Redazione RHC : 11 Aprile 2025 15:43
Microsoft ha registrato una distribuzione su larga scala di e-mail dannose che sfruttano argomenti relativi alla dichiarazione dei redditi per rubare dati e installare malware.
La particolarità di queste campagne è l’impiego di tecniche moderne per aggirare filtri e sistemi di sicurezza: gli aggressori introducono codici QR, accorciatori di link, servizi legittimi di archiviazione di file e profili aziendali per non destare sospetti nei sistemi antivirus e nei gateway di posta.
Le campagne sono rivolte a utenti aziendali e privati che vengono attirati verso pagine di accesso false tramite la piattaforma di phishing RaccoonO365. Viene utilizzato per raccogliere le credenziali di Microsoft 365 e distribuire payload dannosi come i trojan remoti Remcos, GuLoader, AHKBot, i downloader Latrodectus e il framework di test di penetrazione e post-sfruttamento BruteRatel C4.
Sei un Esperto di Formazione?
Entra anche tu nel Partner program! Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Uno degli attacchi, scoperto il 6 febbraio 2025, aveva come target gli utenti statunitensi ed era attivamente diffuso tramite file PDF con link che rimandavano a una falsa pagina DocuSign. Dopo aver cliccato sul collegamento, venivano controllati il sistema e l’indirizzo IP della vittima: se il dispositivo veniva considerato “promettente”, veniva scaricato JavaScript, che installava un file MSI dannoso con BRc4 e poi scaricava Latrodectus. In altri casi, l’utente riceveva un file innocuo, il che riduceva il rischio che il sistema venisse scoperto.
Un’altra campagna, registrata tra il 12 e il 28 febbraio, è stata ancora più grande: più di 2.300 organizzazioni nei settori IT, ingegneria e consulenza sono state vittime di una mailing con PDF contenenti codici QR. Questi codici portavano alle pagine di phishing di RaccoonO365 camuffate da interfaccia di accesso di Microsoft 365, costringendo così i dipendenti a inserire i propri nomi utente e password.
Gli scenari di phishing variano notevolmente. Nel caso di AHKBot, all’utente veniva offerto un documento Excel con macro: dopo averle attivate, iniziava una catena di download che si concludeva con l’installazione di uno script AutoHotKey. Catturava degli screenshot e li trasmetteva a un server remoto. La campagna GuLoader ha utilizzato archivi ZIP con etichette che assomigliavano a moduli fiscali. Una volta aperto, è stato avviato PowerShell, che ha avviato il download del codice dannoso e l’installazione di Remcos RAT.
Sempre più spesso gli aggressori utilizzano strumenti per aggirare filtri e gateway di sicurezza: ad esempio, file SVG per aggirare i sistemi anti-spam, finestre del browser false (BitB) che imitano le interfacce di accesso e l’uso dei servizi Adobe, Dropbox, Zoho e DocuSign per nascondere attività dannose.
I ricercatori hanno prestato particolare attenzione alle azioni del gruppo Storm-0249. Tra le sue campagne più recenti rientrano il reindirizzamento degli utenti a false pagine di download di Windows 11 Pro tramite annunci di Facebook, che hanno portato all’installazione di Latrodectus. Una versione aggiornata del malware, rilevata a febbraio, includeva nuovi comandi e un modo per persistere nel sistema tramite attività pianificate.
RedazioneLe persone tendono a essere più comprensive nei confronti dei chatbot se li considerano interlocutori reali. Questa è la conclusione a cui sono giunti gli scienziati dell’Universit&#x...
La Sfida della Sicurezza nelle Reti Wi-Fi e una Soluzione Adattiva. Nell’era della connettività pervasiva, lo standard IEEE 802.11(meglio noto come Wi-Fi ), è diventato la spina dorsa...
Nel mese di aprile 2025, una valvola idraulica di una diga norvegese è stata forzatamente aperta da remoto per diverse ore, a seguito di un attacco informatico mirato. L’episodio, riportat...
Sul forum underground russo XSS è apparso un post che offre una “Collection di Lead Verificati Italia 2025” con oltre 1 milione di record. Questo tipo di inserzioni evidenzia la con...
Nel cuore dei conflitti contemporanei, accanto ai carri armati, ai droni e alle truppe, si combatte una guerra invisibile, silenziosa e spesso sottovalutata: la cyber war. Non è solo uno scenario...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
