Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Inglese Spagnolo
Cerca
970x20 Itcentric
UtiliaCS 320x100

Autore: Davide Santoro

Tentativo di phishing contro PagoPA? Ecco come ho fatto chiudere in 3 ore il sito malevolo

Davide Santoro 28/08/2025

Grazie alla nostra community recentemente sono venuto a conoscenza di un tentativo di phishing contro PagoPA e ho deciso di fare due cose. Per prima cosa attivarmi in prima persona per arrecare un danno alla campagna ed ai suoi autori. Come seconda, scrivere questo articolo per condividere con la community quello che ho fatto, sperando di riuscire a sensibilizzare più persone ad agire spiegando la strategia e la metodologia che ho adottato Come possiamo vedere l’email risulta molto scarna di contenuti facendo riferimento ad un non meglio specificato “biglietto”, il che suggerisce una doppia strategia da parte dell’attaccante, da un lato utilizza

Samourai Bitcoin Wallet – Dagli albori agli arresti

Davide Santoro 04/05/2024

E’ notizia del 24 Aprile 2024 che il fondatore ed il CEO di Samourai Bitcoin Wallet sono stati arrestati in un’operazione internazionale coordinata dagli Stati Uniti. Ma cos’è Samourai Wallet? Perché sono stati arrestati ed il relativo sito è stato sequestrato? A questa e ad altre domande cercherò di rispondere in questo breve articolo, partendo proprio dalla storia di questo – assai controverso – wallet Che cos’è Samourai Bitcoin Wallet? Samourai Wallet nasce diversi anni fa e, nell’intenzione dei creatori, vi era la volontà di fornire un portafoglio Bitcoin che si focalizzasse essenzialmente su due principi: Come i nostri lettori sanno bene,

Campagna di phishing contro Zimbra. Come depotenziarla attraverso le risorse online

Davide Santoro 29/04/2024

Recentemente sulla nostra email whistleblower è arrivato un messaggio contenente un allegato in formato .PDF relativo ad una campagna di phishing contro Zimbra. L’utente che ci ha inviato la segnalazione – e che ovviamente ringraziamo – ha effettuato una serie di verifiche che andremo ad analizzare di seguito. Ovviamente questo genere di segnalazioni sono molto importanti(non mi stancherò mai di ripeterlo) sia perché ci permettono di essere aggiornati sulle campagne di phishing in atto e sia perché ci possono fornire un’occasione per parlarne andando ad aggiungere – soprattutto per gli utenti meno esperti – via via nuove tecniche di “know how” e

Scoperta la nuova minaccia: TA547 lancia una campagna malspam su larga scala

Davide Santoro 18/04/2024

E’ di queste ore la notizia che il noto threat actor TA547 ha avviato una campagna di malspam diretta ad organizzazioni tedesche con l’intento di diffondere il noto infostealer Rhadamantys. Rhadamantys è un infostealer aggiornato frequentemente e venduto nel darkweb e tramite la popolare app di messaggistica Telegram. Inoltre, il gruppo utilizza un interessante script Powershell creato utilizzando modelli linguistici di grandi dimensioni(LLM) come ChatGPT, Gemini, CoPilot. Campagna di malspam – Cosa succede? Il genere di malspam utilizzato nella campagna è molto comune, si tratta di un’email con uno .zip allegato protetto da una password che, nel nostro caso, è MAR26. All’interno

il misterioso sito cinese che nasconde un pericoloso malware. La nostra indagine

Davide Santoro 17/04/2024

Durante le consuete attività proattive in ambito CTI ed OSINT oggi pomeriggio mi sono imbattuto in uno strano sito in cinese che, in realtà, distribuirebbe malware: A prima vista il sito sembrerebbe un sito per scaricare la popolare app di messaggistica Telegram che in Cina è bloccata dal governo. Cliccando su Windows è possibile scaricare un archivio .zip da 118MB identificabile mediante il seguente hash: 2b71ecbaad633e07610d4fe45db03062920a44527f3f69d71efb54c571f5b643 – SHA256 Aprendo l’archivio troviamo un file denominato “Taxsex64-2.msi” da 120MB identificabile mediante il seguente hash: 76e9ed21024fd3181f47cbb7870db620ed43dd01c8c77fbcbc3b8eaf47924045 – SHA256 A questo punto ho verificato il dominio utilizzando il noto servizio ThreatYeti: Utilizzo di VirusTotal ed altri

Analisi di un noto exchange partendo dal furto di 26 milioni di dollari in criptovalute

Davide Santoro 11/04/2024

Il 18 Febbraio è uscita la notizia di un attacco informatico – che sarebbe avvenuto all’inizio di febbraio – alla nota piattaforma di scambio di criptovalute “FixedFloat” e che sarebbe costato circa 26 milioni di dollari riguardando un totale di 409 Bitcoin ed oltre 1.700 Ethereum, notizia in seguito confermata da FixedFloat su X: Come spesso accade nei grossi furti di criptovalute in molti si sono subito interrogati sull’identità degli autori e sull’affidabilità della piattaforma stessa. Ovviamente, qualora qualcuna delle aziende, delle società o dei siti tirati in ballo in questo articolo avesse qualcosa da dire, può tranquillamente contattarci anche in forma

Il gruppo APT Cloud Werewolf attacca organizzazioni russe e bielorusse

Davide Santoro 24/03/2024

Il gruppo hacker APT noto come “Cloud Werewolf” ed attivo dal 2014 ha avviato una campagna di spearphishing rivolta ad organizzazioni russe e bielorusse. La campagna consiste principalmente nell’invio di email con allegati documenti di Microsoft Office relativi a temi di interesse, così da aumentare le probabilità che i dipendenti aprano i suddetti allegati. Inoltre, il gruppo sembra perfettamente consapevole che, da un lato l’infrastruttura IT degli enti statali è spesso obsoleta e dall’altro il personale non è adeguatamente formato, il che consente di sfruttare anche vecchie vulnerabilità. Questi sarebbero alcuni dei tools utilizzati dal gruppo: Ovviamente si tratta di tools molto

Incognito Market: Tra estorsione e Lesson Learned

Davide Santoro 21/03/2024

Dal 19 Febbraio uno dei più famosi market del darkweb ha iniziato una doppia operazione, prima come “exit scam”. Si parla di exit scam quando, un servizio fino ad allora funzionante, smette di funzionare – in tutto o in parte – per volontà degli amministratori. L’intento è quello di rubare eventuali fondi già presenti sul servizio o di racimolare nuovi fondi. Tutto questo si realizza come una vera e propria estorsione ai danni sia dei venditori che degli acquirenti. Ma andiamo ad analizzare più nel dettaglio ciò che sta accadendo e, come al solito, cosa apprendere da questa lezione. Prima di iniziare,

Il mostro è stato preso! Pedofilia in Texas tra violenze in luoghi pubblici e filmati sul Darkweb

Davide Santoro 31/01/2024

La vicenda che ha scioccato il Texas. Sette uomini avrebbero commesso un abuso di gruppo ai danni di due bambini di età compresa tra i 2 ed i 3 anni. Riprendevano le atroci violenze per poi pubblicarle sul dark web. Grazie ad un’investigazione portata avanti dall’Australian Center for the Prevention of Cruelty to Children (ACCCE) che ha scoperto i video sul dark web ed ovviamente ha prontamente denunciato l’orrendo crimine contribuendo all’individuazione di uno degli autori. E’ stato identificato un uomo di 29 anni del Texas precedentemente impiegato nel centro commerciale dove sarebbero avvenute le atroci violenze. Andiamo ad analizzare i punti chiave

Scimpanzè informatico italiano

900.000 dati di accesso di italiani venduti nel market cinese Cabyc Market. E con che password!

Davide Santoro 17/01/2024

All’interno del principale market cinese nel darkweb conosciuto come Cabyc Market vengono venduti 900.000 dati di accesso italiani(email e password). Ma andiamo ad approfondire meglio il market, cosa vende e, soprattutto, i nostri dati in mani poco rassicuranti… Possiamo renderci immediatamente conto come il market sia un luogo aperto dove singoli venditori possono pubblicare i propri annunci così da vendere i propri “prodotti”. La vendita di dati Al primo posto figura la vendita di dati, dati sottratti ad aziende, società, paesi che possono essere utilizzati sia come accesso iniziale e sia come studio ed analisi della corrispondenza. Così da scalare verso nuovi

Categorie