Redazione RHC : 28 Gennaio 2025 14:18
Gli specialisti Doctor Web hanno scoperto campioni di malware che, dopo un esame più attento, si sono rivelati componenti di una campagna di mining attiva per la criptovaluta Monero. Allo stesso tempo, vengono costruite due catene dannose lanciando script che estraggono payload dannosi da file di immagine in formato BMP.
Secondo i ricercatori, questa campagna è attiva dal 2022, come dimostra il file eseguibile Services.exe, che è un’applicazione .NET che esegue uno script VBscript. Questo script implementa funzioni backdoor contattando il server degli aggressori ed eseguendo script e file inviati in risposta. Sul computer della vittima viene così scaricato il file dannoso ubr.txt, che è uno script per l’interprete PowerShell, la cui estensione è stata modificata da ps1 a txt.
Lo script verifica la presenza di minatori che potrebbero essere già installati sulla macchina compromessa e li modifica nelle versioni di cui hanno bisogno gli aggressori. I file installati dallo script rappresentano il minatore SilentCryptoMiner e le sue impostazioni.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Va notato che nell’ambito di questa campagna i file dei minatori vengono mascherati da diversi software, ad esempio per videochiamate in Zoom (ZoomE.exe e ZoomX.exe) o servizi Windows (Service32.exe e Service64.exe).
Inoltre, il minatore accede al dominio getcert[.]net, che contiene il file m.txt con le impostazioni di mining di criptovaluta. Questa risorsa è stata utilizzata anche in altre catene di attacchi.
Gli esperti scrivono che ora gli aggressori hanno modificato la metodologia di attacco, rendendola più interessante, e hanno iniziato a utilizzare la steganografia.
La seconda e più recente catena di attacchi viene quindi implementata utilizzando il trojan Amadey, che esegue lo script PowerShell Async.ps1, scaricando immagini in formato BMP dall’host di immagini legittimo imghippo.com. Utilizzando la steganografia, da queste immagini vengono estratti due file eseguibili: lo stealer Trojan.PackedNET.2429 e il payload, che:
Durante questa attività vengono contattati i domini dell’aggressore, il cui record DNS TXT contiene l’indirizzo di archiviazione per il successivo payload. Dopo averli scaricati, viene decompresso l’archivio con le immagini in formato BMP e vengono lanciati i seguenti file:
Si noti che i moduli dei minatori vengono costantemente sviluppati. Recentemente, gli autori di malware sono passati all’utilizzo di risorse legittime per ospitare immagini dannose e della piattaforma GitHub per archiviare i payload. Inoltre, sono stati scoperti moduli che controllano il fatto dell’avvio in sandbox e su macchine virtuali.
Uno dei portafogli specificati nelle impostazioni del minatore è stato creato nel maggio 2022 e ad oggi sono stati trasferiti su di esso 340 XMR. Basandosi sull’andamento dell’onda dell’hashrate (indicativo dei computer che si accendono e si spengono regolarmente), i ricercatori ritengono che questa campagna di mining coinvolga principalmente utenti ordinari che si trovano nello stesso gruppo di fusi orari. L’hashrate medio è di 3,3 milioni di hash al secondo, il che consente alle macchine compromesse di portare agli aggressori 1 XMR ogni 40 ore.
All’inizio di settembre 2025,Palo Alto Networks ha confermato di essere stata vittima di una violazione dei dati. La compromissione non ha interessato i suoi prodotti o servizi core, bensì alcune i...
Il 31 agosto 2025 il volo AAB53G, operato con un Dassault Falcon 900LX immatricolato OO-GPE e con a bordo la presidente della Commissione Europea Ursula von der Leyen, è decollato da Varsavia ed è a...
La recente conferma da parte di Zscaler riguardo a una violazione dati derivante da un attacco alla supply chain fornisce un caso studio sull’evoluzione delle minacce contro ecosistemi SaaS compless...
Proofpoint pubblica il report “Voice of the CISO 2025”: cresce il rischio legato all’AI e rimane il problema umano, mentre i CISO sono a rischio burnout. L’84% dei CISO italiani prevede un att...
La società QNAP Systems ha provveduto al rilascio di aggiornamenti di sicurezza al fine di eliminare varie vulnerabilità presenti nel firmware QVR dei sistemi VioStor Network Video Recorder (NVR). I...