Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Negli ultimi 11 mesi è stata attiva una campagna per distribuire il malware AsyncRAT, mirato a obiettivi selettivi. Questa campagna utilizza centinaia di downloader unici e oltre 100 domini.
AsyncRAT è uno strumento di accesso remoto open source per Windows disponibile dal 2019. Include funzionalità per l’esecuzione di comandi remoti, keylogging, esfiltrazione di dati e download di payload aggiuntivi.
I criminali informatici utilizzano attivamente questo strumento, sia in forma originale che modificata. Tale strumento consente di accedere ai sistemi di destinazione, rubare file e dati e distribuire ulteriore malware.
Il ricercatore di sicurezza Microsoft Yigal Litsky ha scoperto l’estate scorsa attacchi sferrati tramite e-mail, ma non è riuscito a ottenere il payload finale.
A settembre, il gruppo di ricerca Alien Labs di AT&T ha notato “un aumento delle e-mail di phishing rivolte a individui specifici. “Le vittime e le loro aziende sono state attentamente selezionate per un maggiore impatto. Alcuni degli obiettivi identificati gestiscono infrastrutture critiche negli Stati Uniti”, ha affermato AT&T Alien Labs.
Gli attacchi iniziano con un’e-mail dannosa con un allegato GIF che porta a un file SVG che scarica script JavaScript e PowerShell offuscati. Dopo aver superato i controlli sandbox, il downloader contatta il server di comando e controllo (C2) e determina se la vittima è idonea all’infezione AsyncRAT.
Il downloader utilizza domini C2 hardcoded ospitati su BitLaunch, un servizio che consente pagamenti anonimi in criptovaluta, il che è conveniente per i criminali informatici.
Se il downloader rileva che si trova in un ambiente di analisi, distribuisce payload esca. Probabilmente nel tentativo di fuorviare i ricercatori di sicurezza e gli strumenti di rilevamento delle minacce.
Il sistema anti-sandboxing del bootloader prevede una serie di controlli eseguiti tramite comandi PowerShell. Questi ottengono informazioni sul sistema e calcolano un punteggio che indica se è in esecuzione nella macchina virtuale.
I ricercatori di AT&T Alien Labs hanno stabilito che negli ultimi 11 mesi l’aggressore ha utilizzato 300 campioni univoci di bootloader. Ognuno dei quali presentava piccole modifiche nella struttura del codice, nell’offuscamento, nei nomi e nei valori delle variabili.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]