Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
GlitchZone: la Nuova Frontiera della Cybersecurity Promossa da Scientifica Venture Capital  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  CPU Intel Vulnerabili! Nuovo Attacco “Indirector” Minaccia Rileva Dati Sensibili  ///    scopri betti-rhc, il fumetto sul cybersecurity awareness    ///  OpenSSH: Una RCE eseguita come Root mette a rischio 14 milioni di istanze su Linux  ///    Scropri i corsi di Red Hot Cyber    ///  Poseidon, il Dio dei Malware! MacOS Affonda nel Malvertising  ///    Iscriviti al nostro canale Whatsapp    ///  Juniper Networks Rilascia Aggiornamenti di Sicurezza per una Vulnerabilità Critica 10.0  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  Bologna: Gli hacker scrivono un’App Illegale che paralizza il Bike Sharing. L’80% delle Biciclette Fuori Uso  ///    scopri betti-rhc, il fumetto sul cybersecurity awareness    ///  Il database del Dipartimento elettorale della Virginia potrebbe essere stato violato e finisce nel Dark Web  ///    Scropri i corsi di Red Hot Cyber    ///  Cambridge University Press & Assessment finisce nel DLS di INC Ransomware  ///    Iscriviti al nostro canale Whatsapp    ///  Natohub rivendica un attacco al COI della Nato. Potenziale perdita di dati di 362 membri  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  Parla AzzaSec! RHC intervista gli Hacktivisti Italiani pro Palestina e Russia, affiliati a NoName057(16)  ///  

Poseidon, il Dio dei Malware! MacOS Affonda nel Malvertising

RHC Dark Lab : 1 Luglio 2024 11:55

Negli ultimi mesi, gli utenti Mac sono stati bersaglio di una nuova ondata di attacchi informatici tramite campagne di malvertising. L’ultima minaccia, soprannominata “Poseidon” dal suo creatore, è stata rilevata il 24 giugno e sfrutta annunci Google dannosi per diffondere un malware che ruba informazioni personali. Secondo un recente rapporto di Malwarebytes Lab, questa campagna rappresenta la seconda volta in due mesi in cui il browser Arc viene utilizzato come esca, sottolineando la sua crescente popolarità.

Dettagli della Violazione

Poseidon è un malware per macOS in fase di sviluppo attivo, progettato per competere con il noto Atomic Stealer (AMOS). Questo malware condivide molte delle stesse funzionalità di AMOS, come il furto di file, portafogli crittografici e password da gestori come Bitwarden e KeePassXC. Inizialmente identificato come OSX.RodStealer da Malwarebytes, il malware è stato rinominato dal suo autore, Rodrigo4, e migliorato con nuove capacità, tra cui la sottrazione delle configurazioni VPN.

Rodrigo4 ha creato un servizio di malware comprensivo di un pannello di controllo con statistiche e un builder personalizzabile, che permette di configurare il malware con nome, icona e AppleScript specifici. Poseidon offre una gamma di funzionalità avanzate che lo rendono una minaccia significativa: cattura di file, estrazione di portafogli crittografici, furto di password e raccolta di dati del browser. Nei post sui forum criminali, Poseidon è presentato come un concorrente diretto di Atomic Stealer, con cui condivide gran parte del codice sorgente.

Supporta Red Hot Cyber attraverso

La campagna di malvertising che distribuisce Poseidon sfrutta annunci pubblicitari su Google per indirizzare gli utenti verso siti di download falsi, come arc-download[.]com, che imitano il sito ufficiale del browser Arc. 

Pagina raggiungibile dall’URL arc-download[.]com

Gli utenti, ingannati dall’apparenza legittima del sito, scaricano un file DMG dannoso. Per aggirare le protezioni di sicurezza di macOS, il file richiede di eseguire un clic con il pulsante destro del mouse per l’installazione anziché il tradizionale doppio clic.

Una volta installato, Poseidon inizia a inviare dati sensibili a un server remoto, con rapporti che indicano l’invio a un indirizzo IP noto: 79.137.192.4. Questo indirizzo ospita il pannello di controllo di Poseidon, dove i dati rubati possono essere gestiti e sfruttati dai cybercriminali.

Pagina raggiungibile all’indirizzo IP 79.137.192.4

Dashboard di Poseidon

Risultato ricerca per l’indirizzo IP 79.137.192.4 utilizzando Virus Total

Dettagli per l’indirizzo IP 79.137.192.4 ottenuti dalla sezione  “Community” di Virus Total

Osservazioni sulla sicurezza

La scoperta di Poseidon, successiva a una precedente campagna che ha distribuito una versione falsa di Arc per Windows, mette in luce un aumento della sofisticazione delle minacce informatiche. Questo malware è progettato per rubare informazioni sensibili e rappresenta una seria minaccia per gli utenti Mac. 

Recenti sviluppi hanno evidenziato che Poseidon non è la prima minaccia per il mondo Apple, c’è un interesse crescente da parte del ransomware LockBit verso dispositivi macOS basati su architettura ARM, come Apple M1 e M2. Questa evoluzione ha sollevato preoccupazioni sulla sicurezza degli endpoint macOS, anche se attualmente i campioni scoperti sono ancora in fase di sviluppo e presentano alcune incompletezze, come la mancanza di firma del campione macOS e un semplice metodo di crittografia delle stringhe. Se rilasciate, queste varianti potrebbero permettere a LockBit di mantenere la sua rilevanza in un mercato RaaS altamente competitivo.

Questo scenario dimostra che gli attacchi informatici stiano effettivamente diversificando i loro obiettivi, sottolineando l’importanza cruciale di adottare misure di sicurezza informatica aggiornate e di rimanere vigili per tutti i sistemi operativi.

Conclusioni

Questo tipo di attacco dimostra come i criminali informatici sfruttano la crescente popolarità di nuovi software per diffondere malware e trarre in inganno gli utenti. Nonostante gli sforzi di Google per proteggere la sua piattaforma pubblicitaria, i malintenzionati continuano a orchestrare campagne ingannevoli. Malwarebytes raccomanda vivamente l’uso di strumenti di blocco pubblicitario, protezioni web avanzate e una continua prudenza durante il download e l’installazione di nuove applicazioni, al fine di mitigare il rischio di compromissione della sicurezza.

IoC’s

186.2.171.60
agov-ch[.]com
agov-access[.]net
agov-access[.]com
register-agov[.]com
agov-ch[.]net
bb8911f632a4547802a8dbb40268e1bd
  • 186.2.171.60

Dettagli IoC ottenuti utilizzando Virus Total

Dettagli ottenuti dalla sezione  “Community” di Virus Total

Dettagli collection “Poseidon” ottenuti da Virus Total

  • agov-ch[.]com

Dettagli ottenuti utilizzando Virus Total (stessi dettagli visti precedentemente)

Pagina raggiungibile dall’URL “agov-ch.com”

  • agov-access[.]net

Dettagli ottenuti utilizzando Virus Total (stessi dettagli visti precedentemente)

  • agov-access[.]com

Dettagli ottenuti utilizzando Virus Total (stessi dettagli visti precedentemente)

  • register-agov[.]com

Dettagli ottenuti utilizzando Virus Total 

  • agov-ch[.]net

Dettagli ottenuti utilizzando Virus Total 

  • MD5: bb8911f632a4547802a8dbb40268e1bd

Dettagli ottenuti utilizzando Virus Total 

Dettagli ottenuti dalla sezione “Relation” di Virus Total

RHC Dark Lab
RHC Dark Lab è un gruppo di esperti della community di Red Hot Cyber dedicato alla Cyber Threat Intelligence guidato da Pietro Melillo. Partecipano al collettivo, Sandro Sana, Alessio Stefan, Raffaela Crisci, Vincenzo Di Lello e altri membri che vogliono rimanere anonimi. La loro missione è diffondere la conoscenza sulle minacce informatiche per migliorare la consapevolezza e le difese digitali del paese, coinvolgendo non solo gli specialisti del settore ma anche le persone comuni. L'obiettivo è diffondere i concetti di Cyber Threat Intelligence per anticipare le minacce.
Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009