Ransomfeed

L'hacker dello "Yemen Cyber Army" che ha deturpato siti web israeliani e statunitensi è stato condannato nel Regno Unito
Un attacco informatico ha interessato siti web a bassa sicurezza negli Stati Uniti, in Israele, in Canada e nello Yemen. L'aggressore ha creato pagine contenenti messaggi. Nell'arco di tre mesi, sono stati compromessi più di 3.000 siti web. L'attività mirava a causare notevoli disagi.

Google conferma che gli hacker stanno prendendo di mira gli account Gmail
Gli account Gmail stanno registrando un aumento delle intrusioni andate a buon fine (tasso di successo del 37%), superiore a quello degli anni precedenti. Gli hacker utilizzano malware infostealer inviati tramite email di phishing che imitano fonti legittime come Google. Questo malware ruba credenziali di accesso, dati finanziari e dati di navigazione (cookie e token di autenticazione). L'elevato tasso di successo è attribuito all'uso diffuso di Gmail (1,8 miliardi di utenti).

La piattaforma Workday CRM è stata colpita dagli hacker, probabilmente in relazione agli attacchi Salesforce
La piattaforma CRM di terze parti di Workday è stata compromessa tramite una campagna di ingegneria sociale che utilizzava il vishing. Gli aggressori si sono spacciati per personale delle risorse umane o IT per ottenere un accesso non autorizzato, sottraendo principalmente informazioni di contatto aziendali pubblicamente disponibili, come nomi, indirizzi email e numeri di telefono. L'attacco non ha interessato i dati dei clienti all'interno dei sistemi di Workday. Workday ha successivamente limitato l'accesso e implementato ulteriori misure di sicurezza.

L'unità di crediti di Welcome Financial Group subisce un attacco ransomware, documenti interni esposti
Welrix F&I, un'unità di crediti al consumatore di Welcome Financial Group, ha subito un attacco ransomware che ha portato all'esfiltrazione di documenti interni. Gli aggressori hanno affermato di aver acquisito 1,024 terabyte di dati, tra cui informazioni finanziarie potenzialmente sensibili dei clienti. L'attacco ha comportato la crittografia dei file di sistema e una richiesta di pagamento. Secondo Welcome Financial, i campioni trapelati sembravano essere documenti interni, non dati dei clienti.

Gli autori delle minacce utilizzano giochi piratati per aggirare Microsoft Defender SmartScreen e Adblocker
Una sofisticata campagna malware utilizza download di giochi piratati per distribuire HijackLoader, un malware loader modulare, che bypassa Microsoft Defender SmartScreen e gli adblocker. I payload dannosi sono nascosti all'interno di file apparentemente legittimi su siti come Dodi Repacks e MEGA, impiegando tecniche come DLL sovradimensionate e archivi nidificati per eludere il rilevamento. HijackLoader utilizza il module stomping, controlli anti-VM e risoluzione API tramite hash CRC32 per mantenere la persistenza e distribuire payload come il stealer LummaC2. La campagna si estende oltre i siti di gioco, sfruttando piattaforme come TIDAL.

Noodlophile si nasconde dietro falsi reclami per violazione del copyright
Una sofisticata campagna di spear-phishing utilizza false accuse di violazione del copyright per colpire le pagine Facebook aziendali. Link dannosi nelle email portano a un payload che installa l'infostealer Noodlophile, sfruttando vulnerabilità in applicazioni come Haihaisoft PDF Reader. Il malware raccoglie dati sensibili, tra cui credenziali e informazioni finanziarie, e utilizza tecniche di auto-eliminazione. L'attacco sfrutta Telegram per il comando e il controllo e impiega tecniche di offuscamento per eludere il rilevamento.

Il ransomware Blue Locker lancia attacchi mirati al settore petrolifero e del gas in Pakistan
Il ransomware Blue Locker ha preso di mira il settore petrolifero e del gas del Pakistan, compromettendo Pakistan Petroleum Limited. Il malware, utilizzando la crittografia AES-RSA, ha eliminato i backup e aggiunto l'estensione ".Blue" ai file crittografati. I vettori di attacco includevano e-mail di phishing e accesso remoto non sicuro. Il ransomware ha utilizzato tecniche come l'escalation dei privilegi, l'offuscamento e l'eliminazione delle copie shadow. Sono stati utilizzati caricatori PowerShell e il malware si è iniettato nel registro per renderlo persistente.

PayPal: un hacker mette in vendita milioni di presunte credenziali di accesso
Un hacker ha messo in vendita un presunto dataset di 1,1 GB contenente circa 15,8 milioni di credenziali PayPal. Il dataset includerebbe indirizzi email e password in formato testo normale, insieme agli URL di accesso. I dati campione hanno mostrato duplicati e account falsi. L'origine e l'accuratezza dei dati rimangono incerte. L'affermazione del venditore secondo cui le password sarebbero state ottenute direttamente da PayPal è discutibile, poiché PayPal non memorizza le password in formato testo normale. È probabile che i dati provengano da malware che raccolgono credenziali da dispositivi compromessi.