This Week in Security: Cloudflare Wasn’t DNS, BADAUDIO, and Not a Vuln

You may have noticed that large pieces of the Internet were down on Tuesday. It was a problem at Cloudflare, and for once, it wasn’t DNS. This time it was database management, combined with a safety limit that failed unsafe when exceeded.

Cloudflare’s blog post on the matter has the gritty details. It started with an update to how Cloudflare’s ClickHouse distributed database was responding to queries. A query of system columns was previously only returning data from the default database. As a part of related work, that system was changed so that this query now returned all the databases the given user had access to. In retrospect it seems obvious that this could cause problems, but it wasn’t predicted to cause problems. The result was that a database query to look up bot-management features returned the same features multiple times.

That featurelist is used to feed the Cloudflare bot classification system. That system uses some AI smarts, and runs in the core proxy system. There are actually two versions of the core proxy, and they behaved a bit differently when the featurelist exceeded the 200 item limit. When the older version failed, it classified all traffic as a bot. The real trouble was the newer Rust code. That version of the core proxy threw an error in response, leading to 5XX HTTP errors, and the Internet-wide fallout.

Dangling Azure

There’s a weird pitfall with cloud storage when a storage name is used and then abandoned. It’s very much like what happens when a domain name is used and then allowed to expire: Someone else can come along and register it. Microsoft Azure has its own variation on this, in the form of Azure blob storage. And the folks at Eye Security’s research team found one of these floating blobs in an unexpected place: In Microsoft’s own Update Health Service.

The 1.0 version of this tool was indeed exploitable. A simple payload hosted on one of these claimed blob endpoints could trigger an explorer.exe execution with an arbitrary parameter, meaning trivial code execution. The 1.1 version of the Update Health Service isn’t vulnerable by default, requiring a registry change before reaching out to the vulnerable blob locations. That said, there are thousands of machines looking to these endpoints that would be vulnerable to takeover. After the problem was reported, Microsoft took over the blob names to prevent any future misuse.

BADAUDIO

There’s a new malware strain from APT24, going by the name BADAUDIO. Though “new” is a bit of a misnomer here, as the first signs of this particular malware were seen back in 2022. What is new is that Google Threat Intelligence reporting on it. The campaign uses multiple techniques, like compromising existing websites to serve the malware in “watering hole” attacks, to spam and spearphishing.

Notable here is how obfuscated the BADAUDIO malware loader is, using control flow flattening to resist analysis. First consider how good code uses functions to group code into logical blocks. This technique does the opposite, putting code into blocks randomly. The primary mechanism for execution is DLL sideloading, where a legitimate application is run with a malicious DLL in its search path, again primarily to avoid detection. It’s an extraordinarily sneaky bit of malware.

Don’t Leave The Defaults

There’s an RCE (Remote Code Execution) in the W3 Total Cache WordPress plugin. The vulnerability is an eval() that can be reached by putting code in a page to be cached. So if a WordPress site allows untrusted comments, and has caching enabled, there’s just one more hurdle to clear. And that is the W3TC_DYNAMIC_SECURITY value, which seems to be intended to stave off exactly this sort of weakness. So here’s the lesson, don’t leave this sort of security feature default.

Not a Vulnerability

We have a trio of stories that aren’t technically vulnerabilities. The first two are in the mPDF library, that takes HTML code and generates PDFs — great for packaging documentation. The first item of interest in mPDF is the handling of @import css rules. Interestingly, these statements seem to be evaluated even outside of valid CSS, and are handled by passing the URL off to curl to actually fetch the remote content. Those URLs must end in .css, but there’s no checking whether that is in a parameter or not. So evil.org/?.css is totally valid. The use of curl is interesting for another reason, that the Gopher protocol allows for essentially unrestricted TCP connections.

The next quirk in mPDF is in how .svg files are handled. Specifically, how an image xlink inside an svg behaves, when it uses the phar:// or php:// prefixes. These are PHP Archive links, or a raw php link, and the mPDF codebase already guards against such shenanigans, matching links starting with either prefix. The problem here is that there’s path mangling that happens after that guard code. To skip straight to the punchline, :/phar:// and :/php:// will bypass that filter, and potentially run code or leak information.

Now the big question: Why are neither of those vulnerabilities? Even when one is a bypass for a CVE fix from 2019? Because mPDF is only to be used with sanitized input, and does not do that sanitization as part of its processing. And that does check out. It’s probably the majority of tools and libraries that will do something malicious if fed malicious input.

There’s one more “vulnerable” library, esbuild, that has an XSS (Cross Site Scripting) potential. It comes down to the use of escapeForHTML(), and the fact that function doesn’t sanitize quotation marks. Feed that malicious text, and the unescaped quotation mark allows for plenty of havoc. So why isn’t this one a vulnerability? Because the text strings getting parsed are folder names. And if you can upload an arbitrary folder to the server where esbuild runs, you already have plenty of other ways to run code.

Bits and Bytes

There’s another Fortinet bug being exploited in the wild, though this one was patched with FortiWeb 8.0.2. This one gets the WatchTowr treatment. It’s a path traversal that bypasses any real authentication. There are a couple of validation checks that are straightforward to meet, and then the cgi_process() API can be manipulated as any user without authentication. Ouch.

The Lite XL text editor seems pretty nifty, running on Windows, Linux, and macOS, and supporting lua plugins for extensibility. That Lua code support was quite a problem, as opening a project would automatically run the .lua configuration files, allowing direct use of os.execute(). Open a malicious project, run malicious code.

And finally, sometimes it’s the easy approach that works the best. [Eaton] discovered A Cracker Barrel administrative panel built in React JS, and all it took to bypass authentication was to set isAuthenticated = true in the local browser. [Eaton] started a disclosure process, and noticed the bug had already been fixed, apparently discovered independently.

Dogfooding is usually a good thing: That’s when a company uses their own code internally. It’s not so great when it’s a cloud company, and that code has problems. Oracle had this exact problem, running the Oracle Identity Governance Suite. It had a few authentication bypasses, like the presence of ?WSDL or ;.wadl at the end of a URL. Ah, Java is magical.

hackaday.com/2025/11/21/this-w…

Rischio sventato per milioni di utenti Microsoft! La falla critica in Microsoft SharePoint da 9.8

Microsoft ha reso nota una vulnerabilità critica in SharePoint Online (scoperta da RHC grazie al monitoraggio costante delle CVE critiche presente sul nostro portale), identificata come CVE-2025-59245, con un punteggio CVSS v3.1 di 9.8/10.

La falla riguarda la deserializzazione di dati non attendibili (CWE‑502) e permette a un attaccante remoto di ottenere un’elevazione di privilegi senza necessità di credenziali o interazione dell’utente. Se sfruttata attivamente da criminali informatici, questa vulnerabilità potrebbe mettere a rischio milioni di utenti.

L’episodio sottolinea come, dopo gli incidenti su servizi cloud come AWS, Azure e Cloudflare, il cloud stia sempre più diventando un “single point of failure”, dove un singolo bug critico può compromettere enormi quantità di dati aziendali e personali.

Modalità e impatto dell’attacco

La vulnerabilità sfrutta la deserializzazione di dati provenienti da fonti non attendibili. In pratica, un attaccante può manipolare oggetti serializzati che SharePoint Online deserializza in modo insicuro, ottenendo la possibilità di eseguire codice arbitrario o elevare i propri privilegi. Questo rende possibile il controllo amministrativo sulla piattaforma, compromettendo documenti, flussi aziendali e dati sensibili. Il punteggio CVSS riflette sia la facilità di sfruttamento sia l’impatto grave su confidenzialità, integrità e disponibilità.

Diffusione e contesto aziendale

SharePoint Online è un servizio cloud ampiamente utilizzato da aziende, pubbliche amministrazioni e organizzazioni internazionali per gestione documentale e collaborazione. La compromissione di un tenant può portare a accesso non autorizzato ai dati, manipolazione dei documenti e interruzioni operative, con potenziali conseguenze legali e reputazionali. La mancanza di requisiti di autenticazione e interazione utente aumenta ulteriormente il rischio di sfruttamento remoto.

La vulnerabilità è stata riservata su NVD a settembre 2025 e pubblicata ufficialmente il 20 novembre 2025, con aggiornamento il 21 novembre. Microsoft l’ha inclusa nel proprio Security Update Guide, ma al momento della pubblicazione non erano disponibili exploit pubblici né patch. Il servizio essendo cloud-based, la gestione delle mitigazioni e degli aggiornamenti dipende direttamente dal provider, rendendo cruciale il monitoraggio da parte delle organizzazioni.

Misure di protezione consigliate

Anche se SharePoint Online è un servizio cloud e Microsoft applicherà direttamente le patch lato server, le organizzazioni non devono abbassare la guardia. È fondamentale verificare lo stato del proprio tenant, monitorare eventuali attività sospette e assicurarsi che controlli di accesso, privilegi e integrazioni API siano configurati correttamente. Queste misure riducono il rischio residuo derivante da configurazioni errate o da eventuali tentativi di sfruttamento precedenti all’applicazione della patch, garantendo così la sicurezza dei dati aziendali anche in ambienti cloud gestiti.

Conclusione: urgenza e prevenzione

La CVE‑2025‑59245 evidenzia quanto la sicurezza del cloud aziendale sia critica.

Con un punteggio di 9.8, sfruttabile da remoto senza autenticazione, la vulnerabilità rappresenta un pericolo reale per la confidenzialità, integrità e disponibilità dei dati. Organizzazioni e amministratori devono agire subito, implementando controlli, mitigazioni e monitoraggio costante per prevenire accessi non autorizzati e possibili danni operativi o reputazionali.

L'articolo Rischio sventato per milioni di utenti Microsoft! La falla critica in Microsoft SharePoint da 9.8 proviene da Red Hot Cyber.

Chi ha staccato Cloudflare durante l’interruzione ha messo a rischio la sua infrastruttura

Un’importante interruzione dell’infrastruttura di Cloudflare ha messo inaspettatamente alla prova la solidità del cloud e dei suoi sistemi di sicurezza per molte aziende. Il 18 novembre, le interruzioni del servizio hanno causato la disconnessione di siti web in tutto il mondo più volte e alcuni clienti hanno tentato di abbandonare temporaneamente la piattaforma per mantenere la disponibilità delle risorse.

Questa manovra forzata ha anche comportato la perdita per diverse ore da parte delle applicazioni web del tradizionale filtro del traffico dannoso, che Cloudflare in genere blocca ai margini della rete.

I problemi sono iniziati intorno alle 6:30 EST (11:30 UTC), quando sulla pagina di stato è apparsa una notifica relativa al degrado dei servizi interni. Nelle ore successive, le risorse sono tornate online, per poi tornare nuovamente non disponibili. La situazione è stata complicata dal fatto che il portale di Cloudflare era frequentemente inattivo e molti domini si affidavano anche al servizio DNS dell’azienda , rendendo tecnicamente difficile il passaggio a soluzioni alternative.

Ciononostante, alcuni proprietari di siti web hanno comunque modificato il routing, ed è stato questo tentativo di garantire la disponibilità senza fare affidamento sul perimetro di sicurezza di Cloudflare a rendere la loro infrastruttura più vulnerabile agli aggressori.

Esperti terzi sottolineano che la piattaforma mitiga efficacemente i tipi più comuni di attacchi a livello applicativo , tra cui attacchi brute-force alle credenziali, attacchi SQL injection, tentativi di bypass dei controlli API e numerosi scenari di traffico automatizzato. Pertanto, l’improvvisa perdita di questo livello ha rivelato vulnerabilità nascoste, nei controlli di sicurezza locali a compromissioni di lunga data nei controlli lato applicazione.

In un caso, l’aumento del volume dei log è stato così significativo che l’azienda sta ancora cercando di determinare quali eventi fossero veri e propri tentativi di intrusione e quali fossero solo rumore.

Gli analisti sottolineano che durante il periodo in cui alcuni importanti siti web sono stati costretti a operare senza Cloudflare, qualsiasi osservatore avrebbe potuto notare cambiamenti nei record DNS e rendersi conto che la linea difensiva era scomparsa.

Per i gruppi criminali, tali periodi rappresentano un’opportunità per lanciare attacchi precedentemente bloccati a livello perimetrale, soprattutto se il bersaglio era già sotto sorveglianza. Pertanto, le organizzazioni che hanno reindirizzato il traffico verso percorsi alternativi devono ora esaminare attentamente i registri eventi per assicurarsi che non siano emerse presenze nascoste di aggressori dopo il ripristino della rete predefinita.

Cloudflare ha successivamente pubblicato un’analisi dell’incidente. L’azienda ha dichiarato che l’interruzione non era correlata ad attacchi o attività dannose. Piuttosto, era stata causata da un errore di autorizzazione in uno dei suoi database interni, che aveva generato un gran numero di voci in un file di configurazione separato per il sistema di gestione dei bot.

Il file ha raddoppiato le sue dimensioni ed è stato quindi propagato automaticamente in tutta la rete, innescando una cascata di errori. Considerando che i servizi Cloudflare sono utilizzati da circa un quinto di Internet, tali incidenti dimostrano quanto i servizi web moderni siano vulnerabili a errori isolati provenienti da un singolo provider.

La questione dell’affidamento su singoli punti di errore sta attirando ulteriore attenzione. I consulenti considerano questo incidente come un ulteriore promemoria della necessità di distribuire le funzioni di sicurezza su più zone e provider. A tal fine, suggeriscono di implementare strumenti di filtraggio, protezione DDoS e manutenzione DNS su diverse piattaforme, segmentare le applicazioni per evitare che un errore sul lato di un provider provochi una reazione a catena e monitorare regolarmente le dipendenze critiche per identificare tempestivamente l’impatto delle reti mono-fornitore.

L'articolo Chi ha staccato Cloudflare durante l’interruzione ha messo a rischio la sua infrastruttura proviene da Red Hot Cyber.

FNSI: uno sciopero per lavoro e retribuzioni dignitose 

Il giornalismo è presidio fondamentale per la vita democratica del nostro Paese, ma la qualità dell’informazione si sta deteriorando.

Gli editori non hanno colto le opportunità nei ricavi della trasformazione digitale del settore e davanti alla crisi dei media tradizionali hanno preferito tagliare il costo del lavoro.

La riduzione degli organici delle redazioni e delle retribuzioni dei giornalisti attraverso licenziamenti, ripetuti stati di crisi con le casse integrazioni e migliaia di prepensionamenti, la paralisi contrattuale hanno inaridito l’offerta di notizie con ricadute negative sul pluralismo e sul diritto dei cittadini a essere informati.

Per queste ragioni i giornalisti hanno proclamato lo sciopero nazionale per il 28 novembre per protestare contro il mancato rinnovo del contratto nazionale di lavoro Fnsi-Fieg, scaduto da oltre dieci anni.

Ritengono che per lo sviluppo dell’informazione sia necessario un nuovo accordo con gli editori che tenga conto della perdita del potere d’acquisto degli stipendi eroso dall’inflazione, che favorisca l’ingresso nelle redazioni di giovani, che garantisca diritti e retribuzioni adeguate alle migliaia di collaboratori e corrispondenti – per lo più precari – che tutti i giorni raccontano quanto accade nelle nostre città.

Il nuovo contratto non deve lasciare indietro nessuno, tutelando i diritti acquisiti, contemplando nuove figure professionali e occupandosi di intelligenza artificiale e di equo compenso per la cessione dei contenuti sul web.

Lo sciopero, che sarà preceduto il giorno prima, 27 novembre, da una manifestazione di piazza a Roma, non ha motivazioni politiche, ma vuole ribadire che un’informazione di qualità è possibile solo con giornalisti professionali liberi tutelati, come tutti i lavoratori del nostro Paese, nei loro diritti e nelle retribuzioni adeguate dal rinnovo del contratto di lavoro.

dicorinto.it/associazionismo/f…

Wiring Up The Railway, All The Live-Long Day

For those of you who haven’t spent time in North America around this time of year, you may be unaware of two things: one, the obligatory non-stop loop of “All I Want For Christmas Is You” retail workers are subjected to starting November first, and two: there is a strong cultural association between Christmastime and model railroading that may not exist elsewhere. That may down to childhood memories of when we got our first trainsets, or an excellent postwar marketing campaign by Lionel. Either way, now that Mariah Carey is blaring, we’re thinking about our holiday track layouts. Which makes this long presentation on Wiring for Small Layouts by [Chicago Crossing Model Railroad] quite timely.

There are actually three videos in this little course; the first focuses mostly on the tools and hardware used for DCC wiring (that’s Digital Command Control), which will be of less interest to our readers– most of you are well aware how to perform a lineman’s splice, crimp connectors onto a wire, and use terminal blocks.

The second two videos are actually about wiring, in the sense of routing all the wires needed for a modern layout– which is a lot more than “plug the rheostat into the tracks in one spot” that our first Lionel boxed set needed. No, for the different accessories there are multiple busses at 5V, 12V and 24V along with DCC that need to be considered. Unsurprisingly enough given those voltages, he starts with an ATX power supply and breaks out from there.

Even if you’re not into model railroading, you might learn something from these videos if you haven’t done many projects with multiple busses and wire runs before. It’s far, far too easy to end up with a rats nest of wires, be they DCC, I2C or otherwise. A little planning can save some big headaches down the line, and if this is a new skill for you [Chicago Crossing Model Railroad] provides a good starting point for that planning. Just skip ahead a couple minutes for him to actually start talking if you don’t want the musical cliff notes montage at the start of the videos.

If you don’t have any model trains, don’t worry, you can 3D print them. Lack of room isn’t really an excuse.

youtube.com/embed/McZgSs4Be78?…

hackaday.com/2025/11/21/wiring…

Зеленський сказав, що не мав уявлення про те, що робиться за його спиною, пише Суспільне з посиланням на нардепів.

Однак президент наголосив, що всі, хто причетний до корупційних схем, мають бути притягнуті до відповідальності.

СБУ та Нацполіція відзначили 4-х підлітків, які «зірвали» спроби фсб завербувати їх для вчинення терактів і диверсій.

Окупанти спробували залучити до співпраці 16-річного жителя прифронтового міста Синельникове Дніпропетровської області та трьох учнів черкаських шкіл.

Вони надсилали їм інструкції для вчинення диверсій та обіцяли грошову винагороду. Однак підлітки своєчасно повідомили про спроби ворога.

Служба безпеки закликає українців бути пильними та у разі виявлення ознак ворожого впливу невідкладно повідомляти про це:

▪️ до чат-бота СБУ «Спали» ФСБшника»: t.me/Spaly_FSB_bot
▪️ на гарячу лінію СБУ: 0800 501 482
▪️ до Національної поліції: 102

Commodore’s Most Popular Computer gets DOOM-style Shooter

When people talk about the lack of a DOOM being the doom Commodore home computers, they aren’t talking about the C64, which was deep into obsolescence when demon-slaying suddenly became the minimal requirement for all computing devices. That didn’t stop [Kamil Wolnikowski] and [Piotr Kózka] from hacking together Grey a ray-cast first-person shooter for the Commodore 64.

Grey bares more than a passing resemblance to id-software’s most-ported project. It apparently runs at 16 frames per second on a vanilla C64 — no super CPU required. The secret to the speedy game play is the engine’s clever use of the system’s color mapping functionality: updating color maps is faster than redrawing the screen. Yeah, that makes for rather “blockier” graphics than DOOM, but this is running on a Commodore 64, not a 386 with 4 MB of RAM. Allowances must be made. Come to think of it, we don’t recall DOOM running this smooth on the minimum required hardware — check out the demo video below and let us know what you think.

The four-level demo currently available is about 175 kB, which certainly seems within the realms of possibility for disk games using the trusty 1541. Of course nowadays we do have easier ways to get games onto our vintage computers.

If you’re thinking about Commodore’s other home computer, it did eventually get a DOOM-clone.

youtube.com/embed/LWKhitviPDI?…

Thanks to [Stephen Walters] for the tip.

hackaday.com/2025/11/21/commod…

Hackaday Podcast Episode 346: Melting Metal in the Microwave, Unlocking Car Brakes and Washing Machines, and a Series of Tubes

Wait, what? Is it time for the podcast again? Seems like only yesterday that Dan joined Elliot for the weekly rundown of the choicest hacks for the last 1/52 of a year. but here we are. We had quite a bit of news to talk about, including the winners of the Component Abuse Challenge — warning, some components were actually abused for this challenge. They’re also a trillion pages deep over at the Internet Archive, a milestone that seems worth celebrating.

As for projects, both of us kicked things off with “Right to repair”-adjacent topics, first with a washing machine that gave up its secrets with IR and then with a car that refused to let its owner fix the brakes. We heated things up with a microwave foundry capable of melting cast iron — watch your toes! — and looked at a tiny ESP32 dev board with ludicrously small components. We saw surveyors go to war, watched a Lego sorting machine go through its paces, and learned about radar by spinning up a sonar set from first principles.

Finally, we wrapped things up with another Al Williams signature “Can’t Miss Articles” section, with his deep dive into the fun hackers can have with the now-deprecated US penny, and his nostalgic look at pneumatic tube systems.

html5-player.libsyn.com/embed/…

Download this 100% GMO-free MP3.

Where to Follow Hackaday Podcast

Places to follow Hackaday podcasts:

• iTunes
• Spotify
• Stitcher
• RSS
• YouTube
• Check out our Libsyn landing page

Episode 346 Show Notes:

News:

• Congratulations To The 2025 Component Abuse Challenge Winners
• Meet The Shape That Cannot Pass Through Itself
• Internet Archive Hits One Trillion Web Pages

What’s that Sound?

• [Andy Geppert] knew that was the annoying sound of the elevator at the Courtyard by Marriot hotel in Pasadena.

Interesting Hacks of the Week:

• Reverse Engineering The Miele Diagnostic Interface
• Hyundai Paywalls Brake Pad Changes
• The Simplest Ultrasound Sensor Module, Minus The Module
  
  • Good Vibrations: Giving The HC-SR04 A Brain Transplant
  • Bend It Like (Sonar) Beacon With A Phased Array
  • Fundamentals Of FMCW Radar Help You Understand Your Car’s Point Of View

  
  

• Casting Metal Tools With Kitchen Appliances
  
  • 
    
    • Microwave Forge Casts The Sinking-est Benchy Ever
    • More Microwave Metal Casting

    
    

  
  

• Possibly-Smallest ESP32 Board Uses Smallest-Footprint Parts
  
  • Hacking A Pill Camera

  
  

• WWII Secret Agents For Science

Quick Hacks:

• Elliot’s Picks
  
  • Damn Fine (Solar Powered) Coffee
  • Humane Mousetrap Lets You Know It’s Caught Something
  • In Praise Of Plasma TVs
  • Exploring The Performance Gains Of Four-Pin MOSFETs

  
  

• Dan’s Picks:
  
  • Making A Machine To Sort One Million Pounds Of LEGO
  • The King Of Rocket Photography
  • Cheap VHF Antenna? Can Do!

  
  

Can’t-Miss Articles:

• Hackers Can’t Spend A Penny
  
  • Penny Miser Copper Coin Sorter
  • I Made a Super Simple Penny Sorter!

  
  

• Tech In Plain Sight: Pneumatic Tubes
  
  • The Safe House Milwaukee

  
  

hackaday.com/2025/11/21/hackad…

Sweet Sound Sculpture Helps You Sleep Soundly

Have trouble sleeping, or getting to sleep in the first place? You’ve no doubt heard of white noise machines, but know it would be much cooler to make your own. Enter Noise Maker, a DIY sound sculpture by [optimus103733], who wanted to learn something in the process of creating.

The best thing about this sound sculpture aside from the looks is that you can not only play five different sounds (e.g. birds, traffic, water, frog, white noise), you can mix them together into a rich but relaxing cacophony.

As you can probably see from the picture, Noise Maker is based on the ESP32 and uses an SD card module, an amplifier, and five pots. Be sure to check out the pictures, because there are three layers of copper connections and a lot of careful bending to make it all come together. In the video after the break, you can hear it in action.

It seems [optimus103733] isn’t completely satisfied and wants to make a few improvements in the future, such as a voltage regulator, a power switch, and a timer to automatically stop playback once (we assume) sleep has come. Evidently the ESP32 struggles a little with mixing six audio sources, but hey, lesson learned.

Wait, why do we sleep in the first place?

youtube.com/embed/aQic2eBXzWk?…

hackaday.com/2025/11/21/sweet-…

TamperedChef: malware tramite falsi installer di app

La campagna su larga scala TamperedChef sta nuovamente attirando l’attenzione degli specialisti, poiché gli aggressori continuano a distribuire malware tramite falsi programmi di installazione di applicazioni popolari.

Questa truffa, mascherata da software legittimo, aiuta a ingannare gli utenti e a ottenere un accesso persistente ai dispositivi. Il team Acronis sottolinea che l’attività continua: vengono scoperti nuovi file e l’infrastruttura associata rimane operativa.

Il metodo si basa sull’ingegneria sociale. Utilizza nomi di utility note, annunci con clic falsi, ottimizzazione per i motori di ricerca e falsi certificati digitali. I ricercatori Darrell Virtusio e József Gegenyi spiegano che questi elementi aumentano la fiducia negli installatori e aiutano a bypassare i meccanismi di sicurezza.

La campagna è stata soprannominata TamperedChef perché i falsi installer creati fungono da tramite per il malware omonimo. Questa attività è considerata parte di una serie più ampia di operazioni EvilAI che utilizzano esche collegate a strumenti basati sull’intelligenza artificiale.

Per dare credibilità alle app false, il gruppo di operatori utilizza certificati rilasciati a società fittizie negli Stati Uniti, a Panama e in Malesia. Quando i vecchi certificati vengono revocati, ne vengono emessi di nuovi con un nome aziendale diverso. Acronis sottolinea che questa infrastruttura assomiglia a un processo di produzione organizzato, consentendo l’emissione continua di nuove chiavi e l’occultamento di codice dannoso dietro build firmate.

È importante notare che diverse aziende hanno identificato diverse minacce sotto il nome TamperedChef: alcuni team di ricerca utilizzano la denominazione BaoLoader e il file dannoso originale con questo nome era incorporato in una falsa app di ricette sviluppata da EvilAI.

Un tipico scenario di infezione inizia con un utente che cerca manuali hardware o utility in formato PDF. I risultati contengono link pubblicitari o risultati falsificati, che rimandano a domini dell’aggressore registrati tramite NameCheap. Dopo aver scaricato ed eseguito il programma di installazione, all’utente viene presentato un contratto standard e, al termine, un messaggio di ringraziamento viene visualizzato in una nuova finestra del browser.

A questo punto, sulla macchina viene creato un file XML che incorpora nel sistema un componente JavaScript nascosto con esecuzione ritardata. Questo modulo si connette a un nodo esterno e invia gli identificatori di base del dispositivo e della sessione come pacchetto JSON crittografato e codificato tramite HTTPS.

Gli obiettivi degli operatori rimangono poco chiari. Alcune versioni del malware sono state utilizzate in campagne pubblicitarie ingannevoli, il che indica un tentativo di trarre profitto diretto. È anche possibile che l’accesso venga venduto ad altri gruppi criminali o utilizzato per raccogliere dati riservati da rivendere successivamente sui mercati ombra.

Secondo i dati di telemetria, gli Stati Uniti hanno registrato il maggior numero di infezioni. Gli attacchi hanno colpito numeri minori anche in Israele, Spagna, Germania, India e Irlanda. Le organizzazioni dei settori sanitario, edile e manifatturiero sono le più colpite. Gli esperti attribuiscono ciò al fatto che i dipendenti di queste aziende cercano regolarmente online manuali di istruzioni per attrezzature specializzate, rendendoli vulnerabili a tali trappole.

L'articolo TamperedChef: malware tramite falsi installer di app proviene da Red Hot Cyber.