Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Una Hot-fix malevola per CrowdStrike diffonde HijackLoader e RemCos

Una Hot-fix malevola per CrowdStrike diffonde HijackLoader e RemCos

22 Luglio 2024 10:16

Rimanere vigili ed aumentare l’attenzione è imprescindibile in situazioni come queste.

Come tutti sappiamo, il 19 luglio 2024, un aggiornamento di CrowdStrike Falcon® per i sistemi operativi Windows ha causato la più grande interruzione globale. Nonostante sia stato il risultato di un problema tecnico, questo incidente ha aperto le porte ai malintenzionati per sfruttare la situazione, dando il via a un’ondata di attività dannose, in particolare rivolte ai clienti latinoamericani di CrowdStrike. 

CrowdStrike Intelligence ha segnalato la distribuzione di un archivio ZIP ingannevole, denominato crowdstrike-hotfix.zip, contenente un payload HijackLoader progettato per distribuire il RAT (strumento di accesso remoto) RemCos.

Il file ZIP, con nomi file e istruzioni in spagnolo, suggerisce un attacco mirato agli utenti LATAM. Il file è stato caricato per la prima volta da un submitter con sede in Messico che lo ha caricato su un servizio di scansione malware online.

Queste truffe spesso coinvolgono e-mail di phishing, false chiamate di supporto e offerte fraudolente di servizi di ripristino. La prassi migliore è contattare le aziende direttamente tramite i loro canali ufficiali anziché rispondere a comunicazioni indesiderate.

La sequenza di attacco inizia con l’esecuzione di Setup.exe, che utilizza il dirottamento DLL per caricare HijackLoader. Pubblicizzato come un servizio di crittografia privato noto come ASMCrypt, HijackLoader è abile nell’elusione del rilevamento.

Esegue il payload finale di RemCos, che si connette a un server di comando e controllo a 213.5.130.58:433, consentendo all’attaccante di ottenere il controllo sui sistemi infetti.

La Cyber ​​Defense Agency degli Stati Uniti, il National Cyber ​​Security Centre del Regno Unito e il National Anti-Scam Centre dell’Australia hanno emesso avvertimenti di fare attenzione alle truffe che potete trovare qui e qui .

CrowdStrike ha creato un “Remediation and Guidance Hub” per assistere le persone colpite, mentre Microsoft ha fornito guide di supporto aggiornate. Entrambe le organizzazioni sottolineano l’importanza di verificare le comunicazioni e di non precipitarsi ad agire in seguito a messaggi indesiderati. 

Per contrastare queste minacce è fondamentale seguire alcune pratiche fondamentali: restare vigili sui potenziali tentativi di phishing, verificare l’autenticità delle comunicazioni, evitare di scaricare file da fonti non attendibili e segnalare alle autorità competenti eventuali sospette truffe. 

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

1744358477148 300x300
Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.
Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research

Articoli in evidenza

Immagine del sitoVulnerabilità
Così tante vulnerabilità in n8n tutti in questo momento. Cosa sta succedendo?
Agostino Pellegrino - 06/02/2026

Negli ultimi tempi, la piattaforma di automazione n8n sta affrontando una serie crescente di bug di sicurezza. n8n è una piattaforma di automazione che trasforma task complessi in operazioni semplici e veloci. Con pochi click…

Immagine del sitoInnovazione
L’IA va in orbita: Qwen 3, Starcloud e l’ascesa del calcolo spaziale
Sergio Corpettini - 06/02/2026

Articolo scritto con la collaborazione di Giovanni Pollola. Per anni, “IA a bordo dei satelliti” serviva soprattutto a “ripulire” i dati: meno rumore nelle immagini e nei dati acquisiti attraverso i vari payload multisensoriali, meno…

Immagine del sitoCyber Italia
Truffe WhatsApp: “Prestami dei soldi”. Il messaggio che può svuotarti il conto
Silvia Felici - 06/02/2026

Negli ultimi giorni è stato segnalato un preoccupante aumento di truffe diffuse tramite WhatsApp dal CERT-AGID. I messaggi arrivano apparentemente da contatti conosciuti e richiedono urgentemente denaro, spesso per emergenze come spese mediche improvvise. La…

Immagine del sitoCyber News
Allarme rosso in Italia! Migliaia di impianti senza password: un incubo a portata di click
Bajram Zeqiri - 05/02/2026

L’Italia si trova oggi davanti a una sfida digitale senza precedenti, dove la corsa all’innovazione non sempre coincide con una protezione adeguata delle infrastrutture. Pertanto la sicurezza dei sistemi connessi è diventata l’anello debole della…

Immagine del sitoCyber News
HackerHood di RHC scopre un nuovo 0day nei Firewall ZYXEL: il rischio è l’accesso Root
Redazione RHC - 05/02/2026

Una nuova vulnerabilità scoperta dal ricercatore italiano Alessandro Sgreccia (rainpwn) del gruppo HackerHood di Red Hot Cyber è stata scoperta nei dispositivi ZYXEL permette di ottenere accesso root attraverso una configurazione apparentemente innocua del servizio…