Redazione RHC : 29 Giugno 2024 12:14
La società di sicurezza Outpost24 ha rilevato l’attività di un nuovo gruppo chiamato Unfurling Hemlock, che infetta i sistemi target con più malware e distribuisce centinaia di migliaia di file dannosi.
I ricercatori descrivono questo metodo di infezione come una “bomba a grappolo di malware”, che consente agli aggressori di utilizzare solo un pezzo di malware, che poi infetta ulteriormente il computer della vittima.
Secondo la società, l’attività di Unfurling Hemlock è iniziata nel febbraio 2023 e i ricercatori hanno scoperto più di 50.000 file contenenti tali “bombe a grappolo”.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Va notato che più della metà di tutti gli attacchi Unfurling Hemlock erano mirati a sistemi negli Stati Uniti, ma un’attività relativamente elevata è stata osservata anche in Germania, Russia, Turchia, India e Canada.
Gli attacchi iniziano con l’esecuzione del file WEXTRACT.EXE, che raggiunge i dispositivi di destinazione tramite e-mail dannose o tramite downloader di malware a cui Unfurling Hemlock ha accesso (si presuppone che gli hacker collaborino con i loro operatori).
Il file eseguibile dannoso contiene file CAB nidificati, in ogni livello dei quali vengono archiviati un campione di malware e un altro file compresso. Ad ogni fase, una sorta di malware viene installato sul computer della vittima e, nella fase finale, tutti i file estratti vengono eseguiti in ordine inverso (ovvero, l’ultimo estratto viene eseguito per primo).
Gli specialisti di Outpost24 scrivono di aver osservato da quattro a sette fasi di disimballaggio, ovvero la quantità di malware utilizzata negli attacchi Unfurling Hemlock varia.
Il caricamento simultaneo di molti payload in un sistema compromesso fornisce un elevato livello di ridondanza per gli aggressori, offrendo loro maggiori opportunità di prendere piede nel sistema e monetizzare. Nonostante il rischio maggiore di essere rilevati in questi casi, molti hacker seguono una strategia aggressiva simile, sperando che almeno una parte del loro malware sopravviva al processo di pulizia del sistema.
Tra i payload di Unfurling Hemlock, i ricercatori hanno notato: gli stealer Redline, RisePro e Mystic Stealer, il caricatore personalizzato Amadey, il loader e la backdoor SmokeLoader, l’utility Protection Disabler progettata per disabilitare Windows Defender e altre soluzioni di sicurezza, lo strumento per l’offuscamento e l’occultamento dei payload Enigma Packer, l’utilità di controllo delle prestazioni, utilizzata per controllare e registrare l’esecuzione di malware, nonché utilità che utilizzano strumenti Windows standard (wmiadap.exe e wmiprvse.exe) per raccogliere informazioni di sistema.
Anche se i ricercatori non entrano nei dettagli su come Unfurling Hemlock monetizza i suoi attacchi, si può presumere che il gruppo venda ad altri criminali i registri degli stealer e l’accesso alle macchine hackerate.
Apparentemente, i partecipanti a Unfurling Hemlock si trovano in uno dei paesi dell’Europa orientale. Ciò è indicato dalla presenza della lingua russa in alcuni campioni di malware, nonché dall’uso dell’Autonomous System 203727, che è associato all’hosting popolare tra i gruppi di hacker in questa regione.
I ricercatori di Trellix hanno scoperto un insolito schema di attacco su Linux, in cui l’elemento chiave non è un allegato con contenuto dannoso, ma il nome del file all’interno del...
La recente vicenda del gruppo Facebook “Mia Moglie”, attivo dal 2019 e popolato da oltre 32.000 iscritti, mette in luce una dinamica che intreccia violazione della privacy, pornografia n...
Per i dipendenti di Google, “stare al passo con i tempi” significa non solo sviluppare l’intelligenza artificiale, ma anche essere in grado di utilizzarla ogni giorno. Negli ultim...
Advanced Security Solutions, con sede negli Emirati Arabi Uniti, è nata questo mese ed offre fino a 20 milioni di dollari per vulnerabilità zero-day ed exploit che consentirebbero a chiunque...
Un difetto critico riscontrato nel più recente modello di OpenAI, ChatGPT-5, permette a malintenzionati di aggirare le avanzate funzionalità di sicurezza attraverso l’uso di semplici ...