Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Inglese Spagnolo
Cerca
970x120
Banner Ransomfeed 320x100 1

Tag: bypass

Un ricercatore di Google Project Zero svela come aggirare l’ASLR su macOS e iOS

Redazione RHC 29/09/2025

Un ricercatore del team Google Project Zero ha rivelato un nuovo metodo per sottrarre a distanza gli indirizzi di memoria sui sistemi operativi macOS e iOS di Apple. La ricerca ha avuto origine da una discussione del 2024 all’interno del team di Project Zero sulla ricerca di nuovi modi per ottenere perdite ASLR remote sui dispositivi Apple. Un metodo scoperto dal ricercatore risulta applicabile a quei servizi che accettano dati forniti dall’aggressore e li deserializzano, per poi ri-serializzare gli oggetti che ne derivano e rinviare indietro i dati. Questo metodo può aggirare una funzionalità di sicurezza fondamentale, l’Address Space Layout Randomization (ASLR)

Arriva EDR-Freeze! Mette in coma profondo Windows senza driver vulnerabili

Redazione RHC 23/09/2025

Uno specialista di Zero Salarium ha presentato un metodo che disabilita temporaneamente i processi antivirus e gli agenti EDR su Windows utilizzando strumenti di sistema integrati. L’articolo descrive in dettaglio il concetto e lo strumento operativo, EDR-Freeze, un modo per interrompere specificamente i processi di monitoraggio senza installare driver vulnerabili aggiuntivi, basandosi sul comportamento dei componenti nativi del sistema operativo e sulle condizioni di competizione tra i processi. Il trucco sta nel fatto che MiniDumpWriteDump sospende forzatamente tutti i thread del processo di destinazione durante la creazione di uno snapshot, e il processo associato che attiva il dump è responsabile della sua

Google Calendar Sotto Tiro! Un Solo Carattere Nasconde Un Attacco Malware Avanzato

Redazione RHC 15/05/2025

I ricercatori di sicurezza hanno individuato un nuovo metodo d’attacco in cui i cybercriminali sfruttano gli inviti di Google Calendar per veicolare malware. La tecnica impiegata si basa su un sistema di offuscamento avanzato, dove un solo carattere apparentemente innocuo cela codice malevolo pronto a colpire. Questa tecnica sottolinea come gli attori delle minacce continuino a raffinare le proprie strategie, puntando su servizi considerati affidabili per bypassare le difese di sicurezza tradizionali. Nel marzo 2025, gli analisti di sicurezza di Aikido hanno individuato un pacchetto npm sospetto, denominato “os-info-checker-es6”. Sebbene apparisse come un modulo legittimo per la raccolta di informazioni sul sistema

Rockstar 2FA: Il Kit di Phishing che Bypassa l’MFA e Rende il Crimine Accessibile

Luca Galuppi 01/12/2024

Considerare l’autenticazione multifattore (MFA) come una difesa assolutamente inviolabile non solo è un errore, ma una pericolosa sottovalutazione. Un toolkit chiamato Rockstar 2FA, sta prendendo di mira gli utenti di Microsoft 365 e Google con attacchi sofisticati che sfruttano la tecnica Adversary-in-the-Middle (AiTM). Questo metodo permette agli attaccanti di intercettare in tempo reale credenziali e cookie di sessione, bypassando anche le protezioni MFA più avanzate. Il Toolkit Rockstar 2FA è un kit di phishing-as-a-service (PhaaS) che, per una cifra contenuta di $200 per due settimane o $350 al mese, consente anche ai criminali informatici meno esperti di lanciare campagne sofisticate. Questo strumento

Come i Threat Actors Bypassano gli EDR con un semplice e banale Reboot

Alex Necula 22/11/2024

Sono venuto a conoscenza di questa tecnica circa 9 mesi fa e ora sto analizzando un attacco condotto da Qilin Ransomware Gang, quindi è giunto il momento di parlarne per far conoscere questa nuova tecnica. Una delle cose più importanti per la sicurezza negli EDR è la possibilità di intercettare le chiamate al kernel. A questo scopo, i venditori di EDR utilizzano i driver MiniFilter che si caricano all’avvio. Ma cosa succede quando questi driver vengono forzati a essere disabilitati dall’attaccante? L’attaccante può tranquillamente effettuare chiamate al kernel senza essere intercettato dagli EDR. Quando Windows carica un driver MiniFilter, c’è un ordine per caricarlo; questo

Quando l’Antivirus diventa un’Arma! RansomHub utilizza TDSSKiller per infiltrarsi nelle reti

Redazione RHC 11/09/2024

Il team di Malwarebytes ha scoperto che il gruppo ransomware RansomHub utilizza lo strumento legittimo TDSSKiller per disabilitare gli strumenti EDR su un dispositivo. Oltre a TDSSKiller, i criminali informatici utilizzano anche LaZagne per raccogliere dati. Questi programmi sono conosciuti da tempo tra i criminali informatici, ma questa è la prima volta che vengono utilizzati da RansomHub. LaZagne è un’utilità per estrarre password da varie applicazioni e sistemi, che può aiutare nei test di penetrazione. TDSSKiller, originariamente sviluppato da Kaspersky Lab per rimuovere i rootkit, è stato utilizzato per disabilitare i sistemi EDR. Dopo aver condotto una ricognizione e identificato gli account con privilegi elevati, RansomHub ha tentato

Categorie