Redazione RHC : 11 Aprile 2025 15:43
Microsoft ha registrato una distribuzione su larga scala di e-mail dannose che sfruttano argomenti relativi alla dichiarazione dei redditi per rubare dati e installare malware.
La particolarità di queste campagne è l’impiego di tecniche moderne per aggirare filtri e sistemi di sicurezza: gli aggressori introducono codici QR, accorciatori di link, servizi legittimi di archiviazione di file e profili aziendali per non destare sospetti nei sistemi antivirus e nei gateway di posta.
Le campagne sono rivolte a utenti aziendali e privati che vengono attirati verso pagine di accesso false tramite la piattaforma di phishing RaccoonO365. Viene utilizzato per raccogliere le credenziali di Microsoft 365 e distribuire payload dannosi come i trojan remoti Remcos, GuLoader, AHKBot, i downloader Latrodectus e il framework di test di penetrazione e post-sfruttamento BruteRatel C4.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Uno degli attacchi, scoperto il 6 febbraio 2025, aveva come target gli utenti statunitensi ed era attivamente diffuso tramite file PDF con link che rimandavano a una falsa pagina DocuSign. Dopo aver cliccato sul collegamento, venivano controllati il sistema e l’indirizzo IP della vittima: se il dispositivo veniva considerato “promettente”, veniva scaricato JavaScript, che installava un file MSI dannoso con BRc4 e poi scaricava Latrodectus. In altri casi, l’utente riceveva un file innocuo, il che riduceva il rischio che il sistema venisse scoperto.
Un’altra campagna, registrata tra il 12 e il 28 febbraio, è stata ancora più grande: più di 2.300 organizzazioni nei settori IT, ingegneria e consulenza sono state vittime di una mailing con PDF contenenti codici QR. Questi codici portavano alle pagine di phishing di RaccoonO365 camuffate da interfaccia di accesso di Microsoft 365, costringendo così i dipendenti a inserire i propri nomi utente e password.
Gli scenari di phishing variano notevolmente. Nel caso di AHKBot, all’utente veniva offerto un documento Excel con macro: dopo averle attivate, iniziava una catena di download che si concludeva con l’installazione di uno script AutoHotKey. Catturava degli screenshot e li trasmetteva a un server remoto. La campagna GuLoader ha utilizzato archivi ZIP con etichette che assomigliavano a moduli fiscali. Una volta aperto, è stato avviato PowerShell, che ha avviato il download del codice dannoso e l’installazione di Remcos RAT.
Sempre più spesso gli aggressori utilizzano strumenti per aggirare filtri e gateway di sicurezza: ad esempio, file SVG per aggirare i sistemi anti-spam, finestre del browser false (BitB) che imitano le interfacce di accesso e l’uso dei servizi Adobe, Dropbox, Zoho e DocuSign per nascondere attività dannose.
I ricercatori hanno prestato particolare attenzione alle azioni del gruppo Storm-0249. Tra le sue campagne più recenti rientrano il reindirizzamento degli utenti a false pagine di download di Windows 11 Pro tramite annunci di Facebook, che hanno portato all’installazione di Latrodectus. Una versione aggiornata del malware, rilevata a febbraio, includeva nuovi comandi e un modo per persistere nel sistema tramite attività pianificate.
RedazioneAll’inizio di settembre 2025,Palo Alto Networks ha confermato di essere stata vittima di una violazione dei dati. La compromissione non ha interessato i suoi prodotti o servizi core, bensì alcune i...
Il 31 agosto 2025 il volo AAB53G, operato con un Dassault Falcon 900LX immatricolato OO-GPE e con a bordo la presidente della Commissione Europea Ursula von der Leyen, è decollato da Varsavia ed è a...
La recente conferma da parte di Zscaler riguardo a una violazione dati derivante da un attacco alla supply chain fornisce un caso studio sull’evoluzione delle minacce contro ecosistemi SaaS compless...
Proofpoint pubblica il report “Voice of the CISO 2025”: cresce il rischio legato all’AI e rimane il problema umano, mentre i CISO sono a rischio burnout. L’84% dei CISO italiani prevede un att...
La società QNAP Systems ha provveduto al rilascio di aggiornamenti di sicurezza al fine di eliminare varie vulnerabilità presenti nel firmware QVR dei sistemi VioStor Network Video Recorder (NVR). I...
