Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 16 Luglio 2025 07:47
Il gruppo di hacker ransomware Interlock sta distribuendo un trojan di accesso remoto (RAT) attraverso siti web compromessi. Gli hacker utilizzano attacchi FileFix per diffondere il malware. Gli attacchi ClickFix si basano sull’ingegneria sociale. Recentemente, diverse varianti di questi attacchi sono diventate comuni. In genere, le vittime vengono attirate su siti fraudolenti e indotte con l’inganno a copiare ed eseguire comandi PowerShell dannosi. In altre parole, infettano manualmente il proprio sistema con malware.
Gli aggressori spiegano la necessità di eseguire determinati comandi risolvendo problemi di visualizzazione del contenuto nel browser o chiedendo all’utente di risolvere un CAPTCHA falso. Sebbene gli attacchi ClickFix prendano di mira più spesso gli utenti Windows convinti a eseguire comandi PowerShell, i ricercatori di sicurezza hanno già segnalato campagne mirate anche agli utenti macOS e Linux.
Secondo ESET, l’uso di ClickFix come vettore di accesso iniziale è aumentato del 517% tra la seconda metà del 2024 e la prima metà del 2025. La tecnica FileFix , descritta di recente dall’esperto di sicurezza mr.d0x, è una variante dell’attacco ClickFix, ma utilizza l’interfaccia più familiare di Windows File Explorer anziché la riga di comando.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Pertanto, sulla pagina dannosa, l’utente viene informato che gli è stato concesso l’accesso generale a un determinato file. Per trovare questo file, il percorso dovrebbe essere copiato e incollato in Explorer. “La pagina di phishing potrebbe contenere un pulsante ‘Apri Esplora file’, che se cliccato avvierà Esplora file (utilizzando la funzionalità di caricamento file) e copierà il comando PowerShell negli appunti”, ha spiegato mr.d0x. Ciò significa che dopo aver inserito il percorso del file e premuto Invio, verrà eseguito il comando PowerShell dannoso.
Già all’inizio di maggio 2025, il DFIR Report e Proofpoint avevano segnalato che l’Interlock RAT veniva distribuito tramite KongTuke (o LandUpdate808), un sofisticato sistema di distribuzione del traffico (TDS) che distribuiva malware tramite un processo in più fasi che prevedeva l’uso di ClickFix e falsi CAPTCHA. Come ormai noto, all’inizio di giugno gli hacker sono passati a FileFix e hanno iniziato a distribuire la variante PHP di Interlock RAT. Gli specialisti del rapporto DFIR segnalano che in alcuni casi viene distribuita anche la variante Node.js del malware.
Una volta eseguito, il RAT raccoglie informazioni sul sistema utilizzando comandi PowerShell per raccogliere e trasmettere dati ai suoi operatori. Il malware verifica anche i privilegi dell’utente connesso. Il RAT si collega al sistema e attende l’esecuzione di ulteriori comandi. Allo stesso tempo, il rapporto degli esperti rileva che gli aggressori operano chiaramente manualmente con il malware, controllando i backup, navigando tra le directory locali e controllando i controller di dominio. I ricercatori osservano che in alcuni casi gli aggressori hanno utilizzato RDP per spostarsi lateralmente negli ambienti compromessi.
Il malware utilizza trycloudflare[.]com come server di comando e controllo, abusando del legittimo servizio Cloudflare Tunnel per nascondere la propria attività. Il rappresentante del DFIR ritiene che questa campagna sia opportunistica.
RedazioneLa saga sulla sicurezza dei componenti di React Server continua questa settimana. Successivamente alla correzione di una vulnerabilità critica relativa all’esecuzione di codice remoto (RCE) che ha ...
Un nuovo allarme arriva dal sottobosco del cybercrime arriva poche ore fa. A segnalarlo l’azienda ParagonSec, società specializzata nel monitoraggio delle attività delle cyber gang e dei marketpla...
Cisco Talos ha identificato una nuova campagna ransomware chiamata DeadLock: gli aggressori sfruttano un driver antivirus Baidu vulnerabile (CVE-2024-51324) per disabilitare i sistemi EDR tramite la t...
Quanto avevamo scritto nell’articolo “Codice Patriottico: da DDoSia e NoName057(16) al CISM, l’algoritmo che plasma la gioventù per Putin” su Red Hot Cyber il 23 luglio scorso trova oggi pien...
Notepad++ è spesso preso di mira da malintenzionati perché il software è popolare e ampiamente utilizzato. Una vulnerabilità recentemente scoperta nell’editor di testo e codice open source Notep...
