Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime, Analisi Vulnerabilità e Intelligenza Artificiale
Un'immagine digitale altamente suggestiva e carica di atmosfera che presenta l'iconico logo di Windows fluttuante al centro di una densa e drammatica coltre di nuvole scure. Il logo è reso con una texture materica che ricorda la pietra grezza o il metallo spazzolato di un grigio chiarissimo, quasi bianco, creando un forte contrasto luminoso rispetto allo sfondo. Le nuvole che lo circondano sono volumetrie imponenti e turbolente, simili a fumo denso o a nubi temporalesche, con una colorazione che sfuma dal grigio antracite al nero profondo. La luce sembra provenire dal logo stesso o da una fonte nascosta dietro di esso, illuminando i bordi dei cumuli nuvolosi e conferendo alla scena un senso di profondità tridimensionale e un'aura solenne, quasi cinematografica. L'estetica complessiva è minimale ma potente, con una palette cromatica quasi monocromatica basata su diverse gradazioni di grigio che trasmettono un senso di forza e modernità.

GigaWiper: Nuova backdoor Windows che cancella i tuoi dati in modo permanente

16 Luglio 2026 06:50
In sintesi

Gli analisti di Microsoft hanno scoperto una backdoor Windows chiamata GigaWiper che combina tre famiglie di malware, capace di spiare, rubare dati e distruggere informazioni in modi diversi. Registrato per la prima volta nell'ottobre 2025, il malware è scritto in Go e può eseguire funzioni individuali a comando.

Gli analisti di Microsoft hanno riportato la scoperta di una nuova backdoor Windows chiamata GigaWiper, che combina almeno tre famiglie di malware.

Il malware è in grado di spiare la vittima, rubare file, controllare da remoto il sistema infetto e distruggere permanentemente i dati in diversi modi contemporaneamente.

Gli specialisti di Microsoft Threat Intelligence hanno registrato per la prima volta gli attacchi utilizzando GigaWiper nell’ottobre 2025. Riferiscono che il malware è scritto in Go e i suoi operatori possono eseguire funzioni individuali a comando, scegliendo tra spionaggio, esfiltrazione e distruzione di informazioni sulla macchina infetta.

Advertising

I ricercatori hanno scoperto due varianti del malware. La prima è un normale cleaner che funziona a livello del disco fisico. Questa versione utilizza Windows Management Instrumentation (WMI) per identificare la partizione di sistema Windows, elimina la tabella delle partizioni, quindi sovrascrive il contenuto del disco, distrugge i metadati e riavvia il sistema.

Il secondo campione è una backdoor modulare a tutti gli effetti, uno dei componenti in effetti è un vero e proprio viper.

Per proteggersi nel sistema, si maschera da OneDrive, crea un’attività di pianificazione degli aggiornamenti di OneDrive che viene eseguito ogni minuto e archivia i dati del servizio nella chiave di registro HKCU\SOFTWARE\OneDrive\Environment.

Bsod

GigaWiper dispone di altri due modi per distruggere i dati. Uno dei moduli malware si basa quindi sul codice del ransomware.

Crittografa i file, aggiunge loro l’estensione .candy e cambia lo sfondo del desktop. In questo caso, il malware non salva la chiave e non lascia una richiesta di riscatto, il che significa che è impossibile decrittografare i dati interessati.

Advertising

L’altro componente è FlockWiper il quale è stato riscritto in Go. Sovrascrive ripetutamente il disco di sistema utilizzando modelli diversi. Inoltre, un comando separato disabilita l’ambiente di ripristino di Windows e provoca una schermata blu, dopo la quale il dispositivo smette di avviarsi.

GigaWiper ha molto più che semplici capacità distruttive: la backdoor è in grado di acquisire screenshot da tutti i monitor, registrare continuamente lo schermo di una macchina infetta e aprire una sessione VNC nascosta, consentendo agli aggressori di controllare la tastiera e il mouse della vittima.

Il malware può anche eseguire comandi PowerShell, raccogliere informazioni sul sistema infetto, gestire processi e servizi, modificare il registro e cancellare i registri eventi di Windows. Quel che è peggio è che nei campioni analizzati gli esperti hanno scoperto preparativi finora inutilizzati per un keylogger e ulteriori metodi di distruzione dei dati.

Va notato che i precedenti ricercatori di Binary Defense avevano già scoperto questo malware e gli avevano dato il nome BLUERABBIT. Successivamente gli esperti hanno collegato il malware a un gruppo di hacker iraniano che attaccava organizzazioni israeliane.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Luigi Zullo 300x300
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response