Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

Anche i Criminali Informatici sbagliano! Il malware che non funziona scoperto dal CERT-AgID

Redazione RHC : 3 Dicembre 2024 07:19

Le operazioni finalizzate alla diffusione di malware non sempre vengono condotte con la necessaria attenzione. Il CERT-AGID ha già registrato in passato e-mail contenenti malware il cui meccanismo di attivazione si è rivelato difettoso. Questi messaggi presentano allegati pericolosi che, sebbene vengano aperti, non riescono a compromettere i dispositivi delle vittime.

In alcuni casi, questo può essere attribuito a distrazioni da parte degli autori. In altre circostanze, i malfattori non riescono a integrare correttamente i vari strumenti acquistati come MaaS (Malware as a Service), commettendo errori nel collegamento dei diversi componenti, come dimostrato dagli eventi verificatisi di recente.

Nei primi giorni della scorsa settimana, il CERT-AGID ha rilevato una campagna malevola veicolata massivamente tramite email, in cui l’allegato non riusciva ad attivare la catena di compromissione a causa dell’assenza di un elemento indispensabile: una stringa "FjDyD6U" utilizzata come delimitatore per estrarre i byte corretti necessari alla generazione di un nuovo file eseguibile.


Distribuisci i nostri corsi di formazione diventando un nostro Affiliato

Se sei un influencer, gestisci una community, un blog, un profilo social o semplicemente hai tanta voglia di diffondere cultura digitale e cybersecurity, questo è il momento perfetto per collaborare con RHC Academy. Unisciti al nostro Affiliate Program: potrai promuovere i nostri corsi online e guadagnare provvigioni ad ogni corso venduto. Fai parte del cambiamento. Diffondi conoscenza, costruisci fiducia, genera valore.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


In effetti, sebbene varie sandbox online lo identifichino come malevolo, il malware non genera alcun traffico di rete e nessuna sandbox è riuscita a determinare il nome della famiglia di appartenenza. Nel fine settimana, gli autori della campagna hanno rivisto la loro strategia, ripetendo l’attacco con un malware che questa volta funzionava correttamente.

Analisi del binario

Il campione analizzato è un file .NET che include codice opportunamente cifrato con AES. La chiave e l’IV necessari per la decifratura vengono estratti dai byte in sequenza, separati dal delimitatore X8mnGBm come possiamo osservare dalla funzione smethod_0.


Questa volta il delimitatore era presente, il che ha reso relativamente semplice l’estrazione delle informazioni necessarie: chiave, IV e codice da decifrare.

Utilizzando Cyberchef, è stato possibile decifrare agevolmente le stringhe e ottenere l’eseguibile che il loader carica direttamente in memoria, senza lasciare alcuna traccia sul disco.

Il binario ottenuto è un malware già noto: si tratta di AgentTesla, che da oltre due anni si posiziona tra i dieci infostealer più diffusi in Italia.

AgentTesla cambia loader con una certa frequenza e, sebbene solitamente utilizzi codice memorizzato nelle risorse, questa volta è stato osservato un nuovo metodo che impiega tecniche di cifratura avanzate per caricare il payload direttamente in memoria, rendendo più difficile la sua rilevazione e analisi.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Operazione Eastwood: Smantellato il gruppo hacker filorusso NoName057(16)

Nell’ambito delle indagini condotte dalla Procura della Repubblica di Roma e con il coordinamento della Direzione Nazionale Antimafia e Antiterrorismo, la Polizia Postale ha portato a termine i...


La verità scomoda sul lavoro e l’AI: il 99% lotta, l’1% vince

L’11 luglio, ora locale, è stato rivelato che Google DeepMind aveva “reclutato” con successo il team principale della startup di intelligenza artificiale Windsurf. Non molto ...


Alla scoperta di Scattered Spider: la minaccia criminale che utilizza tattiche e tecniche avanzate

A cura del Cyber Defence Center Maticmind (Andrea Mariucci, Riccardo Michetti, Federico Savastano, Ada Spinelli) Il threat actor SCATTERED SPIDER, UNC9344 fa la sua comparsa nel 2022, con due attacchi...


DDoS sotto controllo: come l’Italia ha imparato a difendersi dagli attacchi degli hacktivisti

In seguito alla conferenza per la ricostruzione dell’Ucraina gli hacktivisti del gruppo russofono di NoName(057)16 hanno avviato una nuova campagna di attacchi DDoS con obiettivo diversi target...


NoName057(16) sferra nuovi attacchi DDoS contro organizzazioni italiane e avverte su Telegram

Questa mattina, gli hacker di NoName057(16) hanno sferrato attacchi DDoS contro diversi obiettivi italiani. Name057(16) è un gruppo di hacker che si è dichiarato a m...


Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006