Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Inglese Spagnolo
Cerca
TM RedHotCyber 970x120 042543
Fortinet 320x100px

Tag: Malware

NightshadeC2, la nuova botnet che utilizza metodi non convenzionali per aggirare la protezione

Redazione RHC 09/09/2025

eSentire ha segnalato la scoperta di una nuova botnet chiamata NightshadeC2, che utilizza metodi non convenzionali per aggirare la protezione e le sandbox. Il malware viene distribuito tramite versioni contraffatte di programmi legittimi come CCleaner, Express VPN , Advanced IP Scanner ed Everything, nonché tramite lo schema ClickFix, in cui alla vittima viene richiesto di inserire un comando in una finestra Esegui dopo aver completato un captcha falso. La caratteristica principale di NightshadeC2 è una tecnica chiamata dagli esperti “UAC Prompt Bombing“. Il downloader esegue uno script di PowerShell che tenta di aggiungere il malware all’elenco di esclusione di Windows Defender. Se

Arriva Cephalus! Il gruppo ransomware che attacca tramite la sostituzione DLL

Redazione RHC 08/09/2025

A metà agosto, i ricercatori hanno incontrato il ransomware Cephalus in due incidenti separati. Tra le recenti emergenze di famiglie come Crux e KawaLocker, una richiesta di riscatto che iniziava con le parole “Siamo Cephalus” ha attirato l’attenzione. In entrambi i casi, gli aggressori hanno ottenuto l’accesso iniziale tramite RDP utilizzando credenziali compromesse senza autenticazione a più fattori e hanno utilizzato il servizio cloud MEGA per potenzialmente far trapelare i dati. L’aspetto più rilevante della catena di attacco è stato il metodo di lancio del ransomware. I criminali hanno fatto ricorso alla sostituzione delle DLL utilizzando il componente legittimo SentinelOne: il file

CrowdStrike Threat Hunting Report 2025: l’AI usata dal cybercrime per attacchi su larga scala

Redazione RHC 08/09/2025

Oltre 320 aziende sono state violate da gruppi legati alla Corea del Nord(DPRK) con attacchi potenziati dall’AI generativa. Gli attori delle minacce sfruttano gli agenti AI rendendo i sistemi autonomi il nuovo perimetro di attacco dell’ambiente aziendale CrowdStrike ha pubblicato il Threat Hunting Report 2025, che rivela una nuova fase degli attacchi informatici moderni: gli avversari stanno sfruttando la GenAI per ampliare le operazioni e accelerare gli attacchi – prendendo sempre più di mira gli agenti di AI autonomi che stanno trasformando le attività aziendali. Il rapporto rivela come gli attori delle minacce stiano puntando agli strumenti utilizzati per sviluppare agenti AI

Telegram come piattaforma di Command & Control per attività criminali e il ruolo della Threat Intelligence

Redazione RHC 08/09/2025

Nel panorama odierno della sicurezza informatica, una delle tendenze più preoccupanti è l’abuso di piattaforme di messaggistica legittime per scopi malevoli. In particolare, Telegram è sempre più sfruttata da gruppi criminali come infrastruttura di Command & Control (C2), ovvero un sistema centralizzato per gestire attacchi informatici, ricevere dati rubati e coordinare operazioni illecite. Questo fenomeno rappresenta una sfida significativa per le aziende, poiché l’uso di servizi legittimi rende più difficile rilevare e bloccare tali attività. Gli attaccanti sfruttano le API pubbliche di Telegram per creare bot automatizzati in grado di ricevere comandi e trasmettere dati rubati. Il processo tipico prevede una prima

16 miliardi di credenziali rubate da Apple, Meta e Google in vendita per 121.000 dollari

Redazione RHC 05/09/2025

Il team di Darklab, la community di esperti di threat intelligence di Red Hot Cyber, ha individuato un annuncio sul marketplace del dark web “Tor Amazon”, l’analogo criminale del celebre e-commerce nel clear web. L’inserzione mette in vendita un archivio senza precedenti: 16 miliardi di credenziali compromesse provenienti da piattaforme di primo piano come Apple, Facebook, Google, Binance, Coinbase e molte altre. L’offerta, proposta al prezzo di 1 Bitcoin (circa 121.000 dollari), rappresenta una delle raccolte di dati più vaste e diversificate mai apparse nei circuiti underground. Origine e natura del leak Secondo l’analisi di Darklab, il pacchetto non deriva da un

Nuova Campagna MintsLoader: Buovi Attacchi di Phishing tramite PEC sono in corso

Redazione RHC 04/09/2025

Dopo una lunga pausa estiva, nella giornata di ieri il CERT-AgID ha pubblicato un nuovo avviso su una nuova campagna MintsLoader, la prima dopo quella registrata lo scorso giugno. Rispetto alle precedenti ondate, il template dell’email risulta solo leggermente modificato, mantenendo però lo schema già noto. In particolare: Abuso di caselle PEC Come già osservato nelle precedenti ondate, anche questa campagna mantiene la stessa natura di diffusione: i messaggi vengono inviati da caselle PEC compromesse a caselle PEC dei destinatari, sfruttando quindi il canale certificato per aumentare la credibilità e l’efficacia dell’attacco. L’obiettivo finale è la compromissione dei sistemi delle vittime, in

Arriva NotDoor : La Backdoor per Microsoft Outlook di APT28

Redazione RHC 04/09/2025

Un avanzato sistema di backdoor associato al noto gruppo di cyber spionaggio russo APT28 permette ai malintenzionati di scaricare dati, caricare file e impartire comandi su pc infettati. Questo sistema backdoor, recentemente scoperto e di ultima generazione, si concentra su Microsoft Outlook, dando la possibilità agli artefici dell’attacco di impossessarsi di informazioni e gestire il computer della persona colpita. La backdoor è progettata per monitorare le email in arrivo della vittima alla ricerca di specifiche parole chiave, come “Report giornaliero”. Quando viene rilevata un’email contenente la parola chiave, il malware si attiva, consentendo agli aggressori di eseguire comandi dannosi. Il nome “NotDoor”

Living-off-the-Land 2.0: quando gli aggressori trasformano gli strumenti di sicurezza in armi

Redazione RHC 01/09/2025

Sophos ha messo in guardia da una pratica sempre più sofisticata da parte degli aggressori: l’utilizzo di strumenti di sicurezza informatica legittimi nell’ambito della tattica Living-off-the-Land (LotL), in cui un attacco viene effettuato utilizzando software esistente o disponibile al pubblico, anziché malware sviluppato internamente. In un ultimo incidente, degli aggressori sconosciuti hanno introdotto Velociraptor, uno strumento open source di monitoraggio degli endpoint e di analisi forense digitale, nell’infrastruttura della vittima. Lo strumento è stato installato tramite msiexec, scaricando il programma di installazione MSI da un dominio sulla piattaforma Cloudflare Workers. E’ risaputo che gli autori delle minacce, spesso, utilizzano tecniche “living-off-the-land” (LotL) o

GitHub e GitLab sempre più nel mirino! Attacchi mirati agli sviluppatori tramite repository falsi

Redazione RHC 31/08/2025

Ospitando progetti falsi su piattaforme di sviluppo popolari (GitHub e GitLab), gli aggressori inducono gli utenti a eseguire payload dannosi che estraggono componenti aggiuntivi da un repository controllato dagli hacker. Di conseguenza, trojan di accesso remoto e spyware vengono scaricati sui dispositivi delle vittime. Gli analisti di Positive Technologies hanno presentato un rapporto sulle minacce informatiche per la prima metà del 2025. Secondo i loro dati, il metodo principale per attaccare con successo le organizzazioni rimane il malware: è stato utilizzato nel 63% dei casi. Allo stesso tempo, la quota di distribuzione di malware tramite siti web ha raggiunto il 13%: quasi

Sindoor Dropper: il malware che usa lo scontro India-Pakistan per infettare Linux

Redazione RHC 31/08/2025

Un’insidiosa offensiva di malware, nota come “Sindoor Dropper”, si concentra sui sistemi operativi Linux, sfruttando metodi di spear-phishing raffinati e un complesso processo d’infezione articolato in diverse fasi. L’operazione subdola prende di mira gli utenti con esche legate al recente scontro tra Pakistan e India, conosciuto con il nome di Operazione Sindoor, al fine di convincerli ad attivare file nocivi. La campagna Sindoor Dropper evidenzia un’evoluzione nelle tecniche di attacco degli autori delle minacce, dimostrando una chiara attenzione agli ambienti Linux, meno presi di mira dalle campagne di phishing. L’attacco inizia quando un utente apre un .desktopfile dannoso, denominato “Note_Warfare_Ops_Sindoor.pdf.desktop”, che si

Categorie