Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Inglese Spagnolo
Cerca
Redhotcyber Banner Sito 970x120px Uscita 101125
Banner Mobile

Tag: Malware

Vuoi un Editor PDF gratuito? Hai scaricato un malware incluso nel pacchetto premium

Redazione RHC 30/08/2025

Una campagna malware complessa è stata scoperta, mirata a utenti alla ricerca di programmi gratuiti per modificare PDF. Un’applicazione dannosa, travestita da “AppSuite PDF Editor” legittimo, viene diffusa da criminali informatici. Gli autori della minaccia dietro questa campagna hanno dimostrato un’audacia senza precedenti inviando il loro malware alle aziende antivirus come falsi positivi, nel tentativo di far rimuovere i rilevamenti di sicurezza. Il programma di installazione, creato utilizzando il set di strumenti open source WiX, scarica immediatamente il programma effettivo dell’editor PDF da vault.appsuites.ai dopo l’esecuzione e l’accettazione del Contratto di licenza con l’utente finale. Il malware, è confezionato come file Microsoft

Vulnerabilità critiche in aumento verticale! Consapevolezza, Patching e Controlli la chiave

Redazione RHC 30/08/2025

Secondo un report di Kaspersky Lab, nel secondo trimestre del 2025 l’utilizzo delle vulnerabilità è aumentato in modo significativo: quasi tutti i sottosistemi dei computer moderni sono stati attaccati, dal UEFI ai driver dei browser, ai sistemi operativi e alle applicazioni. Come in precedenza, gli aggressori continuano a sfruttare tali vulnerabilità in attacchi reali per ottenere l’accesso ai dispositivi degli utenti e a combinarle attivamente con i framework C2 in complesse operazioni mirate. Un’analisi delle statistiche CVE degli ultimi 5 anni mostra un costante aumento del numero totale di vulnerabilità registrate. Se all’inizio del 2024 se ne contavano circa 2.600, a gennaio

Iran Cyber Army: spear-phishing contro i governi di mezzo mondo (Italia inclusa!)

Redazione RHC 29/08/2025

Una recente analisi di Cyber Threat Intelligence (CTI) condotta da DREAM ha svelato i dettagli di una complessa campagna di spear-phishing avvenuta nell’agosto 2025. L’attacco, attribuito a un gruppo allineato all’Iran, noto come Homeland Justice, ha sfruttato un’infrastruttura già compromessa per raggiungere obiettivi sensibili a livello globale. La peculiarità di questa operazione risiede nell’utilizzo di un account di posta elettronica violato appartenente al Ministero degli Affari Esteri dell’Oman, che ha fornito una copertura di legittimità per le comunicazioni malevole. Le e-mail di phishing contenevano un allegato dannoso, un documento di Microsoft Word, che rappresentava il primo anello della catena di infezione. All’interno

60 Gems Dannose su RubyGems: Furto di Credenziali con Typosquatting

Redazione RHC 29/08/2025

È stato scoperto che RubyGems conteneva 60 pacchetti dannosi che si spacciavano per strumenti innocui per l’automazione di social network, blog e servizi di messaggistica. I codici malevoli rubavano le credenziali degli utenti e sono state scaricate più di 275.000 volte da marzo 2023. Gli esperti di Socket, che hanno individuato la campagna, riferiscono che i pacchetti erano rivolti principalmente agli utenti sudcoreani che utilizzano strumenti di automazione per lavorare con TikTok, X, Telegram, Naver, WordPress, Kakao e così via. L’elenco completo dei pacchetti dannosi è disponibile nel rapporto Socket. Di seguito sono riportati esempi di typosquatting utilizzati dagli aggressori. Il malware

La Democratizzazione della Criminalità informatica è arrivata! “Non so programmare, ma scrivo ransomware”

Redazione RHC 28/08/2025

I criminali informatici stanno rapidamente padroneggiando l’intelligenza artificiale generativa, e non stiamo più parlando di lettere di riscatto “spaventose”, ma di sviluppo di malware a tutti gli effetti. Il team di ricerca di Anthropic ha riferito che gli aggressori si affidano sempre più a modelli linguistici di grandi dimensioni, fino all’intero ciclo di creazione e vendita di strumenti di crittografia dei dati. Parallelamente, ESET ha descritto un concetto di attacco in cui i modelli locali, dal lato dell’aggressore, assumono le fasi chiave dell’estorsione. La totalità delle osservazioni mostra come l‘intelligenza artificiale rimuova le barriere tecniche e acceleri l’evoluzione degli schemi ransomware. Secondo

Dal 2026 basta app “fantasma”: Android accetterà solo sviluppatori verificati

Redazione RHC 27/08/2025

I rappresentanti di Google hanno annunciato che dal 2026, solo le app di sviluppatori verificati potranno essere installate sui dispositivi Android certificati. Questa misura mira a contrastare malware e frodi finanziarie e riguarderà le app installate da fonti terze. Il requisito si applicherà a tutti i “dispositivi Android certificati”, ovvero i dispositivi che eseguono Play Protect e hanno le app Google preinstallate. Nel 2023, il Google Play Store ha introdotto requisiti simili e, secondo l’azienda, ciò ha portato a un netto calo di malware e frodi. Ora i requisiti saranno obbligatori per qualsiasi app, comprese quelle distribuite tramite app store di terze

Arriva PromptLock. Il primo Ransomware con Intelligenza Artificiale per Windows e Linux

Redazione RHC 27/08/2025

Finalmente (detto metaforicamente), ci siamo arrivati. Gli esperti di ESET hanno segnalato il primo programma ransomware in cui l’intelligenza artificiale gioca un ruolo chiave. Il nuovo campione è stato chiamato PromptLock. È scritto in Go e utilizza il modello locale gpt-oss:20b di OpenAI tramite l’interfaccia Ollama per generare script Lua dannosi in tempo reale. Gli script vengono eseguiti direttamente sul dispositivo e consentono al programma di elencare i file sul disco, analizzarne il contenuto, scaricare i dati selezionati e crittografarli. Il codice funziona in egual modo su Windows, Linux e macOS, il che rende la minaccia multipiattaforma. Secondo l’idea dell’autore, il malware

Perché il Task Scheduler è diventato il peggior incubo dei team di sicurezza

Redazione RHC 25/08/2025

Negli ultimi dodici mesi, gli esperti di sicurezza hanno notato un incremento degli attaccanti che utilizzano le funzionalità di pianificazione di Windows, previste per la gestione sistemistica, al fine di stabilizzare la loro presenza all’interno di sistemi già stati violati. All’interno dei processi di Task Scheduler vengono integrati comandi dannosi che si attivano in concomitanza con l’avvio, l’accesso o a intervalli di tempo prestabiliti, permettendo agli aggressori di acquisire un accesso occulto e persistente, in grado di eludere con frequenza i sistemi di rilevamento standard. A differenza dei rootkit elaborati o degli exploit zero-day, queste tecniche sfruttano le funzionalità integrate del sistema,

RapperBot, la botnet DDoS è stata smantellata e arrestato il presunto sviluppatore

Redazione RHC 23/08/2025

Il Dipartimento di Giustizia degli Stati Uniti ha incriminato il presunto sviluppatore e amministratore della botnet DDoS RapperBot, concessa in leasing a criminali informatici. La botnet stessa è stata sequestrata dalle forze dell’ordine all’inizio di agosto nell’ambito dell’operazione PowerOff. RapperBot (noto anche come Eleven Eleven e CowBot) è stato scoperto per la prima volta dagli analisti di Fortinet nell’agosto 2021. All’epoca, si segnalava che la botnet basata su Mirai era attiva da maggio 2021 e aveva infettato decine di migliaia di videoregistratori digitali (DVR) e router. La potenza degli attacchi DDoS effettuati con il suo ausilio variava da 2 a 6 Tbit/s.

Un Criminal Hacker vende gli accessi ai server della Roche nelle underground

Redazione RHC 22/08/2025

Un recente post comparso in un forum underground ha attirato l’attenzione degli esperti di sicurezza informatica. Un utente ha dichiarato di aver venduto accesso amministrativo di Roche, colosso farmaceutico con oltre 100mila dipendenti e un fatturato di circa 69,7 miliardi di dollari. Il messaggio, corredato dal logo dell’azienda e da link a siti informativi pubblici, è stato presentato come una sorta di “trofeo” condiviso all’interno della community criminale. È probabile che l’intento sia stato quello di guadagnare credibilità presso altri utenti e attirare potenziali acquirenti interessati ad accessi di alto valore. Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente

Categorie