Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 26 Ottobre 2024 10:03
Il CERT-AGID ha rilevato recentemente una campagna malevola volta alla diffusione del trojan XWorm RAT, distribuito tramite false email camuffate da comunicazioni ufficiali del gestore Namirial.
L’email, redatta in italiano, invita l’utente a visualizzare un documento PDF allegato e, nel caso in cui il file non si apra correttamente, suggerisce di utilizzare un link alternativo presente nel corpo del messaggio.
In realtà, il file PDF funge da esca, poiché è protetto da password. Questo porta la vittima a cliccare sull’unico link alternativo disponibile che avvia il download di un archivio ZIP, ospitato su Dropbox, contenente un file URL. Da qui ha inizio la catena di compromissione.
CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce.
Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.
Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Il file URL sfrutta la funzionalità TryCloudflare che consente agli attaccanti di creare tunnel temporanei verso server locali e testare il servizio senza necessità di un account Cloudflare.
Ogni tunnel genera un sottodominio casuale sul dominio trycloudflare.com, utilizzato per instradare il traffico attraverso la rete di Cloudflare verso il server locale.
Il file URL procede quindi al download di un file BAT, offuscato tramite lo strumento BatchShield. Questo può essere facilmente deoffuscato utilizzando un tool specifico denominato BatchShield decryptor.
A questo punto, il procedimento è ben noto, essendo già stato osservato in campagne precedenti. Viene scaricato un ulteriore archivio ZIP contenente l’interprete Python, utilizzato per eseguire gli script malevoli già inclusi nell’archivio. Questo processo porta al rilascio di uno dei seguenti malware: AsyncRAT, DCRat, GuLoader, VenomRAT, Remcos RAT o, come nel caso attuale, XWorm.
Al fine di rendere pubblici i dettagli della campagna odierna si riportano di seguito gli IoC rilevati:
Link: Download IoC
RedazioneFesteggiamo l’hardware mentre il mondo costruisce cervelli. L’AI non si misura a FLOPS. Recentemente ho letto un articolo su Il Sole 24 Ore dal titolo: “Supercomputer, l’Eu...
“Se non paghi per il servizio, il prodotto sei tu. Vale per i social network, ma anche per le VPN gratuite: i tuoi dati, la tua privacy, sono spesso il vero prezzo da pagare. I ricercatori del ...
Kali Linux 2025.2 segna un nuovo passo avanti nel mondo del penetration testing, offrendo aggiornamenti che rafforzano ulteriormente la sua reputazione come strumento fondamentale per la sicurezza inf...
Nel mondo del cybercrime moderno, dove le frontiere tra criminalità e imprenditoria si fanno sempre più sfumate, il gruppo ransomware LockBit rappresenta un caso di studio affascinante. Atti...
Microsoft 365 Copilot è uno strumento di intelligenza artificiale integrato in applicazioni Office come Word, Excel, Outlook, PowerPoint e Teams. I ricercatori hanno recentemente scoperto che lo ...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
