Redazione RHC : 21 Gennaio 2025 16:51
I ricercatori di Intezer Labs hanno identificato una serie di attacchi informatici contro organizzazioni nelle regioni di lingua cinese, tra cui Hong Kong, Taiwan e la Cina continentale. Questi attacchi utilizzano il downloader multifase PNGPlug per diffondere il malware ValleyRAT.
L’attacco inizia con una pagina di phishing che convince la vittima a scaricare un file MSI dannoso mascherato da software legittimo. Una volta avviato, questo file esegue due compiti: installa un’applicazione innocua per creare l’illusione di legittimità ed estrae un archivio crittografato contenente componenti dannosi.
Il file MSI utilizza la funzionalità CustomAction di Windows Installer per eseguire codice dannoso. L’archivio crittografato “all.zip” viene decrittografato utilizzando la password integrata “hello202411“. I componenti principali includono “libcef.dll” (il downloader), “down.exe” (l’applicazione legittima) e i file “aut.png” e “view.png“, che sono mascherati da immagini ma contengono dati dannosi.
 Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro.
Scarica ora la Demo di Business Log per 30gg
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il compito del caricatore “libcef.dll” è preparare un ambiente per l’esecuzione del malware. Apporta modifiche al file di sistema “ntdll.dll” per inserire i dati in memoria e analizzare i parametri della riga di comando. Se viene rilevato il parametro /aut, il boot loader estrae il percorso del file down.exe, lo scrive nel registro ed esegue il codice dal file aut.png. Altrimenti viene eseguito il file “view.png” e il suo contenuto viene inserito nel processo “colorcpl.exe”.
ValleyRAT, distribuito utilizzando PNGPlug, è un malware sofisticato attribuito al gruppo Silver Fox. Questo strumento include meccanismi di esecuzione multilivello come l’esecuzione di shellcode in memoria, l’esecuzione privilegiata e la presenza persistente nel sistema tramite il registro e le attività di pianificazione.
L’analisi mostra che gli attacchi utilizzano un’ampia gamma di tattiche: siti di phishing, mascheramento di file dannosi come programmi legittimi e utilizzo di software gratuito che i dipendenti sono spesso costretti a utilizzare a causa della mancanza di strumenti aziendali.
Il gruppo Silver Fox APT è specializzato in operazioni di spionaggio rivolte a organizzazioni di lingua cinese, compreso l’uso di ValleyRAT e Gh0st RAT per raccogliere dati, monitorare l’attività e fornire moduli aggiuntivi. La campagna si distingue per il suo focus su un pubblico monolingue, che ne sottolinea la portata e l’obiettivo strategico. La mancanza di investimenti nella sicurezza informatica da parte delle vittime aumenta la loro vulnerabilità a tali attacchi.
L’utilizzo del caricatore modulare PNGPlug consente agli aggressori di adattare la minaccia a diverse campagne, il che la rende particolarmente pericolosa. Questi eventi dimostrano la necessità di implementare tecniche avanzate di rilevamento e protezione contro le minacce in continua evoluzione.
RedazioneDal 12 novembre 2025, l’AGCOM ha riportato che in linea con l’art. 13-bis del decreto Caivano (dl123/2023), 47 siti per adulti raggiungibili dall’Italia avrebbero dovuto introdurre un sistema di...
Centinaia di milioni di utenti di smartphone hanno dovuto affrontare il blocco dei siti web pornografici e l’obbligo di verifica dell’età. Nel Regno Unito è in vigore la verifica obbligatoria de...
Dalle fragilità del WEP ai progressi del WPA3, la sicurezza delle reti Wi-Fi ha compiuto un lungo percorso. Oggi, le reti autodifensive rappresentano la nuova frontiera: sistemi intelligenti capaci d...
Siamo ossessionati da firewall e crittografia. Investiamo miliardi in fortezze digitali, ma le statistiche sono inesorabili: la maggior parte degli attacchi cyber non inizia con un difetto nel codice,...
Un raro ritrovamento risalente ai primi giorni di Unix potrebbe riportare i ricercatori alle origini stesse del sistema operativo. Un nastro magnetico etichettato “UNIX Original From Bell Labs V4 (V...
