Redazione RHC : 25 Ottobre 2025 09:12
Sul mercato dei criminali informatici è apparso uno strumento che è rapidamente diventato un’arma di produzione di massa per decine di gruppi. Si tratta di HeartCrypt, un servizio di packaging di malware che si maschera da applicazione legittima.
I ricercatori di Sophos ne hanno monitorato l’attività e hanno scoperto che gli aggressori utilizzano questo meccanismo per distribuire stealer, trojan RAT e persino utility di disattivazione delle soluzioni di sicurezza, il tutto utilizzando le stesse tecniche di ingegneria sociale e sostituzione del codice.
Gli esperti hanno raccolto migliaia di campioni e scoperto quasi un migliaio di server di comando e controllo, oltre duecento falsi fornitori e campagne in diversi continenti. In base alla natura delle loro azioni, i ricercatori hanno collegato la maggior parte degli incidenti a questa operazione. In superficie, tutto assomiglia a un incidente familiare – email contraffatte, archivi di password, storage su Google Drive e Dropbox – ma dietro le sembianze di applicazioni ordinarie si nasconde un complesso meccanismo per l’impianto e l’esecuzione di moduli dannosi.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La tecnica è semplice ed efficace. Il codice indipendente dalla posizione viene iniettato in file EXE e DLL legittimi, ed eseguito direttamente dalla sezione .text; i file con un’intestazione BMP vengono aggiunti alle risorse, seguiti da un payload crittografato. La crittografia viene implementata tramite XOR con una chiave ASCII fissa, spesso ripetuta nella “coda” della risorsa.
Il codice primario implementa il secondo livello, bypassando gli analizzatori con un elevato numero di salti e byte inutili, verifica l’ambiente per importazioni fittizie e funzioni tipiche degli emulatori e, in condizioni normali, ripristina ed esegue il payload utilizzando le API standard: CreateProcessW, VirtualAlloc, GetThreadContext, NtCreateThreadEx e CreateRemoteThread. Per maggiore robustezza, il file viene copiato in una posizione “silenziosa” sul disco, gonfiato con zeri fino a centinaia di megabyte e aggiunto all’avvio.
Le campagne dimostrano le tipiche tecniche di ingegneria sociale. In Italia, email di violazione del copyright sono state inviate a Dropbox tramite l’abbreviatore t.ly; gli archivi contenevano un lettore PDF e una DLL contraffatta, dando origine a una variante di Lumma Stealer con un attacco C2 sui domini .sbs e .cyou. In Colombia, file ZIP dannosi su Google Drive erano protetti da password e il codice specificato “7771” è stato utilizzato per decomprimerli, dopodiché è stato installato AsyncRAT; in altri casi, “PDF” si è rivelato essere un’ancora LNK, ha avviato PowerShell e installato Rhadamanthys. I nomi dei file sono deliberatamente localizzati, dalle notifiche in spagnolo ai tag in francese e coreano, per aumentare le possibilità che il destinatario li apra.
Di particolare preoccupazione è la presenza di uno strumento di sicurezza chiamato AVKiller tra i payload. È stato rilevato insieme ad operazioni ransomware : in un caso, un modulo dannoso contenente HeartCrypt ha scaricato AVKiller, protetto da VMProtect e dotato di un driver con una firma compromessa; in un altro caso, sono stati osservati segni di cooperazione tra diversi gruppi, rendendo la situazione ancora più pericolosa per chi si trovava nelle vicinanze delle vittime. La portata e la diversità dei payload indicano che HeartCrypt non è isolato nell’ecosistema, ma la sua disponibilità e facilità di configurazione lo rendono uno strumento affidabile per gli aggressori.
I risultati principali sono semplici: il packer maschera il codice dannoso come programmi familiari, utilizza una crittografia semplice ma potente , sfrutta la fiducia nell’archiviazione cloud e negli accorciatori di URL, e i payload finali spaziano da stealer standard a utility di disabilitazione della sicurezza, aumentando significativamente il rischio di una successiva campagna di crittografia. I sistemi di sicurezza possono solo monitorare gli indicatori di compromissione delle risorse e i siti di iniezione, monitorare risorse APK/PE insolite e bloccare transizioni sospette ai collegamenti cloud.
RedazionePer tre giorni consecutivi, dal 19 al 22 ottobre, il Comune di Caponago è rimasto isolato dal web a causa di un insolito incidente: una volpe è finita in un pozzetto della rete telefonica, danneggia...
Un’allerta globale è stata lanciata dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, riguardante lo sfruttamento attivo di una falla critica di esecuzione di codice ...
Lunedì 20 ottobre, Channel 4 ha trasmesso un documentario completo condotto da un presentatore televisivo creativo integralmente dall’intelligenza artificiale. “Non sono reale. Per la prima volta...
L’ecosistema del cybercrimine russo è entrato in una fase di profonda mutazione, innescata da una combinazione di fattori: una pressione internazionale senza precedenti da parte delle forze dell’...
I ricercatori della sicurezza hanno scoperto delle vulnerabilità in un sito web della FIA che conteneva informazioni personali sensibili e documenti relativi ai piloti, tra cui il campione del mondo ...
