenza dei loro attacchi.
Dall’altro, per garantire la continuità operativa dinnanzi a qualsiasi potenziale imprevisto, i cybercriminali hanno – strategicamente – spostato l’infrastruttura di hosting dai provider che implementano misure più rigorose, tipicamente americani, come DigitalOcean o Dropbox, a Timeweb Cloud, un provider IaaS russo noto per le sue indulgenti politiche di hosting di malware e command-and-control server.
In un caso è stato trovato un server OKLAKO moldavo: 193.218.204[.]207.

Le backdoor di PeepingTitle dispongono di molteplici funzionalità spyware così da permettere ai malintenzionati di avere il controllo completo delle macchine infette, consentendo loro il monitoraggio dell’interazione dell’utente sul dispositivo, l’acquisizione di schermate non autorizzate, l’interruzione dei processi e la distribuzione di ulteriore malware.

Durante tale monitoraggio sul web, quando riconoscono l’apertura nel browser, da parte di un utente lusitano, delle pagine di uno degli istituti target, PeepingTitle esfiltra le schermate catturate e fa partire da un server remoto una serie di payload.
Quando un utente visita una specifica risorsa online, PeepingTitle imposta l’intervallo di monitoraggio del titolo della finestra su 5 secondi, si connette a un server C2 ed esfiltra i dati in forma crittografata.

Dopo aver sfruttato campagne email di phishing o siti web infetti – dai ricercatori di SentinelLabs sono emersi soprattutto i siti di accesso degli utenti di Energias de Portugal (EDP) e dell’Autorità fiscale e doganale portoghese (AT – Autoridade Tributária e Aduaneira) – la compromissione dei dispositivi bersaglio inizia con l’esecuzione di uno script Visual Basic dannoso, che serve principalmente a scaricare ed eseguire un caricatore di malware senza che l’utente si renda conto dell’attività.
Successivamente scarica ed esegue le backdoor di PeepingTitle. Questi script sono nascosti tra stringhe di codice pubblico, ma non facilmente riconoscibili agli occhi dei meno esperti.   

A differenza della prima variante, la seconda variante PeepingTitle registra la macchina infetta sul server C2 al momento dell’esecuzione: il malware esfiltra i dati in forma crittografata, specialmente il nome della macchina infetta e i numeri di serie del volume. Nel mentre, il malware continua a tenere traccia delle modifiche della finestra di livello superiore e ad acquisire uno screenshot di questa finestra ogni volta che l’utente la modifica. Da ultimo, invia lo screenshot a un server C2 diverso da quello utilizzato per la registrazione della macchina infetta.

Come riportato anche dai ricercatori di SentinelOne, con la prima variante che registra l’intero schermo e la seconda che cattura ogni finestra con cui un utente interagisce, questi due malware permettono ai cybercriminali di poter avere una visione dettagliata di tutta l’attività dell’utente.

Condividi12Condividi2
Adriano Spadari

Adriano Spadari

POTREBBE INTERESSARTI

GLI HACKER SFRUTTANO TECNICHE VECCHIE CHE FUNZIONANO SEMPRE

di Vittorio Rapetto
29/09/2023
0
GLI HACKER SFRUTTANO TECNICHE VECCHIE CHE FUNZIONANO SEMPRE

I criminali informatici continuano a fare affidamento su tattiche collaudate e su vecchie debolezze della sicurezza per aggredire telematicamente le aziende.

Leggi tutto

OPENAI RIVOLUZIONA CHATGPT: ORA PARLA E ANALIZZA IMMAGINI

di Ferdinando Scala
27/09/2023
0
OPENAI RIVOLUZIONA CHATGPT: ORA PARLA E ANALIZZA IMMAGINI

Negli ultimi giorni, OpenAI ha introdotto due significative novità nell’interfaccia utente della sua celebre app, ChatGPT. Questi aggiornamenti rappresentano un passo in avanti notevole nella continua evoluzione di...

Leggi tutto

STORIA DI ECCELLENZE ITALIANE E DI DUE RECORD

di Andrea Aparo von Flüe
27/09/2023
0
STORIA DI ECCELLENZE ITALIANE E DI DUE RECORD

Hanno in comune un record di velocità. Il primo per aerei con motore a pistoni, la seconda per la traversata dell’oceano atlantico. Dimostrano cosa si può fare quando...

Leggi tutto

GRAZIE PER POWERPOINT, DENNIS ROBERT AUSTIN

di Andrea Aparo von Flüe
14/09/2023
0
GRAZIE PER POWERPOINT, DENNIS ROBERT AUSTIN

Con molta probabilità, lo avete usato anche voi. Magari oggi. Se questo è il caso, la vostra presentazione è una delle 30 milioni che vengono create ogni giorno...

Leggi tutto
Prossimo post
ROBOT AUTONOMI PRONTI AL COMBATTIMENTO: È L’INIZIO DELLA FINE

ROBOT AUTONOMI PRONTI AL COMBATTIMENTO: È L'INIZIO DELLA FINE

ARTICOLI CORRELATI

L’USO DI MARIJUANA È INNOCUO?

L’USO DI MARIJUANA È INNOCUO?

20/11/2022
IL GOLPE IN NIGER, L’URANIO ED IL DISCORSO DEL GIOVANE CAPITANO PRESIDENTE DEL BURKINA FASO IBRAHIM TRAORÉ

IL GOLPE IN NIGER, L’URANIO ED IL DISCORSO DEL GIOVANE CAPITANO PRESIDENTE DEL BURKINA FASO IBRAHIM TRAORÉ

06/08/2023
AUTO ELETTRICHE, RETTILI E DON FERRANTE

AUTO ELETTRICHE, RETTILI E DON FERRANTE

10/03/2023

PRIVACY

  • Informativa Privacy
  • Informativa Cookie

TAG

Accenture ACN AGID ai alessio butti anorc anorc professioni butti chatGpt contenuti Cospito diversità doglover FACEWATCH Franco Roberti Frattasi google governo inclusione intelligenza artificiale massi migranti nadia gullo Paolo zangrillo Piantedosi putin razza robot servizi segreti SOUTHERN CO-OP spie whatsapp xiaomi zangrillo

© 2022 GIANO.news

Nessun risultato
Visualizza tutti i risultati
  • HOME
  • TECNOLOGIA
  • ENERGIA
  • TRASPORTI
  • SANITÀ
  • ECONOMIA
  • CITTADINI E MINORI
  • AVVISO AI NAVIGANTI

© 2022 GIANO.news