Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

il misterioso sito cinese che nasconde un pericoloso malware. La nostra indagine

Davide Santoro : 17 Aprile 2024 06:54

Durante le consuete attività proattive in ambito CTI ed OSINT oggi pomeriggio mi sono imbattuto in uno strano sito in cinese che, in realtà, distribuirebbe malware:

A prima vista il sito sembrerebbe un sito per scaricare la popolare app di messaggistica Telegram che in Cina è bloccata dal governo. Cliccando su Windows è possibile scaricare un archivio .zip da 118MB identificabile mediante il seguente hash:

2b71ecbaad633e07610d4fe45db03062920a44527f3f69d71efb54c571f5b643 – SHA256


Sponsorizza la prossima Red Hot Cyber Conference!

Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un paccheto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.

Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.



Supporta RHC attraverso:
L'acquisto del fumetto sul Cybersecurity Awareness
Ascoltando i nostri Podcast
Seguendo RHC su WhatsApp
Seguendo RHC su Telegram
Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.


Aprendo l’archivio troviamo un file denominato “Taxsex64-2.msi” da 120MB identificabile mediante il seguente hash:

76e9ed21024fd3181f47cbb7870db620ed43dd01c8c77fbcbc3b8eaf47924045 – SHA256

A questo punto ho verificato il dominio utilizzando il noto servizio ThreatYeti:

Il dominio in questione ha ottenuto uno score di 9.08 che è ovviamente molto elevato

Utilizzo di VirusTotal ed altri tools online alla ricerca del malware

Dopo queste prime verifiche non mi rimaneva altro da fare che caricare i due file – sia l’archivio .zip che il file .msi – su VirusTotal:

Questi sono i dettagli del risultato sul file .zip, come possiamo vedere la “First Submission” risulta essere la nostra, questo vuol dire che, a livello mondiale, siamo stati i primi a caricare questo archivio su virustotal e che ora il risultato è a disposizione della community

Anche per ciò che concerne il file .msi siamo stati i primi a caricarlo ed ora i risultati, soprattutto quelli presenti nella sezione “Behavior” relativa all’analisi del file in apposite sandbox sono a disposizione dell’intera community

Inoltre, come ulteriore verifica abbiamo caricato il file .msi anche sullo scanner malware di Jotti:

Come possiamo vedere alle ore 18:24 del 16 Aprile 2024 il file risultava totalmente pulito

Mentre, alle 23:58 del 16 Aprile 2024 qualcosa comincia piano piano a risultare…

Nel pomeriggio del 16 Aprile 2024 abbiamo inviato il file ad Avast utilizzando il loro apposito form online

Inoltre, effettuando una breve verifica mediante l’applicazione “Avast Free Antivirus”, la stessa ha dato esito positivo:

Ora associato al file Taxsex64-2.msi viene rilevato il malware Win64:TrojanX-gen

Ovviamente abbiamo condiviso il file con altre società antivirus(e non solo) e restiamo fiduciosi in attesa delle loro analisi…

Conclusioni

Con questo breve articolo ho voluto illustrare sostanzialmente tre cose:

  1. L’importanza dell’attività di ricerca costante, infatti, è vero che nella cybersecurity spesso si gioca in difesa, ma è anche importante andare “a caccia” andando a scovare malware, nuovi gruppi APT e, laddove consentito ed entro i limiti previsti, nuove vulnerabilità in vista della loro full disclosure
  2. L’importanza della condivisione, chi si occupa di cybersecurity sa bene che, senza la condivisione della conoscenza e la valorizzazione delle competenze, la cybersecurity stessa rischierebbe di diventare priva di quel valore aggiunto dato dall’attività della community, attività sempre più spesso indispensabile con l’aumentare delle minacce e le loro caratteristiche transnazionali
  3. Il ruolo centrale – in caso di malware non rilevato – caratterizzato dall’invio dello stesso alle società antivirus ed a società/enti terzi che si occupano attivamente di malware analysis così da permetterne un’analisi e, in caso di positività, contrastare attivamente la minaccia(proprio com’è successo con l’esempio di Avast contenuto nell’articolo, alle 18:24 il risultato era negativo mentre alle 23:58 il risultato è positivo)

Un ultimo consiglio…

Ora permettetemi di dare un breve consiglio a coloro che si stanno affacciando a questo mondo, probabilmente se un domani andrete ad operare in maniera proattiva, andando quindi a cercare siti che distribuiscono malware o iscrivendo volontariamente la vostra email su risorse di phishing, vi potrà capitare – proprio com’è successo oggi – di essere i primi al mondo a segnalare quel sito di phishing sulle risorse dedicate o quel malware su VirusTotal o alle società di antivirus.

Mentre, se farete bug hunting potrete trovare una vulnerabilità0day” ed essere i primi a segnalarla al vendor…

Indubbiamente, anche nel mondo della cybersecurity essere i primi a fare qualcosa e la successiva consapevolezza di aver contribuito attivamente a migliorare la community è senza dubbio motivo di gioia ma ricordatevi sempre che anche questo rientra a pieno titolo in quel fantastico mondo che state scoprendo che è la cybersecurity.

Davide Santoro
Da sempre patito di sicurezza informatica e geopolitica cerca da sempre di unire queste due passioni, ultimamente ho trovato soddisfazione nell’analisi dei gruppi ransomware, si occupa principalmente di crittografia ed è un sostenitore del software libero.

Lista degli articoli

Articoli in evidenza

Se Flash è morto, ecco a voi l’SVG Assassino! Il phishing 2.0 è in alta definizione
Di Redazione RHC - 05/09/2025

I criminali informatici hanno lanciato una nuova ondata di attacchi che utilizzano file SVG per distribuire pagine di phishing. Gli esperti di VirusTotal hanno segnalato che gli aggressori si spaccian...

Supercomputer: l’Italia al sesto e decimo posto nella classifica TOP500 del 2025
Di Redazione RHC - 05/09/2025

Il mondo dei supercomputer è entrato nell’era dell’exascale computing. La classifica TOP500 di giugno per il 2025 ha registrato tre sistemi americani ai vertici, un debutto clamoroso dall’Europ...

16 miliardi di credenziali rubate da Apple, Meta e Google in vendita per 121.000 dollari
Di Redazione RHC - 05/09/2025

Il team di Darklab, la community di esperti di threat intelligence di Red Hot Cyber, ha individuato un annuncio sul marketplace del dark web “Tor Amazon”, l’analogo criminale del celebre e-comme...

Dal Commodore 64 a GitHub! Il BASIC di Gates e Allen diventa open source dopo 48 anni
Di Redazione RHC - 04/09/2025

Microsoft ha ufficialmente reso pubblico il codice sorgente della sua prima versione di BASIC per il processore MOS 6502, che per decenni è esistito solo sotto forma di fughe di notizie, copie da mus...

Nuova Campagna MintsLoader: Buovi Attacchi di Phishing tramite PEC sono in corso
Di Redazione RHC - 04/09/2025

Dopo una lunga pausa estiva, nella giornata di ieri il CERT-AgID ha pubblicato un nuovo avviso su una nuova campagna MintsLoader, la prima dopo quella registrata lo scorso giugno. Rispetto alle preced...