Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Gli hacker nordcoreani ora rubano i dati delle vittime tramite file MP3

Redazione RHC : 2 Maggio 2023 16:15

I ricercatori di sicurezza della società di sicurezza Check Point hanno scoperto che la banda nordcoreana ScarCruft utilizza file LNK per consegnare il trojan RAT RokRAT dal luglio 2022.

ScarCruft (Chiamti anche APT37 , InkySquid, Nickel Foxcroft, Reaper, RedEyes e Ricochet Chollima) è un attore di minacce che prende di mira esclusivamente individui ed entità sudcoreane in attacchi di spear phishing progettati per fornire più backdoor e svolgere attività di spionaggio.

Questa è un’altra rappresentazione di una tendenza importante nel panorama delle minacce, in cui gli APT e i criminali informatici tentano allo stesso modo di superare il blocco delle macro da fonti non attendibili. Il primo campione è stato scoperto per la prima volta nel luglio 2022, lo stesso mese in cui Microsoft ha iniziato ad applicare questa nuova regola.

Cronologia delle esche e delle catene di infezione (Fonte CheckPoint)

CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


  • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    Il malware principale del gruppo è RokRAT (DOGCALL per Windows, CloudMensis per macOS, RambleOn per Android), il che significa che la backdoor è attivamente sviluppata e mantenuta. 

    ROKRAT non è cambiato in modo significativo nel corso degli anni, ma i suoi metodi di implementazione si sono evoluti, utilizzando ora archivi contenenti file LNK che avviano catene di infezione a più fasi.

    RokRAT e le sue varianti sono progettate per svolgere una vasta gamma di attività come:

    • furto di credenziali;
    • esfiltrazione di dati;
    • catturare schermate;
    • raccolta di informazioni di sistema;
    • esecuzione di comandi e shellcode;
    • gestione di file e directory.

    Le informazioni raccolte, alcune sono memorizzate nei file MP3 (come travestimento), le quali vengono inviate all’aggressore tramite i servizi cloud Dropbox, Microsoft OneDrive, pCloud e Yandex Cloud nel tentativo di recuperarle dai server C2.

    Intestazioni della richiesta POST per inviare i dati crittografati raccolti dalla macchina vittima a pCloud (Fonte Check Point)

    Un’altra ondata di attacchi nel novembre 2022 ha utilizzato archivi ZIP contenenti file LNK per distribuire il caricatore Amadey per fornire payload aggiuntivi.

    Check Point ha affermato che l’utilizzo di un file LNK può avviare la stessa efficace catena di infezione con un semplice doppio clic, che è più affidabile degli exploit di n giorni o delle macro di Microsoft Office che richiedono ulteriori clic per infettare.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    Che la caccia abbia inizio! Gli hacker sfruttano la falla Citrix per infiltrarsi nei sistemi globali
    Di Redazione RHC - 30/08/2025

    E’ stata rilevata una falla critica zero-day nei sistemi Citrix NetScaler, catalogata come CVE-2025-6543, che è stata oggetto di sfruttamento attivo da parte degli hacker criminali da maggio 2025, ...

    Il Pentagono avvia un Audit su Microsoft. Si indaga sugli ingegneri cinesi e su presunte backdoor
    Di Redazione RHC - 30/08/2025

    Il Pentagono ha inviato una “lettera di preoccupazione” a Microsoft documentando una “violazione di fiducia” in merito all’utilizzo da parte dell’azienda di ingegneri cinesi per la manuten...

    La miglior difesa è l’attacco! Google è pronta a lanciare Cyber Attacchi contro gli hacker criminali
    Di Redazione RHC - 30/08/2025

    Google è pronta ad adottare una posizione più proattiva per proteggere se stessa e potenzialmente altre organizzazioni statunitensi dagli attacchi informatici, con l’azienda che suggerisce di pote...

    Una exploit Zero-Click per WhatsApp consentiva la sorveglianza remota. Meta avvisa le vittime
    Di Redazione RHC - 30/08/2025

    Una falla di sicurezza nelle app di messaggistica di WhatsApp per Apple iOS e macOS è stata sanata, come riferito dalla stessa società, dopo essere stata probabilmente sfruttata su larga scala insie...

    Google avverte 2,5 miliardi di utenti Gmail: la sicurezza account a rischio. Fai il reset Password!
    Di Redazione RHC - 30/08/2025

    Un avviso di sicurezza di vasta portata è stato pubblicato da Google per i 2,5 miliardi di utenti del suo servizio Gmail, con l’obiettivo di rafforzare la protezione dei loro account a seguito di u...