Redazione RHC : 11 Aprile 2025 15:43
Microsoft ha registrato una distribuzione su larga scala di e-mail dannose che sfruttano argomenti relativi alla dichiarazione dei redditi per rubare dati e installare malware.
La particolarità di queste campagne è l’impiego di tecniche moderne per aggirare filtri e sistemi di sicurezza: gli aggressori introducono codici QR, accorciatori di link, servizi legittimi di archiviazione di file e profili aziendali per non destare sospetti nei sistemi antivirus e nei gateway di posta.
Le campagne sono rivolte a utenti aziendali e privati che vengono attirati verso pagine di accesso false tramite la piattaforma di phishing RaccoonO365. Viene utilizzato per raccogliere le credenziali di Microsoft 365 e distribuire payload dannosi come i trojan remoti Remcos, GuLoader, AHKBot, i downloader Latrodectus e il framework di test di penetrazione e post-sfruttamento BruteRatel C4.
 CALL FOR SPONSOR - Sponsorizza la Graphic Novel Betti-RHC Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Uno degli attacchi, scoperto il 6 febbraio 2025, aveva come target gli utenti statunitensi ed era attivamente diffuso tramite file PDF con link che rimandavano a una falsa pagina DocuSign. Dopo aver cliccato sul collegamento, venivano controllati il sistema e l’indirizzo IP della vittima: se il dispositivo veniva considerato “promettente”, veniva scaricato JavaScript, che installava un file MSI dannoso con BRc4 e poi scaricava Latrodectus. In altri casi, l’utente riceveva un file innocuo, il che riduceva il rischio che il sistema venisse scoperto.
Un’altra campagna, registrata tra il 12 e il 28 febbraio, è stata ancora più grande: più di 2.300 organizzazioni nei settori IT, ingegneria e consulenza sono state vittime di una mailing con PDF contenenti codici QR. Questi codici portavano alle pagine di phishing di RaccoonO365 camuffate da interfaccia di accesso di Microsoft 365, costringendo così i dipendenti a inserire i propri nomi utente e password.
Gli scenari di phishing variano notevolmente. Nel caso di AHKBot, all’utente veniva offerto un documento Excel con macro: dopo averle attivate, iniziava una catena di download che si concludeva con l’installazione di uno script AutoHotKey. Catturava degli screenshot e li trasmetteva a un server remoto. La campagna GuLoader ha utilizzato archivi ZIP con etichette che assomigliavano a moduli fiscali. Una volta aperto, è stato avviato PowerShell, che ha avviato il download del codice dannoso e l’installazione di Remcos RAT.
Sempre più spesso gli aggressori utilizzano strumenti per aggirare filtri e gateway di sicurezza: ad esempio, file SVG per aggirare i sistemi anti-spam, finestre del browser false (BitB) che imitano le interfacce di accesso e l’uso dei servizi Adobe, Dropbox, Zoho e DocuSign per nascondere attività dannose.
I ricercatori hanno prestato particolare attenzione alle azioni del gruppo Storm-0249. Tra le sue campagne più recenti rientrano il reindirizzamento degli utenti a false pagine di download di Windows 11 Pro tramite annunci di Facebook, che hanno portato all’installazione di Latrodectus. Una versione aggiornata del malware, rilevata a febbraio, includeva nuovi comandi e un modo per persistere nel sistema tramite attività pianificate.
RedazioneSempre più amministrazioni avviano simulazioni di campagne di phishing per misurare la capacità dei propri dipendenti di riconoscere i messaggi sospetti. Quando queste attività coinvolgono struttur...
I criminali informatici non hanno più bisogno di convincere ChatGPT o Claude Code a scrivere malware o script per il furto di dati. Esiste già un’intera classe di modelli linguistici specializzati...
Un gruppo di membri del Parlamento europeo hanno chiesto di abbandonare l’uso interno dei prodotti Microsoft e di passare a soluzioni europee. La loro iniziativa nasce dalle crescenti preoccupazioni...
Ciao a tutti… mi chiamo Marco, ho 37 anni e lavoro come impiegata amministrativa in uno studio commerciale. È la prima volta che parlo davanti a tutti voi e sono un pò emozionato … e vi assicuro...
Il presidente degli Stati Uniti Donald Trump ha firmato un ordine esecutivo, “Launching the Genesis Mission”, che avvia un programma nazionale per l’utilizzo dell’intelligenza artificiale nell...
