Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
English Spanish
Cerca
970x120
TM RedHotCyber 320x100 042514

Tag: cibersicurezza

Sviluppatori adescati, portafogli crypto svuotati. UNC5342 rispolvera EtherHiding

Redazione RHC 17/10/2025

Il team di Google Threat Intelligence Group (GTIG) ha rilevato che il gruppo di minaccia nordcoreano identificato come UNC5342 ha adottato la tecnica nota come EtherHiding per distribuire malware e agevolare il furto di criptovalute. Si tratta della prima osservazione documentata da GTIG in cui un attore legato a uno stato nazionale utilizza questo metodo. Il caso è descritto all’interno di una serie di analisi in due parti che esaminano come diversi avversari impieghino EtherHiding, una tecnica che sfrutta le blockchain pubbliche per conservare e recuperare payload malevoli, caratterizzata da elevata resilienza contro tentativi tradizionali di rimozione e blocco. Cenni su EtherHiding

Una nuova campagna di phishing su NPM coinvolge 175 pacchetti dannosi

Redazione RHC 15/10/2025

Gli aggressori stanno abusando dell’infrastruttura legittima npm in una nuova campagna di phishing su Beamglea. Questa volta, i pacchetti dannosi non eseguono codice dannoso, ma sfruttano il servizio CDN legittimo unpkg[.]com per mostrare agli utenti pagine di phishing. Alla fine di settembre, i ricercatori di sicurezza di Safety hanno identificato 120 pacchetti npm utilizzati in tali attacchi, ma ora il loro numero ha superato i 175, riferisce la società di sicurezza Socket. Questi pacchetti sono progettati per attaccare oltre 135 organizzazioni nei settori energetico, industriale e tecnologico. Tra gli obiettivi figurano Algodue, ArcelorMittal, Demag Cranes, D-Link, H2 Systems, Moxa, Piusi, Renishaw, Sasol,

WhatsApp Web nel mirino! Come funziona il worm che distribuisce il Trojan Bancario

Redazione RHC 14/10/2025

E’ stata individuata dagli analisti di Sophos, una complessa operazione di malware da parte di esperti in sicurezza, che utilizza il noto servizio di messaggistica WhatsApp come mezzo per diffondere trojan bancari, puntando a istituti di credito brasiliani ed a piattaforme di scambio di criptovalute. Un malware autoreplicante, emerso il 29 settembre 2025, è dotato di avanzate tecniche evasive e di complesse catene di infezione multiphase, finalizzate a superare le attuali protezioni di sicurezza. La campagna di attacco ha avuto un impatto esteso, coinvolgendo più di 1.000 endpoint in oltre 400 ambienti clienti, dimostrando l’efficacia e la vasta portata della minaccia. L’attacco

Criptovalute, ransomware e hamburger: la combo fatale per Scattered Spider

Redazione RHC 25/09/2025

Il Dipartimento di Giustizia degli Stati Uniti e la polizia britannica hanno incriminato Talha Jubair, 19 anni, residente nell’East London, che gli investigatori ritengono essere un membro chiave di Scattered Spider, un gruppo responsabile di una serie di attacchi estorsivi ai danni di importanti aziende e agenzie governative. Secondo il fascicolo, da maggio 2022 a settembre di quest’anno, gli aggressori hanno effettuato almeno 120 intrusioni, colpendo 47 organizzazioni negli Stati Uniti, e l’importo totale dei pagamenti ha superato i 115 milioni di dollari. Un caso parallelo a Londra riguarda un attacco a Transport for London nell’agosto 2024, in cui il diciottenne Owen

Mosca assume i Criminal Hacker che avevano colpito la Scuola Elettronica nel 2022 per migliorarla

Redazione RHC 30/08/2025

Ai partecipanti al cyberattacco alla Scuola Elettronica di Mosca è stato offerto di lavorare per migliorare la sicurezza informatica e altri servizi digitali dell’amministrazione della capitale. Tutto questo avviene a seguito del 17 settembre 2022, quando per tre giorni, studenti e insegnanti non hanno potuto caricare compiti, assegnare voti o utilizzare i servizi a causa di un attacco hacker. Reclutamento di talenti Le autorità di Mosca hanno assunto i criminal hacker dopo il loro attacco informatico alla piattaforma informatica della Scuola elettronica di Mosca (MES), scrive RBC. Secondo il vicesindaco di Mosca Anastasia Rakova, i partecipanti all’attacco informatico al MES hanno ricevuto

Arriva Charon Ransomware. Supera EDR, è Stealth e strizza l’occhio ai migliori APT

Redazione RHC 13/08/2025

Trend Micro ha rilevato un attacco mirato ai settori governativo e aeronautico in Medio Oriente, utilizzando un nuovo ransomware chiamato Charon. Gli aggressori hanno utilizzato una complessa catena di infezione con funzionalità di sideload di DLL, iniezione di processi e bypass EDR, tipiche delle operazioni APT avanzate che dei normali ransomware. Il vettore di attacco inizia con l’avvio di un file Edge.exe legittimo (in precedenza cookie_exporter.exe), che viene utilizzato per caricare una libreria msedge.dll dannosa, denominata SWORDLDR. Quest’ultima decifra lo shellcode crittografato dal file DumpStack.log e inietta il payload, ovvero Charon stesso, nel processo svchost.exe, mascherando l’attività come un servizio di sistema

Gli EDR vanno ancora offline! Crescono le minacce con i figli di EDRKillShifter

Redazione RHC 10/08/2025

Un nuovo strumento per disabilitare i sistemi EDR è apparso nell’ambiente dei criminali informatici , che gli esperti di Sophos ritengono essere un’estensione dell’utility EDRKillShifter . Il suo utilizzo è già stato registrato in attacchi da parte di 8 diversi gruppi, tra cui RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx e INC. Questi programmi consentono al ransomware di disabilitare le soluzioni di sicurezza sui dispositivi compromessi al fine di distribuire payload, aumentare i privilegi, spostarsi nella rete e, infine, crittografare i dati senza il rischio di essere rilevati. Il nuovo EDR Killer è un binario fortemente offuscato che si decodifica durante l’esecuzione

14,5 miliardi di dollari rubati a LuBian! E’ il più grande furto di criptovaluta della storia

Redazione RHC 04/08/2025

Nel dicembre 2020, il mining pool cinese LuBian, che all’epoca occupava quasi il 6% della capacità totale della rete Bitcoin, è stato vittima di un attacco la cui portata è stata rivelata solo ora. Il team di Arkham Intelligence ha scoperto che 127.426 BTC sono stati prelevati dai wallet del pool: all’epoca, l’importo era di 3,5 miliardi di dollari, mentre ora il suo valore è stimato a 14,5 miliardi di dollari. Questo rende l’incidente il più grande furto di criptovaluta della storia, persino prima del famigerato hack di Mt. Gox. Negli ultimi quattro anni non ci sono state dichiarazioni ufficiali da parte

Spionaggio digitale made in China: APT41 sfrutta SharePoint per infiltrarsi nei governi africani

Redazione RHC 04/08/2025

Il gruppo informatico APT41, collegato alla Cina, ha lanciato una nuova operazione di spionaggio contro i servizi IT governativi in Africa, una svolta inaspettata per una regione precedentemente considerata un obiettivo improbabile. Gli specialisti di Kaspersky Lab hanno identificato l’attacco dopo aver rilevato attività sospette sulle workstation di un’organizzazione non identificata. Gli aggressori hanno utilizzato strumenti di amministrazione remota ed eseguito comandi per garantire la disponibilità dei loro server di controllo all’interno della rete compromessa. Successivamente è stato rivelato che il punto di ingresso era un host non rintracciabile, dove il framework Impacket, inclusi i moduli Atexec e WmiExec, veniva avviato nel

Open Source nel mirino: Aumentano gli attacchi ai repositori dei pacchetti online

Redazione RHC 30/07/2025

Nelle ultime settimane, diversi sviluppatori open source sono stati colpiti da attacchi di phishing, che hanno infettato con malware i pacchetti, alcuni dei quali vengono scaricati 30 milioni di volte a settimana. Verso la fine della scorsa settimana, gli specialisti della sicurezza di Socket hanno segnalato la compromissione di 10 pacchetti npm di proprietà di Toptal, un marketplace freelance che aiuta le aziende a trovare sviluppatori, designer ed esperti finanziari. L’azienda gestisce anche i propri strumenti di sviluppo e sistemi di progettazione interni, tra cui Picasso, disponibili tramite GitHub e NPM. Secondo i ricercatori, il 20 luglio 2025, degli aggressori hanno hackerato

Categorie