Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Inglese Spagnolo
Cerca
Redhotcyber Banner Sito 970x120px Uscita 101125
Crowdstrike 320×100

Tag: powershell

WhatsApp Web nel mirino! Come funziona il worm che distribuisce il Trojan Bancario

Redazione RHC 14/10/2025

E’ stata individuata dagli analisti di Sophos, una complessa operazione di malware da parte di esperti in sicurezza, che utilizza il noto servizio di messaggistica WhatsApp come mezzo per diffondere trojan bancari, puntando a istituti di credito brasiliani ed a piattaforme di scambio di criptovalute. Un malware autoreplicante, emerso il 29 settembre 2025, è dotato di avanzate tecniche evasive e di complesse catene di infezione multiphase, finalizzate a superare le attuali protezioni di sicurezza. La campagna di attacco ha avuto un impatto esteso, coinvolgendo più di 1.000 endpoint in oltre 400 ambienti clienti, dimostrando l’efficacia e la vasta portata della minaccia. L’attacco

Allarme WhatsApp: un nuovo malware si diffonde come un virus tra i contatti

Redazione RHC 06/10/2025

I ricercatori di Trend Micro hanno rilevato una campagna malware su larga scala che prende di mira gli utenti in Brasile. Viene distribuita tramite la versione desktop di WhatsApp ed è caratterizzata da un elevato tasso di infezione. Il malware, denominato internamente SORVEPOTEL , non ruba dati né crittografa, come avviene di solito con spyware o ransomware. Il suo obiettivo principale è replicarsi il più rapidamente possibile e infettare nuovi sistemi. L’infezione inizia con un messaggio di phishing inviato da un contatto WhatsApp compromesso. Questo crea l’illusione di autenticità e invoglia la vittima ad aprire il file ZIP allegato. Il file è

NightshadeC2, la nuova botnet che utilizza metodi non convenzionali per aggirare la protezione

Redazione RHC 09/09/2025

eSentire ha segnalato la scoperta di una nuova botnet chiamata NightshadeC2, che utilizza metodi non convenzionali per aggirare la protezione e le sandbox. Il malware viene distribuito tramite versioni contraffatte di programmi legittimi come CCleaner, Express VPN , Advanced IP Scanner ed Everything, nonché tramite lo schema ClickFix, in cui alla vittima viene richiesto di inserire un comando in una finestra Esegui dopo aver completato un captcha falso. La caratteristica principale di NightshadeC2 è una tecnica chiamata dagli esperti “UAC Prompt Bombing“. Il downloader esegue uno script di PowerShell che tenta di aggiungere il malware all’elenco di esclusione di Windows Defender. Se

PowerShell 2.0 riposa in pace! Microsoft avvia il processo di rimozione da Windows 11

Redazione RHC 06/07/2025

Un altro pezzo di storia sta finalmente abbandonando l’iconico sistema operativo. Microsoft ha avviato il processo di rimozione di PowerShell 2.0, la versione obsoleta dello strumento console, da Windows 11. Questa edizione è apparsa ai tempi di Windows 7 e in seguito si è diffusa nelle generazioni precedenti della piattaforma, tra cui XP, Vista e soluzioni server come Windows Server 2003 e 2008. Nel corso degli anni, le funzionalità di PowerShell si sono ampliate in modo significativo e gli approcci all’amministrazione sono migliorati. Tuttavia, l’implementazione obsoleta è stata mantenuta a lungo per motivi di compatibilità. È stata ufficialmente dichiarata obsoleta nel 2017,

Nuova minaccia informatica: l’attacco FileFix di mr.d0x

Redazione RHC 04/07/2025

Lo specialista della sicurezza mr.d0x ha sviluppato l’attacco FileFix, una nuova versione dell’attacco ClickFix che induce l’utente a eseguire comandi dannosi tramite il prompt di Windows Explorer. Gli attacchi ClickFix si basano sull’ingegneria sociale. Recentemente, diverse varianti di questi attacchi sono diventate comuni. In genere, le vittime vengono attirate su siti fraudolenti e indotte con l’inganno a copiare ed eseguire comandi PowerShell dannosi. In altre parole, infettano manualmente il proprio sistema con malware. Gli aggressori eseguono determinati comandi risolvendo problemi di visualizzazione del contenuto nel browser o chiedendo all’utente di risolvere un CAPTCHA falso. Sebbene gli attacchi ClickFix prendano di mira più

FileFix aggira la protezione Mark of the Web di Microsoft Windows

Redazione RHC 02/07/2025

È stato scoperto sul sistema operativo Microsoft Windows un nuovo metodo per aggirare la protezione che consente l’esecuzione di script dannosi senza alcun preavviso all’utente. La tecnica, chiamata FileFix, è stata migliorata e ora sfrutta una vulnerabilità nel modo in cui i browser gestiscono le pagine HTML salvate. L’attacco è stato presentato da un ricercatore di sicurezza noto come mr.d0x. Aveva precedentemente illustrato il funzionamento della prima versione di FileFix. All’epoca, gli aggressori utilizzavano una pagina di phishing per convincere la vittima a incollare un comando PowerShell mascherato nella barra degli indirizzi di Windows Explorer. Una volta incollato, il comando veniva eseguito

L’Evoluzione del Malware Iraniano: APT42 Passa dal Modulare al Monolitico

Sandro Sana 21/08/2024

Negli ultimi anni, il panorama delle minacce informatiche è stato dominato dall’uso di malware modulari, apprezzati per la loro flessibilità e adattabilità. Tuttavia, una recente scoperta ha rivelato un cambio di paradigma nella strategia di APT42, un gruppo di hacker iraniani legato al Corpo delle Guardie Rivoluzionarie Islamiche (IRGC). In una delle loro ultime campagne, gli hacker hanno sviluppato un Trojan monolitico, consolidando diversi moduli di malware in un unico script PowerShell. Questa scelta rappresenta un ritorno a una tecnica più tradizionale, ma con implicazioni significative per la sicurezza informatica globale, suggerendo un continuo adattamento delle tattiche di guerra cibernetica iraniana alle

Microsoft

APT28 prende di mira le entità governative ucraine con false e-mail di “Windows Update”

Silvia Felici 08/05/2023

L’attacco mira a vari organi governativi dell’Ucraina. L’agenzia ha attribuito questa campagna di phishing ad APT28, un gruppo noto anche come Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, Sednit e Sofacy. Secondo quanto riferito, i messaggi di posta elettronica hanno come oggetto “Windows Update” e contengono presunte istruzioni in lingua ucraina per eseguire un comando PowerShell, con il pretesto di aggiornamenti di sicurezza. L’esecuzione dello script carica ed esegue uno script di PowerShell della fase successiva, progettato per raccogliere informazioni dal sistema di base tramite comandi come tasklist e systeminfo per esfiltrare i dettagli tramite una richiesta HTTP a un’API Mocky. Per

Categorie