Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 28 Novembre 2021 07:50
Gli esperti di sicurezza di SafeBreach Labs hanno avvertito che gli hacker iraniani stanno utilizzando la vulnerabilità CVE-2021-40444 per rubare credenziali dagli account Google e Instagram.
Gli aggressori prendono di mira principalmente gli utenti di lingua farsi. I ricercatori scrivono che gli attacchi vengono effettuati utilizzando uno script PowerShell, chiamato PowerShortShell.
Lo script viene anche utilizzato per lo spionaggio utilizzando Telegram e la raccolta di informazioni di sistema da dispositivi compromessi, che vengono inviate ai server controllati dagli aggressori insieme alle credenziali rubate.
Inizialmente, gli esperti hanno scoperto questi hacker a settembre, ma ora hanno parlato delle attività del gruppo in modo più dettagliato. Gli attacchi sono iniziati a luglio, con e-mail di phishing mirate.
Tali messaggi sono rivolti agli utenti Windows e sfruttano un bug di Remote Code Execution (RCE) associato a Microsoft MSHTML. Questo bug ha l’ID CVE-2021-40444 .
Il payload dello script PowerShortShell viene eseguito da una DLL che viene caricata nei sistemi compromessi. Una volta avviato, lo script PowerShell inizia a raccogliere dati e acquisisce schermate, che vengono quindi inviate al server C&C degli hacker.
“Quasi la metà delle vittime di questa campagna sono negli Stati Uniti. A giudicare dal contenuto del documento esca, in cui il leader iraniano è accusato del “massacro della corona”, nonché in base alla natura dei dati raccolti, si presume che le vittime possano essere iraniani residenti all’estero”
Ha affermato SafeBreach Labs.
Secondo i ricercatori, gli hacker potrebbero essere associati al regime islamico dell’Iran, dal momento che l’uso di Telegram per la sorveglianza è tipico di gruppi di hacker iraniani come Infy, Ferocious Kitten e Rampant Kitten.
RedazioneIl Centro Congressi Frentani ospiterà il 12 dicembre la conferenza “Cybercrime, Artificial Intelligence & Digital Forensics”, l’evento annuale organizzato da IISFA – Associazione Italiana...
Un nuovo post pubblicato poche ore fa sul forum underground Exploit rivela l’ennesima offerta criminale legata alla vendita di accessi a siti compromessi. L’inserzionista, un utente storico del fo...
In Australia, a breve sarà introdotta una normativa innovativa che vieta l’accesso ai social media per i minori di 16 anni, un’iniziativa che farà scuola a livello mondiale. Un’analoga misura ...
Il Dipartimento di Giustizia degli Stati Uniti ha accusato i fratelli gemelli Muneeb e Sohaib Akhter di aver cancellato 96 database contenenti informazioni sensibili, tra cui verbali di indagini e doc...
Malgrado le difficoltà geopolitiche significative, il settore degli spyware mercenari resta una minaccia adattabile e persistente; in questo contesto, il noto fornitore Intellexa prosegue l’espansi...
