Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Abbiamo parlato molto di Pegasus nei mesi scorsi, ma come abbiamo detto in precedenza, non esiste solo la NSO Group tra quelle aziende che vengono definite come PSOA (private sector offensive actors).
I ricercatori di sicurezza di Kaspersky Lab hanno scoperto una nuova versione dello spyware FinSpy che intercetta il controllo e sostituisce il bootloader UEFI di Windows per infettare i sistemi informatici. Questo metodo ha consentito agli aggressori di installare un bootkit senza dover bypassare i controlli di sicurezza del firmware.
Secondo gli esperti, l’infezione sullo UEFI (Unified Extensible Firmware Interface) è rara e difficile da implementare. Sebbene in questo caso gli aggressori non abbiano infettato il firmware UEFI stesso, ma la sua fase di avvio successiva, l’attacco è stato particolarmente nascosto, poiché il modulo dannoso è stato installato su una partizione separata e potrebbe controllare il processo di avvio del dispositivo infetto.
Come notato dai ricercatori, è uno dei programmi spyware più difficili da rilevare oggi. Lo spyware viene fornito con quattro diversi livelli di offuscamento oltre al vettore del bootkit UEFI.
A differenza delle versioni precedenti di FinSpy, che contenevano il Trojan nell’applicazione infetta, i nuovi campioni sono ora protetti da due componenti: un pre-validatore volatile e un post-validatore.
“Il primo componente esegue diversi controlli di sicurezza per garantire che il dispositivo attaccato non appartenga a un ricercatore di sicurezza informatica. Solo dopo aver superato il controllo, il server fornisce un componente post-validazione. A questo punto il server sarà in grado di distribuire software Trojan per infettare la vittima”
hanno spiegato gli esperti.
Lo spyware contiene quattro sofisticati offuscatori personalizzati progettati per rallentare l’analisi dello spyware. Inoltre, il Trojan può utilizzare la modalità sviluppatore nei browser per intercettare il traffico protetto dal protocollo HTTPS.
Su tutti i computer infetti dal bootkit UEFI, il Boot Manager di Windows (bootmgfw.efi) è stato sostituito con uno dannoso. Quando lo UEFI passa l’esecuzione a un bootloader dannoso, prima individua e sostituisce il Boot Manager di Windows originale con una versione con patch in grado di ignorare tutti i controlli di sicurezza.
L’infezione tramite MBR (Master Boot Record) è stata registrata su dispositivi meno recenti senza supporto UEFI.
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.
Perché la miglior difesa, in fondo, è una bella storia. 👉 Scopri tutto su https://betti.redhotcyber.com/