Redazione RHC : 22 Aprile 2023 07:09
Uptycs, una società di sicurezza informatica, ha scoperto un nuovo malware per il furto di credenziali chiamato Zaraza bot, che viene venduto su Telegram e utilizza il messenger come server di comando e controllo (C2, C&C).
Il bot Zaraza prende di mira un gran numero di browser Web e si sta diffondendo attivamente sul canale Telegram, popolare tra i criminali informatici. Una volta che il malware ha infettato il computer della vittima, estrae i dati sensibili e li invia a un bot di Telegram controllato dall’aggressore.
Zaraza bot è un binario a 64 bit compilato con C#. Quando viene infettato, il malware estrae tutte le possibili credenziali memorizzate sul computer della vittima. In particolare, prende di mira 38 diversi browser Web, tra cui Google Chrome, Microsoft Edge, Opera, AVG Browser, Brave, Vivaldi e Yandex. Il malware è anche in grado di acquisire schermate dalla finestra attiva del browser.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Si noti che il browser Web memorizza le credenziali nel sistema in due formati crittografati (le nuove versioni del browser utilizzano la firma della password v80 e le versioni precedenti utilizzano la funzione DPAPI di Windows), ma Zaraza bot è in grado di decrittografare entrambi i formati.
Il bot Zaraza quindi estrae le credenziali da servizi bancari online, portafogli di criptovaluta, e-mail e altri siti web. I dati rubati possono quindi essere utilizzati dagli hacker per scopi dannosi come furto di identità, frodi finanziarie e accesso non autorizzato ad account personali e aziendali.
Secondo Uptycs, il bot Zaraza viene offerto ad altri criminali informatici come strumento commerciale in abbonamento. Va notato che l’accesso al bot di Telegram per la sottoscrizione è limitato.
Per questo motivo, il team di ricerca di Uptycs non è stato in grado di interagire con il bot.
Analizzando i pacchetti HTTPS, gli esperti hanno scoperto che il bot Zaraza ha intercettato i dati contenenti il nickname e le informazioni sull’account di un utente russo. Ciò indica che l’utente russo è associato all’amministratore del bot o a un criminale informatico che utilizza il bot Zaraza.
Al momento non è chiaro come venga distribuito il bot Zaraza, ma in passato i criminali informatici utilizzavano comunemente 2 metodi di distribuzione: pubblicità dannosa e ingegneria sociale. Per ridurre il rischio di attacchi di infostealer, gli utenti sono incoraggiati a utilizzare l’autenticazione a due fattori (2FA) e ad applicare gli aggiornamenti del software e del sistema operativo non appena disponibili.
I risultati di Uptycs arrivano dopo che il team di Microsoft Threat Intelligence ha annunciato una nuova campagna di phishing rivolta a società di contabilità e autorità fiscali utilizzando il downloader GuLoader, che installa il trojan Remcos RAT RAT, consentendo l’accesso iniziale alle reti aziendali.
RedazioneNel corso di un’operazione internazionale coordinata, denominata “Operation Checkmate”, le forze dell’ordine hanno sferrato un duro colpo al gruppo ransomware BlackSuit (qu...
Il Dipartimento di Giustizia degli Stati Uniti ha segnalato lo smantellamento di quattro piattaforme darknet utilizzate per la distribuzione di materiale pedopornografico. Contemporaneamente, un dicio...
“Combattere il cybercrime è come estirpare le erbacce: se non elimini le radici a fondo, queste ricresceranno” e oggi, più che mai, questa verità si conferma ess...
Immagina di aprire, come ogni sera, il bookmark del tuo forum preferito per scovare nuove varianti di stealer o l’ennesimo pacchetto di credenziali fresche di breach. Invece della solita bachec...
Il 22 luglio 2025, Mozilla ha rilasciato Firefox 141, un aggiornamento volto a migliorare la sicurezza del browser. Nell’ambito del Bollettino MFSA 2025-56, sono state risolte 18 vulnerabilit&#...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
