Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
English Spanish
Cerca
Banner Ancharia Desktop 1 1
UtiliaCS 320x100

Tag: Malware

Cobalt Strike per tutti con CrossC2! Prestiamo attenzione ai server Linux sprovvisti di EDR

Redazione RHC 15/08/2025

Il Giappone è stato colpito da una nuova ondata di attacchi informatici che hanno utilizzato CrossC2, uno strumento per estendere le funzionalità di Cobalt Strike alle piattaforme Linux e macOS. Il centro di coordinamento JPCERT/CC ha riferito che gli attacchi hanno avuto luogo tra settembre e dicembre 2024 e hanno interessato diversi paesi, tra cui il Giappone. L’analisi degli artefatti caricati su VirusTotal ha mostrato che gli aggressori hanno combinato CrossC2 con altri strumenti come PsExec, Plink e lo stesso Cobalt Strike per penetrare nell’infrastruttura di Active Directory. Cobalt Strike è stato caricato utilizzando un malware appositamente sviluppato chiamato ReadNimeLoader. CrossC2 è

Backdoor in xz Utils: 35 immagini Docker Hub ancora infette

Redazione RHC 14/08/2025

Gli analisti di Binarly hanno trovato almeno 35 immagini su Docker Hub ancora infette da una backdoor che ha penetrato xz Utils l’anno scorso. I ricercatori hanno avvertito che questo potrebbe potenzialmente mettere a rischio utenti, organizzazioni e i loro dati. Binarly spiega che molte pipeline CI/CD, sviluppatori e sistemi di produzione estraggono le immagini direttamente da Docker Hub, utilizzandole come base per i propri container. Se queste immagini vengono compromesse, ogni nuova build erediterà la vulnerabilità o il codice dannoso. Ricordiamo che una backdoor nel popolare pacchetto xz Utils fu scoperta accidentalmente nel 2024 e l’incidente ricevette molta attenzione. Di conseguenza,

Un malware ibrido creato con le AI colpisce le organizzazioni russe

Redazione RHC 14/08/2025

Nel secondo trimestre del 2025, gli specialisti del dipartimento di threat intelligence del centro di esperti di sicurezza Positive Technologies hanno registrato un aumento delle attività di gruppi di criminali informatici e hacktivisti contro organizzazioni russe. Il principale vettore di attacco è rimasto il phishing via e-mail, sia secondo scenari comuni che sfruttando vulnerabilità zero-day. È stato rilevato un aumento dei file dannosi, il cui codice era in parte generato da reti neurali: utilizzando i servizi di intelligenza artificiale disponibili, gli aggressori hanno rapidamente modificato i moduli per aggirare i sistemi di sicurezza. Il gruppo TA Tolik ha inviato archivi contenenti un

BadUSB. Uno Spyware nella webcam: il bug Lenovo che minaccia milioni di PC

Redazione RHC 11/08/2025

I ricercatori di Eclypsium hanno identificato pericolose vulnerabilità nelle webcam Lenovo 510 FHD e Lenovo Performance FHD che possono essere trasformate in dispositivi di attacco di tipo BadUSB. Il problema, denominato BadCam, è stato presentato al DEF CON 33. Gli esperti sottolineano che questo è il primo caso documentato in cui un dispositivo Linux già connesso a un computer può essere riprogrammato da remoto e utilizzato come dispositivo un USB dannoso. Gli attacchi BadUSB sono noti dal 2014, quando Karsten Nohl e Jakob Lell dimostrarono la capacità di modificare il firmware dei dispositivi USB per eseguire silenziosamente comandi e lanciare codice dannoso.

150 estensioni dannose Firefox hanno rubato criptovalute per 1 milione di dollari

Redazione RHC 10/08/2025

Gli analisti di Koi Security hanno scoperto la campagna malware GreedyBear attiva nello store dei componenti aggiuntivi di Mozilla. 150 estensioni dannose per Firefox hanno rubato agli utenti criptovalute per un valore di oltre 1 milione di dollari. I componenti aggiuntivi fraudolenti si spacciavano per estensioni di popolari portafogli di criptovalute di piattaforme note, tra cui MetaMask, TronLink, Exodus e Rabby Wallet. Inizialmente, venivano caricati sullo store senza codice dannoso per superare i controlli e venivano lasciati inattivi per un certo periodo, accumulando false recensioni positive. L’estensione non è ancora diventata dannosa. In una fase successiva dell’attacco, gli editori dell’estensione hanno rimosso

Gli EDR vanno ancora offline! Crescono le minacce con i figli di EDRKillShifter

Redazione RHC 10/08/2025

Un nuovo strumento per disabilitare i sistemi EDR è apparso nell’ambiente dei criminali informatici , che gli esperti di Sophos ritengono essere un’estensione dell’utility EDRKillShifter . Il suo utilizzo è già stato registrato in attacchi da parte di 8 diversi gruppi, tra cui RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx e INC. Questi programmi consentono al ransomware di disabilitare le soluzioni di sicurezza sui dispositivi compromessi al fine di distribuire payload, aumentare i privilegi, spostarsi nella rete e, infine, crittografare i dati senza il rischio di essere rilevati. Il nuovo EDR Killer è un binario fortemente offuscato che si decodifica durante l’esecuzione

Hai pagato per mesi una VPN che non ha fatto altro che spiarti

Redazione RHC 07/08/2025

La complessa infrastruttura della rete pubblicitaria fraudolenta VexTrio Viper è tornata alla ribalta dopo che i ricercatori di Infoblox hanno rivelato i dettagli di un massiccio schema di app mobile false . Sotto le mentite spoglie di servizi legittimi – dalle VPN alle utility di pulizia della RAM, dai filtri antispam alle app di incontri – i truffatori hanno inserito programmi dannosi negli store ufficiali di Apple e Google. Questi programmi sono stati distribuiti per conto di presunti sviluppatori diversi, tra cui HolaCode, LocoMind, Hugmi, Klover Group e AlphaScale Media. Il numero totale di download ammonta a milioni. Una volta installate, queste

SonicWall nel mirino: possibile vulnerabilità 0day, utenti a rischio

Redazione RHC 05/08/2025

Domenica scorsa, Red Hot Cyber ha pubblicato un approfondimento sull’aumento delle attività malevole da parte del ransomware AKIRA, che sembrerebbe sfruttare una vulnerabilità 0-day non documentata nei dispositivi SonicWall con SSLVPN attiva. L’articolo ha evidenziato una possibile correlazione tra l’incremento degli attacchi e un punto debole non ancora riconosciuto pubblicamente nei firewall Gen 7 dell’azienda statunitense. In risposta a queste segnalazioni e ad altri rilevamenti paralleli, SonicWall ha rilasciato un comunicato ufficiale. Nel comunicato, pubblicato il 4 agosto 2025, SonicWall conferma che nelle ultime 72 ore si è registrato un aumento significativo di incidenti informatici sia interni che esterni, riguardanti i firewall

Proxy Trickster: il gruppo di hacker dilettanti che vuole i server di tutto il mondo

Redazione RHC 05/08/2025

Gli specialisti di Solar 4RAYS di Solar Group hanno scoperto un nuovo gruppo di hacker, Proxy Trickster, dedito al mining di criptovalute e al proxyjacking (intercettazione del controllo dei server per la loro conversione e vendita). Nel corso di un anno, gli aggressori hanno attaccato quasi 900 server in 58 paesi. Nel marzo 2025, gli specialisti hanno indagato su un incidente di sicurezza informatica presso un’azienda informatica e hanno scoperto l’attività di un gruppo precedentemente sconosciuto, denominato Proxy Trickster. Gli hacker ricavano il loro reddito principale dal mining di criptovalute e dal proxyjacking, attività che consiste nell’assumere il controllo di server legittimi

Il malware si camuffa in una foto innocente su Dropbox. La strategia steganografica di APT37

Redazione RHC 04/08/2025

Gli specialisti del Genians Security Center hanno scoperto una versione migliorata del malware RoKRAT, associato al gruppo nordcoreano APT37. La nuova versione si distingue per un insolito modo di nascondere il codice dannoso: nel corpo delle normali immagini JPEG. Questo approccio consente di bypassare i sistemi antivirus tradizionali, poiché la funzionalità dannosa non viene scritta direttamente sul disco, ma viene estratta nella RAM. L’infezione iniziale inizia con l’avvio di un collegamento .LNK dannoso contenuto in un archivio ZIP. Un esempio è un archivio chiamato “National Intelligence and Counterintelligence Manuscript.zip”. La sua struttura include un file .LNK di grandi dimensioni (oltre 50 MB)

Categorie