Redazione RHC : 26 Settembre 2025 15:56
In un nuovo report, Zscaler ThreatLabz ha rivelato i dettagli di una nuova famiglia di malware chiamata YiBackdoor, osservata per la prima volta nel giugno 2025.
Fin dall’inizio, l’analisi ha evidenziato corrispondenze significative del codice sorgente con i downloader IcedID e Latrodectus, ed è proprio questa connessione che Zscaler indica come fondamentale per comprendere la possibile origine e il ruolo del nuovo campione negli attacchi.
Il malware è una libreria DLL modulare con un set base di funzioni di controllo remoto dell’host e un meccanismo di estensione basato su plugin. Di default, le funzionalità sono limitate, ma gli aggressori possono caricare moduli aggiuntivi per espanderne le capacità.
Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il programma si copia in una cartella appena creata con un nome casuale, ottiene la persistenza tramite il tasto Esegui di Windows e avvia regsvr32.exe con un percorso dannoso.
Il nome della voce di registro viene generato utilizzando un algoritmo pseudo-casuale. Il modulo primario si autodistrugge, complicando le misure di risposta e l’analisi forense. La logica dannosa viene eseguita tramite una configurazione crittografata incorporata, da cui viene estratto l’indirizzo del server di comando e controllo, e la comunicazione con il C2 avviene tramite risposte HTTP contenenti comandi.
Le funzionalità di YiBackdoor includono la raccolta di metadati di sistema, l’acquisizione di screenshot e l’esecuzione di comandi shell tramite cmd.exe e PowerShell, nonché il caricamento e l’inizializzazione di plugin crittografati in Base64. I comandi chiave identificati nel meccanismo di controllo sono elencati di seguito: Systeminfo, screen, CMD, PWS, plugin e task. La tecnica di iniezione di codice prevede l’iniezione nel processo svchost.exe e le tecniche di anti-analisi integrate sono focalizzate sul rilevamento di macchine virtuali e sandbox, riducendo la probabilità di rilevamento durante l’analisi in un ambiente protetto.
Gli analisti di Zscaler notano diverse somiglianze con IcedID e Latrodectus: un metodo di iniezione simile, formato e lunghezza identici della chiave di decrittazione della configurazione e algoritmi simili per la decrittazione dei blocchi di configurazione e dei plugin. Date queste somiglianze e l’architettura osservata, i dipendenti dell’azienda valutano con un livello di sicurezza da moderato ad alto che YiBackdoor possa essere opera degli stessi sviluppatori responsabili dei precedenti downloader. Tuttavia, le implementazioni attuali sono limitate, il che indica una fase di sviluppo o test e il potenziale ruolo del campione come precursore di successive fasi di sfruttamento, inclusa la preparazione dell’accesso iniziale per il ransomware.
L’organizzazione sottolinea l’importanza di monitorare le richieste HTTP in uscita e le modifiche al registro, nonché di implementare regole di rilevamento incentrate su indicatori comportamentali di iniezioni di svchost.exe e anomalie associate all’avvio di regsvr32.exe da percorsi casuali. Questi indicatori consentono il rilevamento tempestivo dei tentativi di iniezione di YiBackdoor e la prevenzione di ulteriori attività da parte degli aggressori.
RedazioneCisco ha reso note due vulnerabilità critiche che interessano i propri firewall Secure Firewall Adaptive Security Appliance (ASA) e Secure Firewall Threat Defense (FTD), oltre ad altri prodotti di re...
Il ricercatore Nicholas Zubrisky di Trend Research ha segnalato una vulnerabilità critica nel componente ksmbd del kernel Linux che consente ad aggressori remoti di eseguire codice arbitrario con i m...
Il Dipartimento di Giustizia degli Stati Uniti e la polizia britannica hanno incriminato Talha Jubair, 19 anni, residente nell’East London, che gli investigatori ritengono essere un membro chiave di...
Una vulnerabilità zero-day, monitorata con il CVE-2025-20352, è stata resa pubblica da Cisco nei suoi diffusissimi software IOS e IOS XE; tale vulnerabilità risulta essere sfruttata attivamente. L�...
Gli sviluppatori di Kali Linux hanno rilasciato una nuova release, la 2025.3, che amplia le funzionalità della distribuzione e aggiunge dieci nuovi strumenti di penetration testing. L’aggiornamento...
