Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Cerca
UtiliaCS 970x120
Banner Ancharia Mobile 1

Tag: Malware

Arriva Spiderman: il nuovo PhaaS che colpisce banche e criptovalute in Europa

Redazione RHC 17/12/2025

I ricercatori di Varonis hanno scoperto una nuova piattaforma PhaaS, chiamata Spiderman , che prende di mira gli utenti di banche e servizi di criptovaluta in Europa. Gli aggressori utilizzano il servizio per creare copie di siti web legittimi per rubare credenziali di accesso, codici 2FA e informazioni sulle carte di credito. Secondo gli esperti, la piattaforma è rivolta a istituti finanziari di cinque paesi europei e a grandi banche come Deutsche Bank, ING, Comdirect, Blau, O2, CaixaBank, Volksbank e Commerzbank. Tuttavia, gli attacchi non si limitano alle banche. Spiderman può anche creare pagine di phishing per servizi fintech come Klarna e

Supply Chain. Aggiornavi Notepad++ e installavi malware: cosa è successo davvero

Redazione RHC 16/12/2025

Una nuova versione, la 8.8.9, del noto editor di testo Notepad++, è stata distribuita dagli sviluppatori, risolvendo una criticità nel sistema di aggiornamento automatico. Questo problema è venuto a galla dopo che alcuni utilizzatori e investigatori hanno rilevato che, anziché scaricare legittimi aggiornamenti, il sistema provvedeva a scaricare eseguibili dannosi. I primi indizi del problema sono emersi nei forum della comunità di Notepad++. Un utente ha segnalato, ad esempio, di aver riscontrato che l’aggiornamento dello strumento GUP.exe (WinGUp) stava eseguendo un file che sembrava sospetto, %Temp%AutoUpdater.exe, il quale aveva iniziato a raccogliere dati relativi al sistema. Il malware eseguiva i tipici comandi

Sviluppatori nel mirino: malware nascosto nel marketplace di Visual Studio Code

Redazione RHC 15/12/2025

Una campagna di malware sofisticata è stata individuata all’interno del marketplace di Visual Studio Code (VS Code). I ricercatori di ReversingLabs (RL) sono riusciti a identificare 19 estensioni malevole che sono state in grado di eludere con successo i metodi standard di rilevamento, occultando i loro payload all’interno delle cartelle delle dipendenze in modo profondo. Attiva da febbraio 2025, utilizza una combinazione astuta di tecniche di “typosquatting-adjacent” e steganografia al fine di compromettere i computer degli sviluppatori. “I file dannosi hanno abusato di un pacchetto npm legittimo per eludere il rilevamento e hanno creato un archivio contenente file binari dannosi che si

Il Day-One del Caos di React2Shell! Spie, criminali e cryptominer si contendono i server

Redazione RHC 13/12/2025

Un recente resoconto del gruppo Google Threat Intelligence (GTIG) illustra gli esiti disordinati della diffusione di informazioni, mettendo in luce come gli avversari più esperti abbiano già preso piede all’interno delle reti dei soggetti colpiti. Una vulnerabilità critica, identificata come CVE-2025-55182, è stata segnalata alla comunità della sicurezza il 3 dicembre 2025, riguardante React Server Components (RSC). Questa falla di sicurezza, con un punteggio CVSS massimo di 10,0, permette a malintenzionati di eseguire codice arbitrario su un server mediante l’invio di una sola richiesta HTTP appositamente strutturata, senza necessità di autenticazione. Il mondo informatico ha reagito con prontezza. Subito dopo la notizia

Attacco informatico ai server del Ministero dell’Interno Francese

Redazione RHC 12/12/2025

I server di posta elettronica del Ministero dell’Interno in Francia sono stati presi di mira da un attacco informatico. L’hacker è riuscito ad accedere a “diversi file”, ma al momento non è stata rilevata alcuna “grave compromissione”. La notizia, rivelata da BFMTV , è stata confermata dal Ministro dell’Interno Laurent Nuñez alla radio RTL. “C’è stato un attacco informatico“, ha affermato. “Un aggressore è riuscito ad accedere a diversi file “. La natura e il numero dei file coinvolti non sono ancora noti, secondo Laurent Nuñez, che ha specificato di non avere “tracce di compromissione grave” in questa fase. Sono state implementate

NanoRemote: il malware che trasforma il cloud in un centro di comando e controllo

Redazione RHC 12/12/2025

Un nuovo trojan multifunzionale per Windows chiamato NANOREMOTE utilizza un servizio di archiviazione file su cloud come centro di comando, rendendo la minaccia più difficile da rilevare e offrendo agli aggressori un canale persistente per rubare dati e fornire download aggiuntivi. La minaccia è stata segnalata da Elastic Security Labs, che ha confrontato il malware con il già noto impianto FINALDRAFT, noto anche come Squidoor, che si basa su Microsoft Graph per comunicare con gli operatori. Entrambi gli strumenti sono associati al cluster REF7707, segnalato come CL-STA-0049, Earth Alux e Jewelbug, e attribuiti ad attività di spionaggio cinese contro agenzie governative, appaltatori

NetSupport RAT: il malware invisibile che gli antivirus non possono fermare

Redazione RHC 11/12/2025

Gli specialisti di Securonix hanno scoperto una campagna malware multilivello volta a installare segretamente lo strumento di accesso remoto NetSupport RAT. L’attacco si sviluppa attraverso una serie di fasi accuratamente nascoste, ciascuna progettata per garantire la massima discrezione e lasciare tracce minime sul dispositivo compromesso. Il download iniziale del codice dannoso inizia con un file JavaScript iniettato nei siti web hackerati. Questo script ha una struttura complessa e una logica nascosta che si attiva solo quando vengono soddisfatte determinate condizioni. È in grado di rilevare il tipo di dispositivo dell’utente e anche di registrare se è la prima volta che visita la

L’EDR è inutile! Gli hacker di DeadLock hanno trovato un “kill switch” universale

Redazione RHC 11/12/2025

Cisco Talos ha identificato una nuova campagna ransomware chiamata DeadLock: gli aggressori sfruttano un driver antivirus Baidu vulnerabile (CVE-2024-51324) per disabilitare i sistemi EDR tramite la tecnica Bring Your Own Vulnerable Driver (BYOVD). Il gruppo non gestisce un sito di fuga di dati ma comunica con le vittime tramite Session Messenger. Secondo Talos gli attacchi vengono eseguiti da un operatore motivato finanziariamente che ottiene l’accesso all’infrastruttura della vittima almeno cinque giorni prima della crittografia e prepara gradualmente il sistema per l’implementazione di DeadLock. Uno degli elementi chiave della catena è BYOVD : gli aggressori stessi introducono nel sistema un driver Baidu Antivirus

Supply chain: Notepad++ rafforza la sicurezza dopo un grave incidente di dirottamento del traffico

Redazione RHC 11/12/2025

Notepad++ è spesso preso di mira da malintenzionati perché il software è popolare e ampiamente utilizzato. Una vulnerabilità recentemente scoperta nell’editor di testo e codice open source Notepad++ potrebbe consentire agli aggressori di dirottare il traffico di rete, compromettere il processo di aggiornamento e installare malware sui computer interessati. Questa falla è stata ora corretta nella versione 8.8.9 di Notepad++. Gli utenti che utilizzano versioni precedenti dovrebbero eseguire immediatamente una scansione approfondita con un software di sicurezza affidabile. I loro sistemi potrebbero essere già stati compromessi; nei casi più gravi, una reinstallazione completa del sistema potrebbe essere l’unica soluzione affidabile. Secondo gli

React2Shell sfruttata da Lazarus? Nasce EtherRAT, il malware che vive sulla blockchain

Redazione RHC 11/12/2025

Appena due giorni dopo la scoperta della vulnerabilità critica di React2Shell, i ricercatori di Sysdig hanno scoperto un nuovo malware, EtherRAT, in un’applicazione Next.js compromessa. Il malware utilizza gli smart contract di Ethereum per la comunicazione e ottiene persistenza sui sistemi Linux in cinque modi. Gli esperti ritengono che il malware sia correlato agli strumenti utilizzati dal gruppo nordcoreano Lazarus. Tuttavia, EtherRAT differisce dai campioni noti per diversi aspetti chiave. React2Shell (CVE-2025-55182) è una vulnerabilità critica nella popolare libreria JavaScript React di Meta.Il problema, che ha ricevuto un punteggio CVSS di 10 su 10, è correlato alla deserializzazione non sicura dei dati

Categorie