Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Home
Questa immagine mostra un uomo dall'aspetto misterioso seduto a un tavolo all'aperto di notte, concentrato sullo schermo di un computer portatile. L'uomo indossa una felpa nera con il cappuccio tirato su che gli copre parzialmente la testa e un paio di occhiali da sole scuri che riflettono la luce bluastra dei monitor. Ha la barba corta e un'espressione intensamente focalizzata mentre guarda verso il basso. Davanti a lui, al centro della scena, c'è un grande laptop aperto che proietta una forte luce blu sul suo viso. Sul display si nota una schermata complessa piena di righe di codice informatico e grafici, dominata al centro dall'icona luminosa di un lucchetto bianco, che suggerisce temi legati alla sicurezza informatica o all'hacking. Alla sua destra è posizionato un secondo dispositivo, un tablet o un monitor secondario inclinato, che mostra una mappa del mondo e altri dati digitali sempre sui toni dell'azzurro. Sulla sinistra del tavolo, in primo piano, si trovano una tazzina da caffè con il suo piattino e uno smartphone appoggiato a faccia in giù. Lo sfondo offre un contrasto spettacolare e lussuoso rispetto all'atmosfera cupa del primo piano. A sinistra si erge un imponente hotel o palazzo d'epoca riccamente illuminato da calde luci dorate, completo di una piscina illuminata e palme che evocano una località di villeggiatura esclusiva. A destra, la vista si apre su una costa marittima notturna, con le luci di una città costiera che si riflettono sull'acqua scura e colline che si profilano sotto un cielo blu profondo, parzialmente nuvoloso. L'intera composizione gioca fortemente sul contrasto cromatico tra il calore dorato dell'architettura e la fredda luce blu dei dispositivi tecnologici.

Un file ZIP per installare Node.js e rubare i dati: Microsoft rivela la truffa degli Hotel

28 Giugno 2026 09:24
In sintesi

Una campagna di phishing attiva utilizza file ZIP a tema fotografico per distribuire un implant Node.js, colpendo principalmente l'industria alberghiera. Le email di phishing sfruttano tematiche comuni del settore e passano attraverso sistemi di notifiche via email autorizzati come Calendly e Google per superare i controlli SPF, DKIM e DMARC. L'implant TonRAT utilizza l'API TON blockchain per risolvere i domini C2, rendendo meno efficaci i blocklist statici.

Una campagna di phishing sta prendendo di mira hotel e altre organizzazioni dell’industria alberghiera in Europa e Asia fin da aprile 2026, utilizzando file ZIP a tema fotografico per distribuire un implant Node.js e accedere ai computer della reception. Microsoft ha rilevato che gli operatori non sono stati attribuiti a un noto attore minaccioso e il loro obiettivo finale rimane ancora sconosciuto.

Le email di phishing utilizzano come esca tematiche comuni nel settore alberghiero, come reclami degli ospiti, infestazioni di cimici da letto, richieste di camere, ispezioni sanitarie e recensioni di soggiorno. Le email sono state inviate in giapponese, danese e olandese, con il giapponese che è stato il più comune. I soggetti delle email non menzionano specificamente né destinatari né proprietà, indicando un’invio a volume elevato basato su liste piuttosto che phishing mirato.

Le operazioni utilizzano un metodo ingegnoso per inviare le email: passano attraverso il sistema di notifiche via email di Calendly e il servizio di reindirizzamento URL di Google. Questo trucco, chiamato “authentication laundering” da Microsoft, fa sì che gli email superino i controlli SPF, DKIM e DMARC poiché provengono da infrastrutture autorizzate.

Advertising

Questa campagna non è nuova: SOC Prime e ITOCHU avevano già documentato phishing simili mirati agli hotel circa due settimane prima. Tuttavia, l’obiettivo finale degli operatori rimane ancora sconosciuto, rendendo questa minaccia più seria di un semplice attacco di phishing a tema prenotazioni.

Dopo aver cliccato su un link di Calendly, la vittima viene reindirizzata attraverso vari passaggi a un dominio .cfd appena registrato, protetto da Cloudflare. Il file scaricato è un ZIP che contiene una scorciatoia mascherata da immagine. Aprire questa scorciatoia avvia PowerShell, il quale tenta di decodificare un URL nascosto e scaricare uno script .ps1 nella cartella %TEMP%. Viene quindi installato il runtime Node.js v24.13.0 da nodejs.org, che esegue l’implant JavaScript senza la necessità di un’installazione system-wide.

L’implant, denominato TonRAT, risolve i suoi domini C2 attraverso l’API TON blockchain e apre un canale WebSocket criptato. Questo rende meno efficaci i blocklist statici. Dopo il compromissione, l’implant ha segnalato a IPs fisse su porte non standard come 8443, 8445, 8453, 5555 e da 56001 a 56003.

Microsoft non ha riportato furti di dati confermati o attacchi ransomware. Tuttavia, la rimozione completa richiede l’eliminazione sia dell’entrata RunOnce in ProgramData che della chiave Node.js Run, oltre ai file runtime e .js sotto AppData\Local\Nodejs.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Luigi Zullo 300x300
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response