L'anno scorso, il National Cyber Security Center (NCSC) del Regno Unito ha trovato una variante del malware spia SparrowDoor su una rete britannica sconosciuta. Oggi è stata pubblicata un'analisi della variante, che ora può rubare dati dagli appunti, tra le altre cose. Inoltre, sono stati resi disponibili indicatori di compromissione e regole Yara che consentono alle organizzazioni di rilevare il malware all'interno della propria rete.
La prima versione di SparrowDoor è stata scoperta dalla società di antivirus ESET e si dice che sia stata utilizzata contro gli hotel di tutto il mondo e contro i governi. Gli aggressori hanno sfruttato le vulnerabilità di Microsoft Exchange, Microsoft SharePoint e Oracle Opera per entrare nelle organizzazioni. Le organizzazioni interessate erano, tra le altre, in Canada, Israele, Francia, Arabia Saudita, Taiwan, Tailandia e Regno Unito. ESET non ha rivelato l'obiettivo esatto degli aggressori.
L'NCSC britannico afferma di aver trovato una variante di SparrowDoor su una rete britannica l'anno scorso. Questa versione può rubare dati dagli appunti e verificare se un determinato software antivirus è in esecuzione su un elenco codificato. Questa variante può anche imitare il token dell'account utente durante l'impostazione delle connessioni di rete. È probabile che questo "downgrade" non sia appariscente, cosa che potrebbe fare se, ad esempio, eseguisse comunicazioni di rete con l'account SYSTEM.
Un'altra novità è il dirottamento di vari Windows Funzioni API. Non è chiaro quando il malware utilizzi "API hooking" e "token impersonation", ma secondo l'NCSC britannico, gli aggressori stanno prendendo decisioni consapevoli sulla sicurezza operativa. Non vengono forniti ulteriori dettagli sulla rete attaccata o su chi c'è dietro il malware.
Molte persone riferiscono di aver riscontrato problemi con un sito Web chiamato Forbeautiflyr.com. Questo sito Web induce gli utenti a...
Molte persone segnalano di aver riscontrato problemi con un sito Web chiamato Myxioslive.com. Questo sito Web induce gli utenti a...
Come rimuovere HackTool:Win64/ExplorerPatcher!MTB? HackTool:Win64/ExplorerPatcher!MTB è un file virus che infetta i computer. HackTool:Win64/ExplorerPatcher!La MTB prende il sopravvento...
Ogni giorno che passa rende gli attacchi ransomware più normali. Creano caos e chiedono un aiuto monetario...
Molte persone riferiscono di aver riscontrato problemi con un sito Web chiamato Wifebaabuy.live. Questo sito Web induce gli utenti a...
Le minacce informatiche, come le installazioni di software indesiderato, sono disponibili in molte forme e dimensioni. Adware, soprattutto quelli...