Malware Archivi - Pagina 3 di 118

Red Hot Cyber

Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.

Tag: Malware

Allarme WhatsApp: un nuovo malware si diffonde come un virus tra i contatti

Redazione RHC 06/10/2025

I ricercatori di Trend Micro hanno rilevato una campagna malware su larga scala che prende di mira gli utenti in Brasile. Viene distribuita tramite la versione desktop di WhatsApp ed è caratterizzata da un elevato tasso di infezione. Il malware, denominato internamente SORVEPOTEL , non ruba dati né crittografa, come avviene di solito con spyware o ransomware. Il suo obiettivo principale è replicarsi il più rapidamente possibile e infettare nuovi sistemi. L’infezione inizia con un messaggio di phishing inviato da un contatto WhatsApp compromesso. Questo crea l’illusione di autenticità e invoglia la vittima ad aprire il file ZIP allegato. Il file è

SoopSocks: il pacchetto PyPI che sembrava un proxy ma era una backdoor per Windows

Antonio Piazzolla 04/10/2025

La storia di SoopSocks è quella che, purtroppo, conosciamo bene: un pacchetto PyPI che promette utilità — un proxy SOCKS5 — ma in realtà introduce un impianto malevolo ben orchestrato. Non stiamo parlando del solito script improvvisato; dietro SoopSocks c’è una catena di azioni pensata per ottenere persistenza, ridurre il rumore e stabilire un canale di comando/controllo stabile. Il pacchetto è stato pubblicato su PyPI (Python Package Index), il registro ufficiale dei pacchetti Python. Il pacchetto ingannevole, denominato “soopsocks“, ha totalizzato 2.653 download prima di essere rimosso. È stato caricato per la prima volta da un utente di nome “soodalpie” il 26 settembre 2025,

Google Drive si difende dal ransomware! Arriva l’AI che blocca gli attacchi

Redazione RHC 02/10/2025

Google ha presentato un nuovo strumento di intelligenza artificiale per Drive per computer desktop. Si dice che il modello sia stato addestrato su milioni di campioni di ransomware reali e possa sospendere la sincronizzazione per mitigare i danni di un attacco ransomware. Google Drive per desktop è un’applicazione progettata per sincronizzare Google Drive con Windows e macOS, che consente di mantenere la sincronizzazione dei file locali con l’archiviazione cloud. Gli sviluppatori affermano che la nuova intelligenza artificiale cercherà segnali che indicano la presenza di ransomware (come tentativi di crittografare o danneggiare un gran numero di file) e sarà in grado di sospendere

Falso installer di Microsoft Teams! Certificati usa-e-getta e una backdoor nel download

Antonio Piazzolla 29/09/2025

Negli ultimi giorni è stata individuata una campagna di malvertising che ha come bersaglio gli utenti aziendali che cercano di scaricare Microsoft Teams. A prima vista, l’attacco sembra banale: un annuncio sponsorizzato porta a una pagina di download, l’utente scarica un file chiamato MSTeamsSetup.exe e lo avvia. Ma i dettagli fanno la differenza, e sono proprio questi dettagli che rendono l’operazione tanto insidiosa. Il file non è un normale eseguibile malevolo, è firmato digitalmente. Per molti, questo è sinonimo di affidabilità. In realtà, gli attaccanti hanno trovato un modo per sfruttare la fiducia nella firma digitale a proprio vantaggio: utilizzano certificati “usa-e-getta”,

Ransomware Akira: una nuova campagna colpisce i firewall SonicWall

Redazione RHC 28/09/2025

Dalla fine di luglio 2025 è stata registrata una nuova ondata di attacchi informatici che colpisce le organizzazioni dotate di firewall SonicWall, con la diffusione attiva del ransomware Akira. Secondo i ricercatori di Arctic Wolf Labs, l’attività malevola ha subito un incremento significativo e continua a persistere. Gli aggressori ottengono l’accesso iniziale attraverso connessioni VPN SSL compromesse, riuscendo a eludere l’autenticazione multifattore (MFA). Una volta entrati nella rete, passano rapidamente alla fase di crittografia: in alcuni casi, il tempo di permanenza prima del rilascio del ransomware è stato di appena 55 minuti. La vulnerabilità sfruttata e il ruolo delle credenziali rubate Gli

Nuova ondata di email dannose associate al gruppo Hive0117

Redazione RHC 27/09/2025

F6 ha segnalato una nuova ondata di email dannose associate al gruppo Hive0117. Hive0117 è attivo da febbraio 2022 e utilizza il trojan RAT DarkWatchman. Il gruppo maschera le sue campagne come messaggi provenienti da organizzazioni legittime, registra infrastrutture di posta e domini di controllo e talvolta li riutilizza. Secondo F6, l’attività di DarkWatchman è stata rilevata il 24 settembre, dopo diversi mesi di silenzio. Gli attacchi sono stati effettuati sotto le mentite spoglie del Federal Bailiff Service dall’indirizzo mail@fssp[.]buzz. Invii simili sono stati osservati a giugno e luglio. L’analisi ha rivelato i domini 4ad74aab[.]cfd e 4ad74aab[.]xyz. Gli attacchi hanno preso di

Rhadamanthys Stealer: introduce una funzione AI per estrarre seed phrase dalle immagini

Redazione RHC 26/09/2025

Rhadamanthys è uno stealer di informazioni avanzato comparso per la prima volta nel 2022. Caratterizzato da un ciclo di sviluppo rapido — con almeno dieci rilascio diversi dall’esordio — il malware viene promosso e commercializzato nei forum sotterranei. Nonostante il divieto imposto per il suo uso contro soggetti russi e/o di ex repubbliche sovietiche, il prodotto è ancora disponibile sul mercato clandestino; il prezzo parte da 250 dollari per 30 giorni di accesso, cifra che ne favorisce la diffusione tra i criminali informatici. Funzionalità e tecniche di evasione Rhadamanthys è progettato per raccogliere una vasta gamma di dati: informazioni di sistema, credenziali,

Active Directory nel mirino! Come i criminal hacker rubano NTDS.dit

Redazione RHC 26/09/2025

Active Directory (AD) contiene le chiavi digitali dell’organizzazione: l’accesso non autorizzato a questo servizio espone informazioni sensibili e credenziali che possono condurre a una compromissione totale del dominio. Tra gli asset più critici c’è il file NTDS.dit, che memorizza l’insieme dei dati di dominio e gli hash delle password. Questo articolo ricostruisce un caso reale in cui attori ostili hanno ottenuto privilegi elevati, hanno estratto NTDS.dit e hanno tentato la sua esfiltrazione eludendo controlli comuni. Il valore strategico di NTDS.dit In un ambiente Windows dominato da Active Directory, il file NTDS.dit (NT Directory Services Directory Information Tree) rappresenta il database centrale del

Arriva YiBackdoor: cosa c’è da sapere e come difendere la rete

Redazione RHC 26/09/2025

In un nuovo report, Zscaler ThreatLabz ha rivelato i dettagli di una nuova famiglia di malware chiamata YiBackdoor, osservata per la prima volta nel giugno 2025. Fin dall’inizio, l’analisi ha evidenziato corrispondenze significative del codice sorgente con i downloader IcedID e Latrodectus, ed è proprio questa connessione che Zscaler indica come fondamentale per comprendere la possibile origine e il ruolo del nuovo campione negli attacchi. Il malware è una libreria DLL modulare con un set base di funzioni di controllo remoto dell’host e un meccanismo di estensione basato su plugin. Di default, le funzionalità sono limitate, ma gli aggressori possono caricare moduli

Malware Fezbox: il pacchetto NPM che ruba cookie con i QRCode

Redazione RHC 25/09/2025

I ricercatori hanno scoperto un pacchetto dannoso chiamato fezbox in npm che ruba i cookie delle vittime. Per garantire che l’attività dannosa rimanga inosservata, vengono utilizzati codici QR per scaricare il malware dal server degli aggressori. Secondo i ricercatori di Socket, gli aggressori hanno trovato un nuovo utilizzo per i codici QR: nascondere codice dannoso al loro interno. Gli analisti hanno segnalato che il pacchetto contiene istruzioni nascoste per scaricare un’immagine JPG con un codice QR, che viene poi elaborato per lanciare un payload offuscato come parte della seconda fase dell’attacco. Al momento della scoperta del malware, il pacchetto era stato scaricato

Tag: Malware

Categorie