Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Inglese Spagnolo
Cerca
TM RedHotCyber 970x120 042543
Enterprise BusinessLog 320x200 1

Tag: #trojan

AVKiller + HeartCrypt: la combo che apre la porta ai ransomware

Redazione RHC 25/10/2025

Sul mercato dei criminali informatici è apparso uno strumento che è rapidamente diventato un’arma di produzione di massa per decine di gruppi. Si tratta di HeartCrypt, un servizio di packaging di malware che si maschera da applicazione legittima. I ricercatori di Sophos ne hanno monitorato l’attività e hanno scoperto che gli aggressori utilizzano questo meccanismo per distribuire stealer, trojan RAT e persino utility di disattivazione delle soluzioni di sicurezza, il tutto utilizzando le stesse tecniche di ingegneria sociale e sostituzione del codice. Gli esperti hanno raccolto migliaia di campioni e scoperto quasi un migliaio di server di comando e controllo, oltre duecento

Nuova ondata di email dannose associate al gruppo Hive0117

Redazione RHC 27/09/2025

F6 ha segnalato una nuova ondata di email dannose associate al gruppo Hive0117. Hive0117 è attivo da febbraio 2022 e utilizza il trojan RAT DarkWatchman. Il gruppo maschera le sue campagne come messaggi provenienti da organizzazioni legittime, registra infrastrutture di posta e domini di controllo e talvolta li riutilizza. Secondo F6, l’attività di DarkWatchman è stata rilevata il 24 settembre, dopo diversi mesi di silenzio. Gli attacchi sono stati effettuati sotto le mentite spoglie del Federal Bailiff Service dall’indirizzo mail@fssp[.]buzz. Invii simili sono stati osservati a giugno e luglio. L’analisi ha rivelato i domini 4ad74aab[.]cfd e 4ad74aab[.]xyz. Gli attacchi hanno preso di

ClickFix: la truffa che inganna gli utenti Mac e installa il trojan AMOS

Redazione RHC 23/09/2025

I criminali informatici hanno lanciato una campagna su larga scala contro gli utenti macOS, camuffando malware da programmi popolari. Lo ha segnalato LastPass, che ha scoperto che anche il suo prodotto era stato falsificato. Il malware viene distribuito tramite falsi repository GitHub ottimizzati per i motori di ricerca, che gli consentono di apparire in cima ai risultati di ricerca di Google e Bing. L’attacco utilizza lo schema ClickFix: alla vittima viene chiesto di inserire un comando nel terminale, presumibilmente per installare un’applicazione. In realtà, la vittima esegue una richiesta curl a un URL crittografato e scarica lo script install.sh nella directory /tmp.

GhostRedirector: la campagna di redirect black SEO che manipola i motori di ricerca

Redazione RHC 05/09/2025

Un gruppo di criminali informatici, che i ricercatori di ESET hanno soprannominato GhostRedirector e collegato all’ecosistema cinese, ha silenziosamente implementato uno schema di manipolazione dei motori di ricerca globali basato su host Windows hackerati. Secondo la telemetria e le scansioni Internet di giugno, almeno 65 server in diversi paesi sono stati compromessi. Le prime infezioni confermate sono state registrate da dicembre, ma una serie di campioni correlati indica attività almeno da agosto 2024, quindi non si tratta di un’epidemia, ma di una campagna a lungo termine con ruoli e infrastrutture consolidati. Al centro ci sono due componenti appositamente scritti. Rungan è una

Analisi della Campagna di Attacco con il Trojan Silver Fox che imita Google Translate

Redazione RHC 01/08/2025

Secondo quanto riportato dal Knownsec 404 Advanced Threat Intelligence Team, di recente è stata osservata un’intensa attività di attacco legata al trojan Silver Fox, che imita strumenti diffusi come Google Translate. Questi attacchi, risalenti al 2024, prevedono che, al clic dell’utente su qualsiasi punto della pagina, compaia un messaggio relativo a una versione obsoleta di Flash, seguito da un reindirizzamento verso una pagina di download predisposta dagli aggressori. Se l’utente scarica ed esegue il file, il sistema viene compromesso attraverso l’esecuzione di payload successivi. Negli ultimi anni, diversi gruppi di hacker hanno distribuito il trojan Silver Fox utilizzando varie tecniche: dalla falsificazione

Gli hacker utilizzano ClickFix e FileFix per diffondere il trojan Interlock

Redazione RHC 16/07/2025

Il gruppo di hacker ransomware Interlock sta distribuendo un trojan di accesso remoto (RAT) attraverso siti web compromessi. Gli hacker utilizzano attacchi FileFix per diffondere il malware. Gli attacchi ClickFix si basano sull’ingegneria sociale. Recentemente, diverse varianti di questi attacchi sono diventate comuni. In genere, le vittime vengono attirate su siti fraudolenti e indotte con l’inganno a copiare ed eseguire comandi PowerShell dannosi. In altre parole, infettano manualmente il proprio sistema con malware. Gli aggressori spiegano la necessità di eseguire determinati comandi risolvendo problemi di visualizzazione del contenuto nel browser o chiedendo all’utente di risolvere un CAPTCHA falso. Sebbene gli attacchi ClickFix

Malspam & Italia: CERT-AGID pubblica l’analisi sul Trend 2024

Redazione RHC 23/01/2025

Questo report offre un quadro sintetico sui numeri delle principali campagne malevole osservate dal CERT‑AGID nel corso del 2024 che hanno colpito soggetti pubblici e privati afferenti alla propria constituency. Le informazioni qui presentate sono state raccolte tramite diverse fonti, tra le quali le segnalazioni spontanee provenienti da soggetti privati o Pubbliche Amministrazioni, le rilevazioni dei sistemi automatizzati del CERT-AGID impiegati a difesa proattiva della propria constituency, le analisi dettagliate di campioni di malware e le indagini sugli incidenti trattati. Analisi delle tendenze generali Dall’analisi delle tendenze generali riscontrate nel periodo considerato, si sono contraddistinte, nel vasto panorama delle minacce informatiche, le seguenti: I

ZLoader Reloaded: il trojan bancario rinasce dalle sue ceneri e minaccia la distribuzione del ransomware

Redazione RHC 31/01/2024

Gli esperti di sicurezza informatica hanno scoperto una nuova campagna per distribuire il malware ZLoader. È interessante notare che ciò è avvenuto quasi due anni dopo lo smantellamento dell’infrastruttura di questa botnet nell’aprile 2022. Secondo, lo sviluppo della nuova variante ZLoader è in corso da settembre 2023. “La nuova versione di ZLoader ha apportato modifiche significative al modulo di avvio. Ha aggiunto la crittografia RSA, ha aggiornato l’algoritmo di generazione dei nomi di dominio. Ha compilato per la prima volta una versione per i sistemi operativi Windows a 64 bit “, hanno affermato i ricercatori Santiago Vicente e Ismael Garcia Perez. Il trojan bancario rinasce dalle sue ceneri ZLoader,

Konni RAT: quando un semplice documento Word si trasforma in un’arma di spionaggio

Redazione RHC 27/11/2023

FortiGuard Labs ha scoperto che il gruppo APT Konni, legato alla Corea del Nord , sta utilizzando un documento Word infetto come parte di una campagna di phishing in corso. Konni è stato scoperto per la prima volta da Cisco Talos nel 2017, ma il trojan Konni RAT esiste dal 2014 ed è rimasto inosservato fino al 2017 poiché veniva utilizzato in attacchi altamente mirati. Il Trojan di accesso remoto (RAT) Konni RAT è riuscito a eludere il rilevamento grazie alla continua evoluzione ed è in grado di eseguire codice arbitrario sui sistemi presi di mira e rubare dati. Nella campagna attuale gli aggressori utilizzano un trojan RAT per estrarre informazioni

Top Malware: Flame, lo “spione” modulare con target medio orientale.

Massimiliano Brolli 28/12/2021

Flame, (noto anche come Flamer, sKyWIper, Skywiper), è un malware informatico modulare scoperto nel 2012, il quale ha attaccato i computer con target medio-orientale che eseguivano il sistema operativo Microsoft Windows. Il programma aveva come principale scopo lo spionaggio informatico, mirato a raccogliere informazioni nei paesi del Medio Oriente. La società di sicurezza informatica russa Kaspersky Labs ha dichiarato alla BBC di ritenere che il malware, noto come Flame, sia stato operativo dall’agosto 2010, quindi è presumibile che la sua realizzazione sia molto vicina al periodo di quando venne scritto il malware Stuxnet. Il malware è altamente sofisticato, anche se non è

Categorie