Redazione RHC : 10 Novembre 2024 07:35
I ricercatori dell’azienda francese HarfangLab hanno scoperto una nuova campagna dannosa che distribuisce Hijack Loader utilizzando certificati di firma digitale legittimi. L’attività dannosa è stata rilevata all’inizio di ottobre e mirava all’installazione di un programma per il furto di dati chiamato Lumma.
Hijack Loader, noto anche come DOILoader e SHADOWLADDER, è diventato noto per la prima volta nel settembre 2023. Si diffonde attraverso il download di file falsi con il pretesto di software o film piratati. Le nuove versioni degli attacchi indirizzano gli utenti a pagine CAPTCHA false, dove viene loro richiesto di inserire ed eseguire un comando PowerShell dannoso che scarica un archivio infetto.
HarfangLab ha osservato tre varianti dello script dannoso di PowerShell dalla metà di settembre di quest’anno. Tra questi ci sono script che utilizzano “mshta.exe” e “msiexec.exe” per eseguire codice e scaricare dati dannosi da server remoti.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
L’archivio scaricato dalle vittime contiene sia un file eseguibile legittimo che una DLL dannosa che carica Hijack Loader. Il file dannoso decodifica ed esegue dati crittografati destinati a scaricare e avviare un infostealer di secondo stadio.
Dall’ottobre 2024, gli aggressori hanno iniziato a utilizzare file binari firmati anziché DLL per evitare il rilevamento da parte dei programmi antivirus. Sebbene non sia chiaro se tutti i certificati siano stati rubati, gli esperti ritengono che alcuni di essi potrebbero essere stati generati da aggressori. Secondo quanto riferito, i certificati utilizzati per firmare il malware sono già stati revocati.
SonicWall ha recentemente segnalato anche un aumento degli attacchi mirati che permettono di infettare Windows, utilizzando però il malware CoreWarrior, un trojan che si diffonde rapidamente creando più copie di se stesso e creando backdoor per l’accesso remoto.
L’utilizzo di firme digitali legittime per diffondere malware dimostra che anche i metodi di sicurezza convenzionali possono diventare uno strumento efficace nelle mani degli aggressori. Ciò evidenzia l’importanza di migliorare continuamente la sicurezza informatica e di essere attenti a qualsiasi attività sospetta, anche se a prima vista sembra innocua.
Un’operazione globale di contrasto coordinata dall’Europol ha inferto un duro colpo alla criminalità underground, con 270 arresti tra venditori e acquirenti del dark web in dieci pa...
Una vulnerabilità zero-day nel kernel Linux, è stata scoperta utilizzando il modello o3 di OpenAI. Questa scoperta, alla quale è stata assegnata la vulnerabilità CVE-2025-37899, se...
In un preoccupante segnale dell’evoluzione delle tattiche cybercriminali, i threat actor stanno ora sfruttando la popolarità di TikTok come canale per la distribuzione di malware avanzati ...
Nelle ultime ore si è assistito a un grande clamore mediatico riguardante il “takedown” dell’infrastruttura del noto malware-as-a-service Lumma Stealer, con un’operazi...
Gli esperti hanno lanciato l’allarme: i gruppi ransomware stanno utilizzando sempre più spesso il nuovo malware Skitnet (noto anche come Bossnet) per lo sfruttamento successivo delle ...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006