Il malware bancario adesso crea deepfake per rubare denaro, sostiene ESET

malware eset
ESET ha evidenziato la diffusione di malware che cercano di sottrarre denaro dalle vittime sia tramite malware bancario "tradizionale", sia tramite cryptostealer.
Francesco Destri

Collaboratore Francesco segue il mondo della tecnologia dal 1999, scrivendo per numerose testate online e cartacee. È specializzato soprattutto in tecnologia B2B, hardware e nuovi m... Leggi tutto

Nel suo ultimo Threat Report riferito al rilevamento delle minacce da dicembre 2023 a maggio 2024, ESET ha evidenziato la diffusione di malware che cercano di sottrarre denaro dalle vittime sia tramite malware bancario “tradizionale”, sia tramite cryptostealer. Il malware Infostealing è ora in grado di impersonare strumenti di IA generativa, mentre il nuovo malware mobile GoldPickaxe riesce a rubare i dati di riconoscimento facciale per creare video deepfake utilizzati dagli operatori del malware per autenticare transazioni finanziarie fraudolente. 

“GoldPickaxe ha versioni sia per Android, sia per iOS e ha preso di mira le vittime nel sud-est asiatico attraverso applicazioni maligne localizzate. Quando i ricercatori ESET hanno indagato su questa famiglia di malware, hanno scoperto che una versione Android più vecchia di GoldPickaxe, chiamata GoldDiggerPlus, si è fatta strada anche in America Latina e in Sudafrica, prendendo attivamente di mira le vittime in queste regioni” spiega Jiří Kropáč, direttore di ESET Threat Detection.

eset-threat-report-h1-2024

Negli ultimi mesi, il malware Infostealing ha iniziato a utilizzare anche l’impersonificazione di strumenti di intelligenza artificiale generativa. Nel report di ESET, Rilide Stealer è stato individuato mentre usava i nomi di assistenti IA generativi, come Sora di OpenAI e Gemini di Google, per attirare potenziali vittime. In un’altra campagna dannosa, l’infostealer Vidar si nascondeva dietro una presunta applicazione desktop Windows per il generatore di immagini Midjourney, sebbene questo LLM sia accessibile solo tramite Discord.

Balada Injector, gruppo noto per lo sfruttamento delle vulnerabilità dei plug-in di WordPress, ha continuato a dilagare nella prima metà del 2024, compromettendo oltre 20.000 siti web e accumulando oltre 400.000 visite. Per quanto riguarda i ransomware, l’ex leader LockBit è stato detronizzato da Operation Chronos, operazione globale condotta dalle forze dell’ordine nel febbraio 2024.

deepfakeia generativamalware bancarioSicurezza
// Data pubblicazione: 01.07.2024
Condividi:
 

Vulnerabilità grave in Ollama: 1.000 server esposti in rete

ESET V&PM
Secondo i ricercatori che hanno individuato la vulnerabilità di Ollama, questa potrebbe portare all'esecuzione di codice remoto.
Francesco Destri

Collaboratore Francesco segue il mondo della tecnologia dal 1999, scrivendo per numerose testate online e cartacee. È specializzato soprattutto in tecnologia B2B, hardware e nuovi m... Leggi tutto

Una vulnerabilità, ora corretta, è stata scoperta in Ollama, un popolare progetto open source per l’esecuzione di modelli linguistici di grandi dimensioni (LLM). Secondo i ricercatori che hanno individuato la falla, questa potrebbe portare all’esecuzione di codice remoto, e ci sarebbero oltre 1.000 istanze vulnerabili ancora esposte su internet.

La vulnerabilità, denominata Probllama e catalogata come CVE-2024-37032, è stata resa pubblica il 5 maggio e corretta il giorno successivo nella versione 0.1.34. Ollama è uno strumento utile per effettuare inferenze con reti neurali compatibili e può essere utilizzato tramite riga di comando o API REST. Il problema di sicurezza deriva da una validazione insufficiente sul lato server dell’API REST fornita da Ollama.

vulnerabilità ollama

Un malintenzionato potrebbe sfruttare la falla inviando una richiesta HTTP appositamente costruita al server API di Ollama. Nelle installazioni Docker, il server API è esposto pubblicamente per impostazione predefinita. I ricercatori hanno scoperto che durante il download di un modello da un registro privato, era possibile fornire un file manifest malevolo contenente un payload di path traversal nel campo digest. Questo potrebbe portare alla corruzione di file sul sistema, alla lettura arbitraria di file e, in ultima analisi, all’esecuzione di codice remoto.

Nonostante una versione corretta del progetto sia disponibile da oltre un mese, al 10 giugno erano ancora esposte su internet più di 1.000 istanze vulnerabili del server Ollama. Gli esperti consigliano di aggiornare il prima possibile le istanze alla versione 0.1.34 o successiva e di non esporre le installazioni a internet senza utilizzare un sistema di autenticazione.

Idealmente, si dovrebbe impedire completamente l’accesso al server da internet, posizionandolo dietro firewall e consentendo l’accesso solo ad applicazioni interne autorizzate. I ricercatori sottolineano che il problema critico non sono solo le vulnerabilità in sé, ma la mancanza intrinseca di supporto all’autenticazione in questi nuovi strumenti. Inoltre, anche se questi strumenti sono recenti e spesso scritti in linguaggi di programmazione moderni orientati alla sicurezza, vulnerabilità classiche come il path traversal continuano a rimanere un problema.

ia generativaLLMSicurezzaVulnerabilità
// Data pubblicazione: 25.06.2024
Condividi: