Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Cerca
LECS 970x120 1
TM RedHotCyber 320x100 042514

Tag: Malware

Gravity Forms sotto attacco: plugin WordPress infettato con una backdoor

Redazione RHC 15/07/2025

Il popolare plugin di WordPress Gravity Forms ha subito un attacco alla supply chain, che ha infettato il sito ufficiale con una backdoor. Gravity Forms è un plugin premium per la creazione di moduli di contatto, di pagamento e altri moduli online. Secondo le statistiche ufficiali, è installato su circa un milione di siti web, alcuni dei quali appartengono a organizzazioni note come Airbnb, Nike, ESPN, Unicef e Google. Gli specialisti di PatchStack avvisano di aver ricevuto segnalazioni di richieste sospette generate da plugin scaricati dal sito web ufficiale di Gravity Forms. Dopo aver esaminato il plugin, i ricercatori hanno confermato che

Io uso macOS perchè è sicuro! A voi Atomic Stealer: 1000 euro al mese con funzionalità di backdoor

Redazione RHC 14/07/2025

I ricercatori hanno scoperto una nuova versione del malware Atomic Stealer per macOS (noto anche come AMOS). Il malware ora è dotato di una backdoor che consente l’accesso ai sistemi hackerati. Gli esperti di MacPaw hanno studiato la backdoor Atomic dopo aver ricevuto informazioni dal ricercatore indipendente di sicurezza informatica g0njxa. Scrivono che il nuovo componente consente di eseguire comandi arbitrari, “sopravvive” dopo il riavvio e consente di mantenere il controllo sugli host infetti per un tempo illimitato. “Le campagne di distribuzione di AMOS hanno già raggiunto più di 120 paesi, con i più colpiti tra Stati Uniti, Francia, Italia, Regno Unito

Il Ministero degli Esteri italiano preso di mira in una campagna di spionaggio da Gruppo DoNot APT

Redazione RHC 11/07/2025

Secondo Trellix, il gruppo DoNot APT ha recentemente condotto una campagna di spionaggio informatico in più fasi, prendendo di mira il Ministero degli Affari Esteri italiano. Il gruppo, attribuito da diverse società di intelligence sulle minacce informatiche all’India, si è spacciato per funzionari della difesa europei, menzionando la loro visita in Bangladesh, e ha indotto le sue vittime a cliccare su un link dannoso di Google Drive. DoNot APT, noto anche come APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 e Viceroy Tiger, è attivo almeno dal 2016. Il gruppo si concentra tradizionalmente su campagne di spionaggio informatico con interessi geopolitici nell’Asia meridionale. Le

Scoperta IconAds: 352 app dannose sul Google Play Store inviavano pubblicità intrusive

Redazione RHC 10/07/2025

Human Security ha scoperto una campagna pubblicitaria fraudolenta chiamata IconAds. I ricercatori hanno identificato 352 app dannose nel Google Play Store. Secondo gli esperti, tali applicazioni visualizzavano sullo schermo pubblicità intrusive e fuori contesto e nascondevano le loro icone dalla schermata principale del dispositivo, rendendone difficile la rimozione. Al suo apice, la truffa generava oltre 1,2 miliardi di richieste pubblicitarie al giorno. La stragrande maggioranza del traffico correlato a IconAds proveniva da Brasile, Messico e Stati Uniti. Al momento, tutte le applicazioni infette da IconAds sono già state rimosse dagli specialisti di Google dallo store ufficiale di Android. IconAds è una variante

Exploit RCE 0day per WinRAR e WinZIP in vendita su exploit.in per email di phishing da urlo

Redazione RHC 10/07/2025

In questi giorni, sul noto forum underground exploit.in, attualmente chiuso e accessibile solo su invito – sono stati messi in vendita degli exploit per una vulnerabilità di tipo 0day che colpiscono i noti software WinRAR e WinZIP. L’annuncio, pubblicato dall’utente zeroplayer, propone tali exploit tra 80.000 e 100.000 dollari. Specifica che non si tratta di un semplice 1day (cioè un exploit per una vulnerabilità già nota come CVE-2025-6218), ma di un bug sconosciuto e non ancora patchato. Cosa sono gli exploit e cosa significa “0day” Gli exploit sono strumenti o porzioni di codice che permettono di sfruttare vulnerabilità software per ottenere comportamenti

La suite Shellter Elite utilizzata dai Red Team per il bypass degli EDR, ora viene usata dal cybercrime

Redazione RHC 09/07/2025

Shellter Project, produttore di un downloader commerciale per bypassare i sistemi antivirus ed EDR, ha segnalato che gli hacker stanno utilizzando il suo prodotto Shellter Elite per gli attacchi. Questo è dovuto in quanto uno dei suoi clienti ha diffuso una copia del software in rete. Secondo il produttore, l’abuso sarebbe in corso da diversi mesi e, nonostante i ricercatori di sicurezza abbiano notato l’attività, i rappresentanti di Shellter non hanno ricevuto alcuna notifica fino a poco tempo fa. L’azienda sottolinea che questo è il primo caso noto di uso improprio del prodotto dall’introduzione del rigido modello di licenza nel febbraio 2023.

PuTTY si trasforma in Trojan! Con Malwertising e SEO Poisoning, una falsa App installa Redline Stealer

Redazione RHC 08/07/2025

Quanti di voi conoscono il celebre client SSH Putty? E quanti di voi l’ha installato scaricandolo da internet senza fare attenzione alla firma rilasciata dal produttore? Se ricadi in questo caso, la prossima volta potrebbe capitare a te! Gli esperti di sicurezza di Arctic Wolf hanno identificato una nuova ondata di attacchi di avvelenamento SEO volti a distribuire un noto downloader dannoso chiamato Oyster, noto anche come Broomstick o CleanUpLoader. I truffatori utilizzano siti web falsi che imitano le risorse ufficiali di utility popolari come PuTTY e WinSCP per ingannare gli utenti, principalmente professionisti IT, che cercano questi strumenti sui motori di

Alla scoperta di Drumrlu. L’IaB che fa grossi affari tra Turchia e Venezuela

Antonio Piovesan 08/07/2025

Dopo estremo oriente e Iran, continuiamo la nostra serie di articoli su attori di tipo IAB con un attore che si pensa sia di base in Europa, in un paese NATO. Origine e attribuzione Secondo i ricercatori di KelaCyber (vendor di servizi di Cyber Threat Intelligence di Tel Aviv, Israele), l’attore Drumrlu, è uno IAB che presumibilmente ha base in Turchia. Drumrlu è anche noto con il nome/moniker “3LV4N”. Come visto nel primo articolo sull’access broker miyako, lo ricerca delle entrate delle vittime da parte dello IAB, è una pratica molto comune per questi attori, i cui post tendono appunto a menzionare

Falso leak Pegasus: nessun codice NSO, solo RAT e propaganda

Pietro Melillo 07/07/2025

Il 1 luglio 2025 il canale Telegram “APT IRGC” ha pubblicato l’archivio Pegasus-prv.zip (390 MB) rivendicando una fuga di materiale sullo spyware Pegasus di NSO Group. APT IRGC (Advanced Persistent Threat – Islamic Revolutionary Guard Corps) è un acronimo per identificare gruppi di cyber-spionaggio legati all’Iran, ritenuti affiliati o controllati direttamente dal Corpo delle Guardie Rivoluzionarie Islamiche (IRGC). Questi gruppi operano principalmente con finalità politiche, militari e di sorveglianza interna/esterna, e sono responsabili di campagne offensive contro infrastrutture critiche, oppositori politici, e governi stranieri. Nota: Il nome “APT IRGC” non si riferisce a un singolo gruppo tecnico ma a una famiglia di

Arriva 123 Stealer! 120 dollari al mese in abbonamento, per rubare qualsiasi dato riservato

Redazione RHC 07/07/2025

Un nuovo infostealer emerge dalle underground criminali e il suo nome è “123 | Stealer”. L’autore di questo software è un hacker che si nasconde sotto lo pseudonimo di koneko. Offre in affitto il malware per 120 dollari al mese, presentandolo come uno strumento universale per il furto di informazioni riservate. Il programma è progettato con particolare attenzione alle prestazioni e alla mobilità. Secondo l’autore, “123 | Stealer” è scritto in C++, non richiede librerie aggiuntive e le sue dimensioni sono di circa 700 kilobyte. Il malware viene distribuito come un file eseguibile autonomo compatto, il che ne complica il rilevamento da

Categorie