I ricercatori di IBM X-Force hanno scoperto un nuovo malware, chiamato Slopoly, che sembra essere stato creato utilizzando l’intelligenza artificiale generativa. Il malware è stato utilizzato in un attacco tramite il ransomware Interlock e ha permesso agli aggressori di rimanere nel sistema compromesso per oltre una settimana e di rubare dati.
Secondo gli esperti, l’attacco è iniziato con tecniche diingegneria sociale e ClickFix, e in seguito gli hacker hanno installato la backdoor Slopoly, uno script PowerShell che funge da client per un framework C2, sul sistema della vittima.
Gli esperti hanno esaminato questo script e hanno trovato chiari indizi che fosse stato scritto utilizzando un modello linguistico esteso (LLM): commenti dettagliati nel codice, registrazione strutturata, gestione degli errori appropriata e nomi di variabili chiari. Questo è altamente insolito per un malware scritto da un essere umano.
Advertising
I ricercatori hanno collegato l’attacco al gruppo Hive0163, motivato da interessi economici e specializzato in estorsioni, furti di dati su larga scala e ransomware.
Gli analisti notano, tuttavia, che Slopoly non è un malware tecnicamente avanzato. Sebbene i commenti dello script lo descrivano come un “Client di persistenza C2 polimorfico”, i ricercatori non hanno riscontrato alcuna capacità polimorfica: lo script non è in grado di modificare il proprio codice durante l’esecuzione. Tuttavia, il generatore di Slopoly può creare nuove istanze con valori di configurazione e nomi di funzioni casuali.
Il malware si nasconde in C:ProgramDataMicrosoftWindowsRuntime e può raccogliere informazioni di sistema, inviare richieste heartbeat al server di comando e controllo ogni 30 secondi, interrogare il server per ricevere comandi ogni 50 secondi, eseguire i comandi ricevuti tramite cmd.exe e inviare i risultati ai suoi operatori. Il malware persiste nel sistema utilizzando un’attività pianificata denominata “Runtime Broker”.
I comandi supportati dal malware includono il download e l’esecuzione di payload EXE, DLL e JavaScript, l’esecuzione di comandi shell, la modifica dell’intervallo tra le richieste, l’aggiornamento di se stesso e la terminazione del proprio processo.
Oltre a Slopoly, l’attacco scoperto ha utilizzato anche le backdoor NodeSnake e InterlockRAT. Il ransomware Interlock stesso è stato distribuito tramite il downloader JunkFiction come file Windows a 64 bit, eseguibile come attività pianificata con privilegi di sistema. Il malware utilizza l’API di Gestione riavvio di Windows per sbloccare i file occupati e aggiunge le estensioni .!NT3RLOCK o .int3R1Ock ai file crittografati.
Advertising
Il gruppo Interlock è emerso nel 2024 ed è stato uno dei primi a utilizzare gli attacchi ClickFix , così come la loro variante FileFix.
Secondo i ricercatori, Hive0163 potrebbe essere collegato agli sviluppatori dei malware Broomstick, SocksShell, PortStarter e SystemBC, nonché agli operatori del ransomware Rhysida.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Carolina Vivianti è consulente/Advisor autonomo in sicurezza informatica con esperienza nel settore tech e security. Ha lavorato come Security Advisor per Ford EU/Ford Motor Company e Vodafone e ha studi presso la Sapienza Università di Roma.
Aree di competenza:Cybersecurity, IT Risk Management, Security Advisory, Threat Analysis, Data Protection, Cloud Security, Compliance & Governance
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.