Redazione RHC : 14 Marzo 2023 07:29
Da novembre a marzo di quest’anno, una versione aggiornata della botnet Prometei ha infettato più di 10.000 sistemi in tutto il mondo. Le infezioni sono nella maggior parte registrate in Brasile, Indonesia e Turchia.
Prometei, è stata scoperta per la prima volta nel 2016. Si tratta di una botnet modulare con un ampio set di componenti e diversi metodi di distribuzione, incluso lo sfruttamento delle vulnerabilità in Microsoft Exchange Server. Nell’ultima variante del malware, “Prometei V3”, gli autori hanno notevolmente migliorato la sua invisibilità nel sistema bersaglio.
I motivi alla base della diffusione di questa botnet multipiattaforma sono principalmente di natura finanziaria, poiché gli host infetti vengono utilizzati per estrarre criptovaluta e raccogliere credenziali.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
La sequenza di attacco è la seguente: dopo aver avuto accesso al sistema di destinazione, viene eseguito un comando PowerShell per scaricare il payload della botnet da un server remoto. Il modulo Prometei viene quindi utilizzato per ottenere l’effettivo payload di cryptomining e altri componenti ausiliari.
Alcuni di questi moduli funzionano come distributori progettati per caricare malware tramite Remote Desktop Protocol (RDP), Secure Shell (SSH) e Samba (SMB).
Prometei v3 si distingue anche per l’utilizzo del Domain Generation Algorithm (DGA) per creare l’ infrastruttura C2. Inoltre, contiene un meccanismo di aggiornamento automatico e un insieme esteso di comandi per la raccolta di dati sensibili e l’acquisizione di un host.
Ultimo ma non meno importante, il malware distribuisce un server web Apache associato a una web shell basata su PHP che è in grado di eseguire comandi con codifica Base64 ed eseguire caricamenti di file.
“Questa recente aggiunta di nuove funzionalità indica che gli operatori di Prometei aggiornano costantemente la botnet e aggiungono nuove funzionalità”, hanno affermato in una nota i ricercatori di Cisco Talos.
RedazioneGiovedì 16 luglio è stata una giornata significativa per i ricercatori di sicurezza informatica del team italiano Red Team Research (RTR) di TIM, che ha visto pubblicate cinque nuove vulnera...
Una falla critica nella sicurezza, relativa alla corruzione della memoria, è stata individuata nel noto software di archiviazione 7-Zip. Questa vulnerabilità può essere sfruttata da mal...
Una campagna di attacchi informatici avanzati è stata individuata che prende di mira i server Microsoft SharePoint. Questa minaccia si avvale di una serie di vulnerabilità, conosciuta come &...
La presentazione del Walker S2 rappresenta un importante passo avanti nell’autonomia operativa dei robot umanoidi. Grazie alla capacità di sostituire autonomamente la propria batteria, il ...
Secondo quanto riportato da Fast Technology il 18 luglio, Jen-Hsun Huang ha raccontato ai media cinesi le proprie origini, spiegando di essere nato cinese e poi diventato sinoamericano. Ha sottolineat...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
