Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Cerca
Fortinet 970x120px
320x100 Itcentric

Tag: Malware

ClickFix: la truffa che inganna gli utenti Mac e installa il trojan AMOS

I criminali informatici hanno lanciato una campagna su larga scala contro gli utenti macOS, camuffando malware da programmi popolari. Lo ha segnalato LastPass, che ha scoperto che anche il suo prodotto era stato falsificato. Il malware viene distribuito tramite falsi repository GitHub ottimizzati per i motori di ricerca, che gli consentono di apparire in cima ai risultati di ricerca di Google e Bing. L’attacco utilizza lo schema ClickFix: alla vittima viene chiesto di inserire un comando nel terminale, presumibilmente per installare un’applicazione. In realtà, la vittima esegue una richiesta curl a un URL crittografato e scarica lo script install.sh nella directory /tmp.

Scoperto il primo malware con GPT-4 integrato: arriva MalTerminal

I ricercatori di SentinelLABS hanno individuato quello che descrivono come il primo esempio noto di malware con funzionalità LLM integrate, battezzato MalTerminal. La scoperta è stata presentata al LABScon 2025, dove è stata mostrata un’ampia gamma di artefatti: un binario Windows, diversi script Python e strumenti ausiliari che dimostrano come GPT-4 sia stato sfruttato per generare dinamicamente codice malevolo, come ransomware o reverse shell. Il campione analizzato conteneva un endpoint API riferito al vecchio servizio OpenAI Chat Completions, dismesso a novembre 2023. Questo suggerisce che MalTerminal sia stato sviluppato prima di tale data, rendendolo un early sample di malware con LLM incorporato.

RevengeHotels migliora VenomRAT con l’uso dell’intelligenza artificiale

Gli esperti di Kaspersky Lab hanno rilevato una nuova ondata di attacchi da parte del gruppo RevengeHotels. Una caratteristica distintiva di questa campagna è che molti dei nuovi campioni di malware sono stati creati utilizzando l’intelligenza artificiale. RevengeHotels (noto anche come TA558) è attivo dal 2015 ed è specializzato nel furto di dati delle carte di credito di ospiti di hotel e viaggiatori. Gli hacker criminali inviano in genere email con link di phishing che reindirizzano i visitatori a siti web camuffati da siti di archiviazione documenti. Questi siti web scaricano script dannosi che infettano i computer presi di mira. I payload

Allarme sicurezza: vulnerabilità in Ivanti Endpoint Manager Mobile. Il CISA Avverte

La Cybersecurity Agency (CISA) statunitense ha emesso un avviso riguardante due kit malware scoperti sulla rete di un’organizzazione non identificata dopo aver sfruttato nuove vulnerabilità nel sistema di gestione dei dispositivi mobili Ivanti Endpoint Manager Mobile (EPMM). Gli aggressori hanno sfruttato le vulnerabilità CVE-2025-4427 e CVE-2025-4428, entrambe utilizzate in attacchi zero-day prima del rilascio degli aggiornamenti di Ivanti a maggio 2025. La prima vulnerabilità consente di bypassare l’autenticazione e accedere a risorse protette, mentre la seconda consente l’esecuzione di codice arbitrario da remoto. Insieme, consentono l’esecuzione non autorizzata di comandi arbitrari sul server EPMM vulnerabile. CISA osserva che l’attacco è iniziato intorno

L’Italia passa al contrattacco cyber! Dopo il decreto Aiuti, nuovo provvedimento alla camera

Un disegno di legge volto a potenziare la presenza delle Forze Armate nello spazio cibernetico è stato sottoposto all’esame della Camera. Il provvedimento, sostenuto dal presidente della Commissione Difesa Nino Minardo, mira ad adeguare le disposizioni attualmente in vigore, estendendo le competenze del Ministero della Difesa in ambito cibernetico, anche al di fuori di contesti bellici tradizionali e in tempo di pace. L’obiettivo dichiarato è quello di proteggere istituzioni, infrastrutture critiche e cittadini da minacce digitali sempre più pervasive. Il provvedimento introduce inoltre percorsi di formazione specifica in ambito cyber defence per il personale militare e prevede la possibilità di avvalersi di

Qilin Ransomware Colpisce Nel Profondo la Finanza Sudcoreana

Immaginate di svegliarvi una mattina e scoprire che i vostri dati finanziari sensibili – contratti, liste clienti, strategie di investimento – sono esposti su un sito nascosto del dark web, con un timer che minaccia di renderli pubblici se non pagate un riscatto. È esattamente ciò che è accaduto a dieci società di asset management in Corea del Sud, vittime della campagna “Korean Leak” orchestrata dal gruppo ransomware Qilin. La Campagna “Korean Leak”: Le Dieci Vittime e i Dati Esposti Attraverso attività di monitoraggio CTI e OSINT — con fonti come Ransomware.live e H4ckmanac — è emerso che il gruppo Qilin ha

Supply Chain Wormable? Arrivano i pacchetti NPM con malware auto-propagante

I ricercatori di sicurezza hanno scoperto la compromissione di oltre 180 pacchetti npm, infettati da un malware auto-propagante progettato per infettare altri pacchetti. La campagna, soprannominata Shai-Hulud, è probabilmente iniziata con l’hacking del pacchetto @ctrl/tinycolor, scaricato oltre 2 milioni di volte a settimana. Il nome Shai-Hulud deriva dai file shai-hulud.yaml utilizzati dal malware. È un riferimento ai giganteschi vermi delle sabbie di Dune di Frank Herbert. Il problema è stato portato per la prima volta all’attenzione dello sviluppatore Daniel Pereira, che ha avvisato la comunità di un attacco su larga scala alla catena di fornitura. “In questo momento, mentre leggete questo, è

Phishing con stile! I cyber criminali allegano GIF dei supereroi nel malware

Gli analisti di F6 hanno pubblicato uno studio su una nuova campagna di phishing attiva dalla primavera del 2025. Il gruppo, denominato ComicForm, ha inviato e-mail contenenti allegati dannosi ad aziende russe, bielorusse e kazake nei settori industriale, finanziario, turistico, biotecnologico e altri. La prima e-mail registrata con oggetto “Report di verifica per firma” è stata inviata il 3 giugno 2025. L’allegato conteneva un archivio contenente un file eseguibile che ha avviato una catena di infezione in più fasi. Durante l’attivazione, sono stati scaricati un loader .NET offuscato, il modulo MechMatrix Pro.dll e il dropper Montero.dll. Quest’ultimo è rimasto nel sistema, si

Azure Functions nel mirino: librerie legittime usate per il DLL Sideloading

Una versione dannosa dell’immagine ISO denominata Servicenow-BNM-Verify.iso è stata identificata su VirusTotal, segnalata come proveniente dalla Malesia con un livello di rilevamento praticamente nullo. All’interno dell’immagine sono presenti quattro file, di cui due visibili e due nascosti, un elemento che suggerisce un confezionamento studiato per ingannare le analisi superficiali. Tra i file visibili spicca un collegamento di Windows chiamato servicenow-bnm-verify.lnk che avvia PanGpHip.exe, un eseguibile legittimo prodotto da Palo Alto Networks. Nonostante il percorso di destinazione del collegamento punti a una directory inesistente sulle macchine vittima, il file LNK rimanda correttamente alla propria directory, garantendo l’esecuzione di PanGpHip.exe ogni volta che l’ISO

Linux colpito da Sindoor Dropper: infection chain altamente offuscata

I sistemi Linux sono presi di mira da una recente campagna di malware, conosciuta come “Sindoor Dropper”, che si avvale di tecniche di spear-phishing avanzate e di un processo di infezione complesso. Le vittime vengono ingannate con esche legate al conflitto recente tra Pakistan e India, conosciuto come Operazione Sindoor, spingendole a lanciare file nocivi. Secondo l’analisi del sistema Nextron, una volta eseguito, apre un PDF benigno per mantenere l’illusione di legittimità, mentre avvia silenziosamente in background un processo di infezione complesso e fortemente offuscato. Questo processo è progettato per eludere sia l’analisi statica che quella dinamica: il payload iniziale, al momento

Categorie