Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Inglese Spagnolo
Cerca
Enterprise BusinessLog 970x120 1
Redhotcyber Banner Sito 320x100px Uscita 101125

Tag: minaccia informatica

Malware come Bombe ad orologeria! La minaccia per i PLC Siemens S7 parte dal 2027

Redazione RHC 10/11/2025

I ricercatori hanno scoperto diverse librerie nel registro pubblico NuGet contenenti codice che si attiverà nel 2027 e nel 2028. I pacchetti infetti prendono di mira tre noti motori di archiviazione dati .NET (Microsoft SQL Server, PostgreSQL e SQLite) e un componente è specificamente mascherato da libreria per funzionare con i controller Siemens S7. Gli analisti di Socket hanno trovato nove pacchetti pubblicati dall’account shanhai666. A prima vista, le librerie sembravano funzionare normalmente: quasi tutto il codice (circa il 99%) svolgeva funzioni utili, quindi gli sviluppatori potrebbero non aver notato nulla di sospetto. Tuttavia, ogni libreria conteneva un piccolo frammento di logica

Un’estensione AI di VS Code trasforma il tuo PC in un ostaggio digitale

Redazione RHC 07/11/2025

I ricercatori di Secure Annex hanno trovato un’estensione dannosa nel catalogo delle estensioni di Visual Studio Code Marketplace per VS Code, dotata di funzionalità ransomware di base. A quanto pare, il malware è stato scritto utilizzando il Vibe coding e la sua funzionalità dannosa è chiaramente indicata nella descrizione. L’estensione sarebbe stata pubblicata con il nome susvsex da un autore soprannominato suspublisher18. La descrizione e il file README descrivono chiaramente due funzioni chiave dell’estensione: il caricamento di file su un server remoto e la crittografia di tutti i file sul computer della vittima tramite AES-256-CBC. Gli analisti riportano che il malware è

Attacchi agli aeroporti europei: ENISA identifica il ransomware

Redazione RHC 22/09/2025

L’Agenzia europea per la sicurezza informatica (ENISA) ha annunciato di aver identificato il ransomware che ha bloccato gli aeroporti europei. L’incidente ha colpito diverse città europee, tra cui Berlino, Londra, Bruxelles e Dublino. Secondo ENISA, l’attacco ha colpito un fornitore terzo di servizi informatici per check-in e imbarco, causando ritardi e lunghe code ai terminal. Le autorità hanno confermato che le forze dell’ordine sono già al lavoro per indagare sull’origine e la portata della minaccia. “L’Enisa – si legge in una nota – è consapevole dell’interruzione in corso delle operazioni aeroportuali, causata da un attacco ransomware di terze parti”, si legge in

Azure Functions nel mirino: librerie legittime usate per il DLL Sideloading

Redazione RHC 18/09/2025

Una versione dannosa dell’immagine ISO denominata Servicenow-BNM-Verify.iso è stata identificata su VirusTotal, segnalata come proveniente dalla Malesia con un livello di rilevamento praticamente nullo. All’interno dell’immagine sono presenti quattro file, di cui due visibili e due nascosti, un elemento che suggerisce un confezionamento studiato per ingannare le analisi superficiali. Tra i file visibili spicca un collegamento di Windows chiamato servicenow-bnm-verify.lnk che avvia PanGpHip.exe, un eseguibile legittimo prodotto da Palo Alto Networks. Nonostante il percorso di destinazione del collegamento punti a una directory inesistente sulle macchine vittima, il file LNK rimanda correttamente alla propria directory, garantendo l’esecuzione di PanGpHip.exe ogni volta che l’ISO

Vuoi un Editor PDF gratuito? Hai scaricato un malware incluso nel pacchetto premium

Redazione RHC 30/08/2025

Una campagna malware complessa è stata scoperta, mirata a utenti alla ricerca di programmi gratuiti per modificare PDF. Un’applicazione dannosa, travestita da “AppSuite PDF Editor” legittimo, viene diffusa da criminali informatici. Gli autori della minaccia dietro questa campagna hanno dimostrato un’audacia senza precedenti inviando il loro malware alle aziende antivirus come falsi positivi, nel tentativo di far rimuovere i rilevamenti di sicurezza. Il programma di installazione, creato utilizzando il set di strumenti open source WiX, scarica immediatamente il programma effettivo dell’editor PDF da vault.appsuites.ai dopo l’esecuzione e l’accettazione del Contratto di licenza con l’utente finale. Il malware, è confezionato come file Microsoft

Il malware si camuffa in una foto innocente su Dropbox. La strategia steganografica di APT37

Redazione RHC 04/08/2025

Gli specialisti del Genians Security Center hanno scoperto una versione migliorata del malware RoKRAT, associato al gruppo nordcoreano APT37. La nuova versione si distingue per un insolito modo di nascondere il codice dannoso: nel corpo delle normali immagini JPEG. Questo approccio consente di bypassare i sistemi antivirus tradizionali, poiché la funzionalità dannosa non viene scritta direttamente sul disco, ma viene estratta nella RAM. L’infezione iniziale inizia con l’avvio di un collegamento .LNK dannoso contenuto in un archivio ZIP. Un esempio è un archivio chiamato “National Intelligence and Counterintelligence Manuscript.zip”. La sua struttura include un file .LNK di grandi dimensioni (oltre 50 MB)

Dopo NPM, ora è il turno di PyPI: Fate attenzione utenti Python a questa nuova campagna di phishing

Redazione RHC 30/07/2025

I responsabili del Python Package Index (PyPI) hanno emesso un avviso su una campagna di phishing rivolta agli utenti. Gli aggressori mirano a reindirizzare le vittime verso siti falsi camuffati da PyPI e a rubare le loro credenziali. Gli aggressori avrebbero inviato email con oggetto “[PyPI] Verifica email” provenienti da noreply@pypj[.]org. In altre parole, il dominio imita pypi.org e la lettera “j” sostituisce la “i”. “Non si tratta di una violazione della sicurezza di PyPI in sé, ma piuttosto di un tentativo di phishing e di abuso della fiducia che gli utenti ripongono in PyPI”, scrive Mike Fiedler, amministratore di PyPI. Le

I Criminal Hacker rivendicano un attacco alla Naval Group. 72 ore per pagare il riscatto

Redazione RHC 25/07/2025

Il più grande costruttore navale francese per la difesa, Naval Group, sta affrontando un incidente di sicurezza informatica potenzialmente grave a seguito delle affermazioni degli autori della minaccia che riportano di aver compromesso sistemi interni critici, compresi quelli legati alle operazioni navali militari francesi. Gli hacker hanno pubblicato la presunta violazione su un noto forum specializzato in fughe di dati, sostenendo di aver avuto accesso a materiale sensibile come il codice sorgente dei sistemi di gestione del combattimento (CMS) utilizzati nei sottomarini e nelle fregate francesi. Gli aggressori non mirano a vendere i dati rubati, ma a estorcere denaro all’appaltatore della difesa,

Apache Tomcat: Un Rischio di Denial of Service minaccia Migliaia di Server!

Raffaela Crisci 05/07/2024

La vulnerabilità CVE-2024-34750 in Apache Tomcat, come descritto nel bollettino di sicurezza AL01/240705/CSIRT-ITA, riguarda un problema che può essere sfruttato per sovraccaricare le risorse di calcolo del server, portando a un Denial of Service (DoS). Apache Tomcat è un server open-source che implementa le specifiche Java Servlet, JavaServer Pages (JSP), e altre tecnologie Java. La vulnerabilità è stata scoperta direttamente dal security team di Tomcat. Dettagli vulnerabilità La vulnerabilità è stata identificata nel server web open source Apache Tomcat, sviluppato dalla Apache Software Foundation. Questa falla di sicurezza può essere sfruttata da un attaccante remoto per sovraccaricare le risorse di calcolo del

Aruba scrive a RHC. Il Threat Actors sbaglia Target e rettifica il Post nel Forum underground

Redazione RHC 11/06/2024

Questa mattina un annuncio pubblicato su un noto forum underground da un attore malevolo, ha dichiarato di aver ottenuto e messo in vendita un database sottratto all’azienda italiana Aruba S.p.A., leader nel settore del web hosting e della registrazione domini. Tuttavia, si è scoperto che si è trattato di un errore. La notizia iniziale, riportata da Red Hot Cyber, ha destato grande preoccupazione tra gli utenti e i clienti di Aruba. Secondo l’annuncio, il database conteneva circa 10.400 record con informazioni personali dettagliate come nomi, indirizzi, numeri di telefono e molto altro. I dati rubati erano stati descritti come provenienti da Aruba

Categorie