Sfruttamento dell’intelligenza artificiale dai truffatori
I truffatori stanno utilizzando l’intelligenza artificiale per clonare i volti dei clienti dell’exchange di criptovalute Binance, eludendo il sistema di verifica biometrica e rubando beni. La piattaforma ha avvertito gli utenti riguardo a questa grave minaccia. Gli attaccanti si avvalgono di foto e video di pubblico dominio o rubati come base per creare modelli facciali 3D falsi. Il bypass della verifica è spesso accompagnato dalla decodifica delle password e tentativi di autenticazione a due fattori (2FA). Gli attacchi a telefoni e desktop vulnerabili, che hanno accesso a Binance, possono essere eseguiti da remoto tramite malware.
Il team dell’exchange sta monitorando attivamente la situazione e invita gli utenti a mantenere alta la guardia.
Vulnerabilità nel messenger di Telegram
Un autore del canale Telegram “IT Dig” ha scoperto una vulnerabilità nel messenger che consente l’accesso agli account degli utenti senza l’uso di una password o di una verifica MFA. Ha informato gli sviluppatori riguardo al problema, spiegando che si verifica quando si utilizza l’autenticazione tramite il widget di Telegram su siti di terze parti, in particolare nel browser integrato del messenger.
“Queste autorizzazioni possono creare sessioni con diritti elevati, che permettono di leggere le chat, ricevere chiamate senza inserire una password di cloud e notificare il proprietario dell’account.”
Il pericolo principale è che un attaccante possa intercettare il token di autorizzazione e utilizzarlo su un proprio dispositivo. L’esperto ritiene che una vulnerabilità di questo tipo sia stata la causa del furto di 200 milioni di rubli (circa 3 milioni di dollari) in criptovalute da un suo cliente all’inizio del 2025.
Per mitigare tali rischi, ha raccomandato agli utenti di cancellare la cronologia del browser integrato di Telegram, disabilitare tutte le sessioni web attive e i widget.
Telegram ha ufficialmente smentito l’esistenza di questa vulnerabilità, affermando che il ricercatore ha male interpretato il meccanismo di alcune autorizzazioni.
Arresto per attacchi ransomware
Il Dipartimento di Giustizia degli Stati Uniti ha incriminato un cittadino yemenita, presumibilmente uno sviluppatore e operatore principale del virus ransomware Black Kingdom, per aver effettuato 1.500 attacchi ai server di Microsoft Exchange. Stando al fascicolo, tra marzo 2021 e giugno 2023, Rami Khaled Ahmed, 36 anni, e i suoi complici hanno infettato diverse reti informatiche con un encryptor, chiedendo un riscatto di 10.000 dollari in bitcoin.
Le sue vittime includono una società medica a Encino, una stazione sciistica in Oregon, un distretto scolastico in Pennsylvania e una clinica sanitaria in Wisconsin. Le autorità hanno sottolineato che il virus Black Kingdom è stato creato specificamente per sfruttare una vulnerabilità nel Microsoft Exchange Server e accedere ai computer bersaglio. Ahmed rischia fino a 15 anni di carcere per accuse di cospirazione, danneggiamento intenzionale di un computer protetto e minacce.
Attacco spyware su larga scala
Apple ha avvisato un numero elevato di utenti in oltre cento paesi riguardo a un attacco su larga scala da parte di spyware governativi, come riportato da TechCrunch. Tra le vittime figurano il giornalista italiano Ciro Pellegrino e l’attivista di destra olandese Eva Vlaardingerbroek.
Lo spyware consente l’accesso a dati personali, messaggi, microfono e fotocamera senza il consenso del proprietario. Attualmente non è chiaro quale gruppo si celi dietro questi attacchi mirati. Gli utenti di iPhone avvisati sono invitati ad aggiornare tempestivamente iOS all’ultima versione 18.4.1 e ad attivare la Modalità Lockdown per una protezione potenziata.
Multa a TikTok per violazione della privacy
La Commissione Irlandese per la Protezione dei Dati (DPC) ha multato TikTok per 530 milioni di euro (oltre 601 milioni di dollari) per aver trasferito illegalmente dati personali degli utenti dall’Area Economica Europea in Cina, in violazione delle normative europee sulla protezione dei dati. Inoltre, TikTok è stata accusata di mancanza di trasparenza.
L’azienda ha ricevuto l’ordine di conformarsi alle normative entro sei mesi, altrimenti tutti i trasferimenti di dati verso la Cina saranno sospesi.
Problemi per il gruppo ransomware RansomHub
Gli esperti di Group-IB hanno riferito che l’infrastruttura online del gruppo ransomware RansomHub ha smesso di funzionare “per motivi inspiegabili” dal 1 aprile. Alcuni esperti attribuiscono ciò al “partire di molti partecipanti”, che ha seguito i tempi di inattività nelle operazioni del sindacato iniziati nel novembre 2024.
I problemi sono aumentati quando un gruppo concorrente, il RaaS DragonForce, ha affermato che RansomHub aveva presumibilmente deciso di passare alla loro infrastruttura come parte di un nuovo “cartello di ransomware”. Alcuni affiliati potrebbero aver scelto Qilin, dati i raddoppi delle divulgazioni sul suo sito di leak da febbraio.
Secondo alcune stime, gli operatori di RansomHub hanno rubato dati da oltre 200 vittime in circa un anno di attività. Questo gruppo RaaS ha sostituito il chiuso LockBit e BlackCat, attirando i loro partner, tra cui Scattered Spider ed Evil Corp, grazie alla redditizia distribuzione dei pagamenti ricevuti dalle vittime.
