Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Inglese Spagnolo
Cerca
2nd Edition GlitchZone RHC 970x120 2
Banner Ransomfeed 320x100 1

Tag: trojan

Tanta Roba. 93 miliardi di cookie rubati! La nuova miniera d’oro degli hacker sul Dark Web

Redazione RHC 04/06/2025

Gli analisti di NordVPN stimano che miliardi di cookie rubati vengano venduti sul dark web e su Telegram. Circa il 7-9% di questi cookie è ancora attivo e può essere utilizzato dagli aggressori. Secondo i ricercatori, attualmente i criminali possono acquistare più di 93,7 miliardi di cookie online. I cookie possono sembrare innocui, ma nelle mani sbagliate diventano chiavi digitali per accedere alle informazioni più personali. “Ciò che è stato progettato per comodità è ora una vulnerabilità crescente che viene sfruttata dai criminali informatici di tutto il mondo”, afferma Adrianus Warmenhoven. NordVPN avverte che la stragrande maggioranza dei cookie rubati (90,25%) contiene dati identificativi

Operazione MysterySnail: nuova ondata di cyber attacchi contro enti governativi

Redazione RHC 03/05/2025

Le organizzazioni governative della russia e della mongolia sono diventate bersaglio di una nuova ondata di attacchi informatici che utilizzano una versione aggiornata del trojan di accesso remoto MysterySnail. Secondo i ricercatori, il malware MysterySnail è già stato utilizzato nel 2021 in attacchi legati al gruppo informatico IronHusky. Nella campagna attuale, gli aggressori utilizzano l’ultima versione di un Trojan modulare adattato a nuovi obiettivi e metodi di distribuzione. L’infezione inizia con il lancio di uno script dannoso camuffato da documento di un’agenzia ufficiale mongola, l’Agenzia nazionale per la gestione del territorio (ALAMGAC). Lo script è progettato per essere eseguito tramite Microsoft Management

Come Rubare Un Modello AI di Google? Attraverso un Trojan AI!

Redazione RHC 14/11/2024

Palo Alto Networks ha scoperto una serie di vulnerabilità nella piattaforma Vertex AI di Google che potrebbero consentire agli aggressori di rubare preziosi modelli di machine learning (ML) e large Language Model (LLM) sviluppati internamente dalle aziende. Queste vulnerabilità includono la possibilità di escalation di privilegi ed esfiltrazione di dati attraverso modelli infetti. La prima vulnerabilità riguardava l’escalation dei privilegi tramite processi personalizzati nelle pipeline Vertex AI. Utilizzando questi lavori, i ricercatori sono stati in grado di accedere a dati a cui non avrebbero dovuto avere accesso, inclusi l’archiviazione nel cloud e le tabelle BigQuery. Gli aggressori potrebbero trarne vantaggio per scaricare dati e modelli sensibili. La

L’Evoluzione del Malware Iraniano: APT42 Passa dal Modulare al Monolitico

Sandro Sana 21/08/2024

Negli ultimi anni, il panorama delle minacce informatiche è stato dominato dall’uso di malware modulari, apprezzati per la loro flessibilità e adattabilità. Tuttavia, una recente scoperta ha rivelato un cambio di paradigma nella strategia di APT42, un gruppo di hacker iraniani legato al Corpo delle Guardie Rivoluzionarie Islamiche (IRGC). In una delle loro ultime campagne, gli hacker hanno sviluppato un Trojan monolitico, consolidando diversi moduli di malware in un unico script PowerShell. Questa scelta rappresenta un ritorno a una tecnica più tradizionale, ma con implicazioni significative per la sicurezza informatica globale, suggerendo un continuo adattamento delle tattiche di guerra cibernetica iraniana alle

Attacchi Mirati con TgRat: Il Trojan che Usa Telegram per infettare Linux

Redazione RHC 07/07/2024

Gli analisti Doctor Web hanno identificato la versione Linux del noto trojan TgRat, utilizzato per attacchi mirati. Una delle caratteristiche degne di nota di questo malware è che è controllato da un bot di Telegram. TgRat, originariamente scritto per Windows, è stato scoperto nel 2022. Si trattava di un piccolo programma dannoso creato per dispositivi specifici da cui gli aggressori pianificavano di rubare informazioni riservate. Poi i ricercatori hanno affermato che TgRat utilizza Telegram come server di controllo. Il server era un gruppo chiuso nel messenger e la comunicazione veniva effettuata utilizzando l’API di Telegram (libreria  github.com/wrwrabbit/telegram-bot-api-go). Come riferisce ora Doctor Web, durante un’indagine sull’incidente è stata

Zergeca: La Botnet Che Minaccia Linux e Altri Sistemi Operativi con Attacchi DDoS e Funzionalità Avanzate

Redazione RHC 24/06/2024

I ricercatori del team di sicurezza XLab hanno recentemente scoperto una nuova botnet nel cyberspazio, Zergeca, che si distingue per le sue capacità avanzate e rappresenta una seria minaccia per milioni di dispositivi digitali. Zergeca è in grado non solo di sferrare attacchi DDoS, ma anche di svolgere molte altre funzioni dannose. Il 20 maggio 2024, XLab ha rilevato un file ELF sospetto nella directory “/usr/bin/geomi” sulla piattaforma Linux di uno dei suoi clienti. Questo file, compresso utilizzando un UPX modificato, è rimasto a lungo inosservato dai programmi antivirus. Dopo l’analisi i ricercatori hanno scoperto che si tratta di una botnet implementata a Golang. E dato che la sua infrastruttura C2 utilizzava la

5,5 milioni di installazioni di App Android portano a bordo il Trojan Ansata Banker

Redazione RHC 30/05/2024

Gli analisti di Zscaler hanno avvertito che il trojan bancario Ansata si è nuovamente infiltrato nel Google Play Store. In totale, i ricercatori hanno trovato più di 90 applicazioni dannose installate oltre 5,5 milioni di volte. Oltre ad Anatsa, queste applicazioni distribuivano anche altri malware e adware. Anatsa Banker (noto anche come Teabot) è un trojan che prende di mira più di 650 applicazioni di istituti finanziari in Europa, Stati Uniti, Regno Unito e Asia. Il malware ruba le credenziali degli utenti dalle banche online per successive transazioni fraudolente. Ricordiamo che nel febbraio 2024 gli specialisti di Threat Fabric hanno riferito che dalla fine del 2023

Scoperto nuovo malware PhantomDL collegato al temibile gruppo PhantomCore

Redazione RHC 15/05/2024

Gli specialisti FACCT hanno parlato della scoperta di un nuovo loader chiamato PhantomDL (o PhantomGoDownloader) precedentemente sconosciuto. L’analisi dei campioni identificati ha permesso di stabilire una connessione tra il malware e il gruppo PhantomCore. I ricercatori hanno parlato per la prima volta del gruppo di spionaggio PhantomCore questa primavera. Dal gennaio 2024, gli hacker criminali attaccano le aziende russe e utilizzano l’esclusivo trojan di accesso remoto PhantomRAT nelle loro operazioni. Tutto inizia con una mail di phishing Di norma il gruppo invia e-mail di phishing a target con archivi protetti da password come allegati e una password nel corpo dell’e-mail. Gli esperti ritengono inoltre che

Il ritorno di ZLoader: il malware ispirato a Zeus torna con nuove e pericolose funzionalità

Redazione RHC 02/05/2024

Gli sviluppatori del malware ZLoader, che recentemente ha ripreso la sua attività dopo una pausa di due anni, hanno introdotto una serie di nuove funzionalità, ispirate al trojan bancario Zeus. Santiago Vicente, ricercatore di Zscaler , ha notato nella sua relazione tecnica che l’ultima versione di ZLoader, 2.4.1.0, include una funzionalità che impedisce al programma di funzionare su computer diversi da quelli originariamente infetti. In modo simile, questa funzione è stata implementata nel codice sorgente trapelato di Zeus 2.X, da cui sembra che l’autore di ZLoader abbia tratto ispirazione. ZLoader, noto anche come Terdot, DELoader o Silent Night, è tornato attivo per la prima volta nel settembre 2023

Mispadu, il trojan bancario che minaccia l’Europa

Sandro Sana 07/04/2024

Mispadu è un malware che mira a rubare le credenziali bancarie e di altri servizi online degli utenti. Si tratta di un trojan, ovvero un programma che si nasconde dietro un’apparenza innocua, ma che in realtà esegue operazioni dannose. Mispadu si diffonde tramite email di spam che contengono un allegato PDF con un link trappola. Se l’utente clicca sul link, scarica un archivio ZIP che contiene il codice malevolo. Questo si attiva si connette a due server remoti: uno per scaricare ulteriori payload e uno per inviare le credenziali rubate. Mispadu è in grado di intercettare i dati inseriti dall’utente tramite falsi

Categorie