Redazione RHC : 13 Agosto 2025 14:39
Trend Micro ha rilevato un attacco mirato ai settori governativo e aeronautico in Medio Oriente, utilizzando un nuovo ransomware chiamato Charon. Gli aggressori hanno utilizzato una complessa catena di infezione con funzionalità di sideload di DLL, iniezione di processi e bypass EDR, tipiche delle operazioni APT avanzate che dei normali ransomware.
Il vettore di attacco inizia con l’avvio di un file Edge.exe legittimo (in precedenza cookie_exporter.exe), che viene utilizzato per caricare una libreria msedge.dll dannosa, denominata SWORDLDR. Quest’ultima decifra lo shellcode crittografato dal file DumpStack.log e inietta il payload, ovvero Charon stesso, nel processo svchost.exe, mascherando l’attività come un servizio di sistema Windows.
Dopo aver decifrato tutti i livelli di mascheramento, gli esperti hanno confermato che l’eseguibile finale crittografa i dati e lascia un segno distintivo di infezione – “hCharon è entrato nel mondo reale!” – alla fine di ogni file crittografato. Tutti i file crittografati ricevono l’estensione .Charon e nelle directory compare una richiesta di riscatto – How To Restore Your Files.txt – che menziona una vittima specifica, confermando la natura mirata dell’attacco.
 CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHCSei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Charon supporta una varietà di opzioni da riga di comando, dalla specifica dei percorsi di crittografia alla definizione delle priorità delle risorse di rete. All’avvio, crea un mutex chiamato OopsCharonHere, termina i processi di protezione, disabilita i servizi di sicurezza, elimina le copie shadow e svuota il Cestino. Quindi procede alla crittografia in un thread multi-thread, evitando i file di sistema (.exe, .dll), così come i propri componenti e la richiesta di riscatto.
Per la crittografia viene utilizzato uno schema ibrido: Curve25519 per lo scambio di chiavi e ChaCha20 per la crittografia dei dati. Ogni file viene fornito con un footer di 72 byte contenente la chiave pubblica e i metadati della vittima, che consente la decrittografia dei dati se la chiave privata è disponibile.
Inoltre, Charon ha capacità di movimento laterale: esegue la scansione della rete utilizzando NetShareEnum e WNetEnumResource, crittografa le condivisioni accessibili e funziona anche con percorsi UNC, bypassando solo ADMIN$ per ridurre le possibilità di essere rilevato.
Il binario contiene anche, sebbene inattivo, un componente basato sul driver del progetto open source Dark-Kill, progettato per disabilitare le soluzioni EDR . Dovrebbe essere installato come servizio WWC, ma non è utilizzato nella versione attuale: probabilmente la funzione non è ancora abilitata ed è in fase di preparazione per future iterazioni.
Sebbene l’uso di strumenti simili a quelli del gruppo cinese Earth Baxia sia sospetto, non ci sono prove conclusive del loro coinvolgimento: forse stanno prendendo in prestito tattiche o sviluppando in modo indipendente gli stessi concetti.
L’emergere di Charon è un’ulteriore prova del fatto che il ransomware sta adottando attivamente sofisticati metodi APT. La combinazione di tecniche di evasione avanzate con danni aziendali diretti sotto forma di perdita di dati e tempi di inattività aumenta i rischi e richiede alle organizzazioni di rivedere la propria strategia di difesa.
RedazioneDatacenter nello spazio, lander lunari, missioni marziane: il futuro disegnato da Bezos a Torino. Ma la vera rivelazione è l’aneddoto del nonno che ne svela il profilo umano Anche quest’anno Tori...
E’ stata individuata dagli analisti di Sophos, una complessa operazione di malware da parte di esperti in sicurezza, che utilizza il noto servizio di messaggistica WhatsApp come mezzo per diffondere...
È stata identificata una vulnerabilità critica nell’architettura di sicurezza hardware AMD SEV-SNP, che impatta i principali provider cloud (AWS, Microsoft Azure e Google Cloud). Tale bug consente...
Nel mondo della sicurezza informatica, dove ogni parola pesa e ogni concetto può diventare complesso, a volte basta un’immagine per dire tutto. Un meme, con la sua ironia tagliente e goliardica e l...
In un mondo in cui la musica è da tempo migrata verso lo streaming e le piattaforme digitali, un appassionato ha deciso di tornare indietro di sei decenni, a un’epoca in cui le melodie potevano anc...
