Redazione RHC : 9 Settembre 2025 07:32
eSentire ha segnalato la scoperta di una nuova botnet chiamata NightshadeC2, che utilizza metodi non convenzionali per aggirare la protezione e le sandbox. Il malware viene distribuito tramite versioni contraffatte di programmi legittimi come CCleaner, Express VPN , Advanced IP Scanner ed Everything, nonché tramite lo schema ClickFix, in cui alla vittima viene richiesto di inserire un comando in una finestra Esegui dopo aver completato un captcha falso.
La caratteristica principale di NightshadeC2 è una tecnica chiamata dagli esperti “UAC Prompt Bombing“. Il downloader esegue uno script di PowerShell che tenta di aggiungere il malware all’elenco di esclusione di Windows Defender. Se l’utente rifiuta di confermare l’azione tramite il prompt di sistema UAC, la finestra viene visualizzata ripetutamente, impedendo all’utente di utilizzare il computer finché non acconsente.
Questo metodo impedisce efficacemente anche l’esecuzione del malware nelle sandbox: se il servizio Defender è disabilitato, lo script si blocca in un loop e il payload non viene eseguito. Questo gli consente di bypassare ambienti di analisi come Any.Run, CAPEv2 e Joe Sandbox.
 CALL FOR SPONSOR - Sponsorizza la Graphic Novel Betti-RHC Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il payload principale di NightshadeC2 è scritto in C, ma sono state rilevate anche versioni semplificate in Python, presumibilmente generate tramite intelligenza artificiale. La variante in C utilizza le porte 7777, 33336, 33337 e 443, mentre Python utilizza la porta 80. Il file infetto, mascherato da updater.exe, raccoglie informazioni sull’IP di sistema e sull’IP esterno una volta eseguito, utilizza la crittografia RC4 per comunicare con il server di comando e stabilisce la persistenza nel sistema tramite le chiavi di registro Winlogon, RunOncee Active Setup.
NightshadeC2 offre un’ampia gamma di funzionalità che consentono agli aggressori di assumere il pieno controllo del sistema infetto. Il malware fornisce accesso remoto tramite reverse shell , avviando sessioni nascoste di PowerShell o da riga di comando, può scaricare ed eseguire file aggiuntivi in formato DLL o EXE e, se necessario, rimuoversi dal dispositivo.
NightshadeC2 supporta il controllo remoto completo, inclusi screenshot ed emulazione delle azioni dell’utente, e può anche eseguire browser nascosti (Chrome, Edge, Firefox e Brave) su un desktop separato. Inoltre, NightshadeC2 registra le sequenze di tasti premuti e le modifiche negli appunti ed è in grado di estrarre password e cookie dai browser installati che utilizzano i motori Chromium e Gecko.
I dati utente vengono salvati in file nascosti, i cui nomi dipendono dal livello di diritti (ad esempio, JohniiDeppe LuchiiSvet). Il keylogger utilizza una finestra nascosta e hook WinAPI standard per catturare le sequenze di tasti e il contenuto degli appunti. Gli aggressori possono controllare il sistema infetto: copiando e incollando testo, emulando input, avviando browser o finestre di sistema sul desktop nascosto. Alcune varianti di NightshadeC2 ricevono l’indirizzo del server di controllo direttamente dal profilo Steam, il che consente di modificare C2 senza aggiornare il malware stesso.
Sono stati identificati anche due metodi per aggirare il Controllo dell’account utente (UAC) . Uno sfrutta una vecchia vulnerabilità nel server RPC, l’altro è integrato nel bootloader e si attiva sui sistemi precedenti a Windows 11. Il secondo sfrutta una combinazione di rege schtasks, che avvia il malware con privilegi elevati senza l’intervento dell’utente e lo aggiunge alle eccezioni di Windows Defender.
Per proteggersi da questo problema, gli esperti consigliano di disattivare la finestra Esegui tramite GPO (sezione del menu Start e della barra delle applicazioni), di formare i dipendenti a riconoscere il phishing e l’ingegneria sociale e di utilizzare soluzioni EDR o NGAV moderne in grado di rilevare comportamenti non standard del malware .
Secondo i ricercatori, NightshadeC2 è uno strumento versatile con funzionalità di backdoor, spionaggio e controllo stealth, e la tecnica della bomba UAC utilizzata è un modo semplice ma efficace per aggirare sia la protezione dell’utente sia l’analisi automatizzata.
RedazioneROMA – La profonda crisi istituzionale che ha investito l’Autorità Garante per la Protezione dei Dati Personali ha spinto Guido Scorza, componente del Collegio, a un intervento pubblico mirato a ...
Negli ultimi anni, il panorama della sicurezza informatica in Italia ha visto una preoccupante escalation di attacchi, con un aumento significativo dei crimini informatici. Un fenomeno particolarmente...
Quest’autunno, abbiamo avuto un bel po’ di grattacapi con il cloud, non so se ci avete fatto caso. Cioè, AWS, Azure, e dopo Cloudflare. Tutti giù, uno dopo l’altro. Una sfilza di interruzioni ...
Il CERT-AGID ha rilevato recentemente una sofisticata campagna di phishing mirato che sta prendendo di mira gli studenti dell’Università di Padova (UniPd). L’operazione, ancora in corso, sfrutta ...
Gli esperti del Group-IB hanno presentato un’analisi dettagliata della lunga campagna di UNC2891, che ha dimostrato la continua sofisticatezza degli schemi di attacco agli sportelli bancomat. L’at...
