Redazione RHC : 25 Ottobre 2025 09:12
Sul mercato dei criminali informatici è apparso uno strumento che è rapidamente diventato un’arma di produzione di massa per decine di gruppi. Si tratta di HeartCrypt, un servizio di packaging di malware che si maschera da applicazione legittima.
I ricercatori di Sophos ne hanno monitorato l’attività e hanno scoperto che gli aggressori utilizzano questo meccanismo per distribuire stealer, trojan RAT e persino utility di disattivazione delle soluzioni di sicurezza, il tutto utilizzando le stesse tecniche di ingegneria sociale e sostituzione del codice.
Gli esperti hanno raccolto migliaia di campioni e scoperto quasi un migliaio di server di comando e controllo, oltre duecento falsi fornitori e campagne in diversi continenti. In base alla natura delle loro azioni, i ricercatori hanno collegato la maggior parte degli incidenti a questa operazione. In superficie, tutto assomiglia a un incidente familiare – email contraffatte, archivi di password, storage su Google Drive e Dropbox – ma dietro le sembianze di applicazioni ordinarie si nasconde un complesso meccanismo per l’impianto e l’esecuzione di moduli dannosi.
 Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La tecnica è semplice ed efficace. Il codice indipendente dalla posizione viene iniettato in file EXE e DLL legittimi, ed eseguito direttamente dalla sezione .text; i file con un’intestazione BMP vengono aggiunti alle risorse, seguiti da un payload crittografato. La crittografia viene implementata tramite XOR con una chiave ASCII fissa, spesso ripetuta nella “coda” della risorsa.
Il codice primario implementa il secondo livello, bypassando gli analizzatori con un elevato numero di salti e byte inutili, verifica l’ambiente per importazioni fittizie e funzioni tipiche degli emulatori e, in condizioni normali, ripristina ed esegue il payload utilizzando le API standard: CreateProcessW, VirtualAlloc, GetThreadContext, NtCreateThreadEx e CreateRemoteThread. Per maggiore robustezza, il file viene copiato in una posizione “silenziosa” sul disco, gonfiato con zeri fino a centinaia di megabyte e aggiunto all’avvio.
Le campagne dimostrano le tipiche tecniche di ingegneria sociale. In Italia, email di violazione del copyright sono state inviate a Dropbox tramite l’abbreviatore t.ly; gli archivi contenevano un lettore PDF e una DLL contraffatta, dando origine a una variante di Lumma Stealer con un attacco C2 sui domini .sbs e .cyou. In Colombia, file ZIP dannosi su Google Drive erano protetti da password e il codice specificato “7771” è stato utilizzato per decomprimerli, dopodiché è stato installato AsyncRAT; in altri casi, “PDF” si è rivelato essere un’ancora LNK, ha avviato PowerShell e installato Rhadamanthys. I nomi dei file sono deliberatamente localizzati, dalle notifiche in spagnolo ai tag in francese e coreano, per aumentare le possibilità che il destinatario li apra.
Di particolare preoccupazione è la presenza di uno strumento di sicurezza chiamato AVKiller tra i payload. È stato rilevato insieme ad operazioni ransomware : in un caso, un modulo dannoso contenente HeartCrypt ha scaricato AVKiller, protetto da VMProtect e dotato di un driver con una firma compromessa; in un altro caso, sono stati osservati segni di cooperazione tra diversi gruppi, rendendo la situazione ancora più pericolosa per chi si trovava nelle vicinanze delle vittime. La portata e la diversità dei payload indicano che HeartCrypt non è isolato nell’ecosistema, ma la sua disponibilità e facilità di configurazione lo rendono uno strumento affidabile per gli aggressori.
I risultati principali sono semplici: il packer maschera il codice dannoso come programmi familiari, utilizza una crittografia semplice ma potente , sfrutta la fiducia nell’archiviazione cloud e negli accorciatori di URL, e i payload finali spaziano da stealer standard a utility di disabilitazione della sicurezza, aumentando significativamente il rischio di una successiva campagna di crittografia. I sistemi di sicurezza possono solo monitorare gli indicatori di compromissione delle risorse e i siti di iniezione, monitorare risorse APK/PE insolite e bloccare transizioni sospette ai collegamenti cloud.
RedazionePer tre giorni consecutivi, dal 19 al 22 ottobre, il Comune di Caponago è rimasto isolato dal web a causa di un insolito incidente: una volpe è finita in un pozzetto della rete telefonica, danneggia...
Un’allerta globale è stata lanciata dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, riguardante lo sfruttamento attivo di una falla critica di esecuzione di codice ...
Lunedì 20 ottobre, Channel 4 ha trasmesso un documentario completo condotto da un presentatore televisivo creativo integralmente dall’intelligenza artificiale. “Non sono reale. Per la prima volta...
L’ecosistema del cybercrimine russo è entrato in una fase di profonda mutazione, innescata da una combinazione di fattori: una pressione internazionale senza precedenti da parte delle forze dell’...
I ricercatori della sicurezza hanno scoperto delle vulnerabilità in un sito web della FIA che conteneva informazioni personali sensibili e documenti relativi ai piloti, tra cui il campione del mondo ...
