Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Condividi la tua difesa. Incoraggia l'eccellenza.
La vera forza della cybersecurity risiede
nell'effetto moltiplicatore della conoscenza.
TM RedHotCyber 970x120 042543
Fortinet 320x100px
La RCE di Microsoft MSHTML, utilizzata per rubare le credenziali di Google ed Instagram.

La RCE di Microsoft MSHTML, utilizzata per rubare le credenziali di Google ed Instagram.

28 Novembre 2021 07:50

Gli esperti di sicurezza di SafeBreach Labs hanno avvertito che gli hacker iraniani stanno utilizzando la vulnerabilità CVE-2021-40444 per rubare credenziali dagli account Google e Instagram.

Gli aggressori prendono di mira principalmente gli utenti di lingua farsi. I ricercatori scrivono che gli attacchi vengono effettuati utilizzando uno script PowerShell, chiamato PowerShortShell.

Lo script viene anche utilizzato per lo spionaggio utilizzando Telegram e la raccolta di informazioni di sistema da dispositivi compromessi, che vengono inviate ai server controllati dagli aggressori insieme alle credenziali rubate.

Inizialmente, gli esperti hanno scoperto questi hacker a settembre, ma ora hanno parlato delle attività del gruppo in modo più dettagliato. Gli attacchi sono iniziati a luglio, con e-mail di phishing mirate.

B939cf Fecdd13e2d784d58b8db20b5dfdc10c9 Mv2

Tali messaggi sono rivolti agli utenti Windows e sfruttano un bug di Remote Code Execution (RCE) associato a Microsoft MSHTML. Questo bug ha l’ID CVE-2021-40444 .

Il payload dello script PowerShortShell viene eseguito da una DLL che viene caricata nei sistemi compromessi. Una volta avviato, lo script PowerShell inizia a raccogliere dati e acquisisce schermate, che vengono quindi inviate al server C&C degli hacker.

“Quasi la metà delle vittime di questa campagna sono negli Stati Uniti. A giudicare dal contenuto del documento esca, in cui il leader iraniano è accusato del “massacro della corona”, nonché in base alla natura dei dati raccolti, si presume che le vittime possano essere iraniani residenti all’estero”

Ha affermato SafeBreach Labs.

Secondo i ricercatori, gli hacker potrebbero essere associati al regime islamico dell’Iran, dal momento che l’uso di Telegram per la sorveglianza è tipico di gruppi di hacker iraniani come Infy, Ferocious Kitten e Rampant Kitten.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Cropped RHC 3d Transp2 1766828557 300x300
La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.

Articoli in evidenza

Immagine del sitoCybercrime
Colloqui di lavoro letali: l’arte di infettare i computer mentre si finge di fare un colloquio
Redazione RHC - 22/01/2026

Da oltre un anno, il gruppo nordcoreano PurpleBravo conduce una campagna malware mirata denominata “Contagious Interview “, utilizzando falsi colloqui di lavoro per attaccare aziende in Europa, Asia, Medio Oriente e America Centrale. I ricercatori…

Immagine del sitoCybercrime
Il ritorno di LockBit! 500 euro per l’ingresso nel cartello cyber più famoso di sempre
Redazione RHC - 22/01/2026

Il gruppo LockBit, che molti avevano rapidamente liquidato dopo fallimenti e fughe di notizie di alto profilo, è tornato inaspettatamente sulla scena. Nell’autunno del 2025, ha presentato una nuova versione del suo ransomware, LockBit 5.0,…

Immagine del sitoVulnerabilità
Nuovo zero-day Cisco permette l’accesso root senza autenticazione
Redazione RHC - 22/01/2026

Una vulnerabilità critica di esecuzione di codice remoto (RCE) zero-day, identificata come CVE-2026-20045, è stata scoperta da Cisco e risulta attivamente sfruttata in attacchi attivi. Cisco ha sollecitato l’applicazione immediata delle patch e il suo…

Immagine del sitoCyber Italia
Cybersicurezza nella PA locale: il problema non è la norma, è il presidio
Roberto Villani - 22/01/2026

C’è un equivoco comodo, in Italia: pensare che la cybersicurezza sia materia “da ministeri” o da grandi operatori strategici. È rassicurante. Ed è sbagliato. Nel disegno reale della connettività pubblica, gli enti locali non sono…

Immagine del sitoVulnerabilità
Vulnerabilità critica in Zoom: falla CVE-2026-22844 con CVSS 9.9
Redazione RHC - 21/01/2026

Zoom Video Communications ha pubblicato un avviso di sicurezza urgente per una vulnerabilità critica (identificata come CVE-2026-22844) che interessa le sue infrastrutture enterprise. Il problema riguarda un difetto di iniezione di comandi nei dispositivi Zoom…