Redazione RHC : 3 Aprile 2024 11:39
Nell’oscura rete dell’underground informatico, un nuovo infostealer sta attirando l’attenzione dei ricercatori per la sua sofisticata struttura e le sue pericolose capacità. Conosciuto come “Powershell Stiller”. Questo malware, scritto in PowerShell, ha recentemente catturato l’attenzione della comunità online per la sua capacità di rubare dati sensibili da sistemi compromessi, inclusi password e cookie dai browser Firefox e Chromium.
Secondo quanto riportato da un utente anonimo su un forum online, il malware è quasi interamente scritto in PowerShell, con l’eccezione di una DLL che viene inserita nel processo Chrome per sbloccare i cookie. Questa struttura insolita è stata progettata per aggirare le difese dei sistemi e ottenere accesso completo alle informazioni sensibili degli utenti.
Il malware sfrutta una serie di tecniche sofisticate per eludere le protezioni e ottenere l’accesso ai dati degli utenti. Tra queste, vi è l’utilizzo di un convertitore da DLL a shellcode, una tecnica che consente al malware di inserire shellcode nei processi del browser per sbloccare i cookie e ottenere accesso alle informazioni sensibili.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Una volta infettato un sistema, il malware è in grado di monitorare e raccogliere una vasta gamma di dati, tra cui informazioni sull’hardware, dati di accesso ai browser basati su Chromium e Firefox, e altro ancora. Queste informazioni vengono poi crittografate e inviate a un server remoto per essere utilizzate dagli hacker.
Uno degli aspetti più preoccupanti di questo malware è la sua capacità di eludere le protezioni AMSI (Antimalware Scan Interface), un sistema progettato per individuare codice dannoso nei linguaggi di scripting. Tuttavia, il malware utilizza tecniche avanzate per bypassare AMSI e garantire che il codice dannoso possa essere eseguito senza essere rilevato.
L’autore del post sul forum ha sottolineato che, nonostante le sfide tecniche, PowerShell è un linguaggio ideale per sviluppare malware a causa della sua relativa facilità nel bypassare le protezioni e ottenere accesso ai sistemi compromessi.
Finora, non è chiaro chi sia dietro questo malware o quali siano i loro obiettivi. Tuttavia, i ricercatori avvertono che Stiller su Powershell rappresenta una minaccia significativa per la sicurezza informatica e consigliano agli utenti di adottare misure per proteggere i propri sistemi da questa e altre minacce simili.
Mentre la comunità della sicurezza informatica continua a monitorare da vicino lo sviluppo di questo nuovo malware, è fondamentale che gli utenti mantengano aggiornati i loro software e adottino pratiche di sicurezza informatica robuste per proteggere i propri dati da futuri attacchi.
Il ricercatore di sicurezza Alex Necula ha condotto un’analisi approfondita del pacchetto panel.zip, che include il codice dell’infostealer, esaminandone attentamente ogni dettaglio. Dopo aver compilato il codice e iniettato l’infostealer in un ambiente controllato, ha effettuato una serie di test su un sistema operativo Windows completamente aggiornato all’ultimo livello di patch.
I risultati dei test sono stati sorprendenti: nonostante l’infrazione nel sistema, il sistema operativo non ha rilevato la minaccia, come confermato dalla schermata successiva all’analisi condotta da Necula. Questo suggerisce che l’infostealer potrebbe eludere le difese tradizionali e passare inosservato anche sui sistemi più aggiornati.
Necula ha inoltre riportato che, basandosi sulle analisi condotte, il codice utilizzato per sviluppare l’infostealer sembra essere stato realizzato con grande competenza. Ciò implica che, se supportato e ulteriormente sviluppato, l’infostealer potrebbe costituire una minaccia significativa per la sicurezza informatica, in grado di eludere le protezioni dei sistemi e ottenere accesso non autorizzato a dati sensibili.
Questi risultati mettono in evidenza l’importanza di continuare a monitorare da vicino lo sviluppo di questa minaccia emergente e adottare misure proattive per proteggere i sistemi da potenziali attacchi. In un panorama sempre più complesso della sicurezza informatica, è fondamentale per gli esperti del settore e gli utenti finali rimanere informati sulle ultime minacce e adottare le migliori pratiche per garantire la sicurezza dei propri dati e delle proprie infrastrutture digitali.
RedazioneSasha Levin, sviluppatore di kernel Linux di lunga data, che lavora presso NVIDIA e in precedenza presso Google e Microsoft, ha proposto di aggiungere alla documentazione del kernel regole formali per...
Google sta trasformando il suo motore di ricerca in una vetrina per l’intelligenza artificiale, e questo potrebbe significare un disastro per l’intera economia digitale. Secondo un nuovo...
Il panorama delle minacce non dorme mai, ma stavolta si è svegliato con il botto. Il 18 luglio 2025, l’azienda di sicurezza Eye Security ha lanciato un allarme che ha subito trovato eco ne...
Nel corso di un’operazione internazionale coordinata, denominata “Operation Checkmate”, le forze dell’ordine hanno sferrato un duro colpo al gruppo ransomware BlackSuit (qu...
Il Dipartimento di Giustizia degli Stati Uniti ha segnalato lo smantellamento di quattro piattaforme darknet utilizzate per la distribuzione di materiale pedopornografico. Contemporaneamente, un dicio...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
