Redazione RHC : 14 Ottobre 2025 07:17
E’ stata individuata dagli analisti di Sophos, una complessa operazione di malware da parte di esperti in sicurezza, che utilizza il noto servizio di messaggistica WhatsApp come mezzo per diffondere trojan bancari, puntando a istituti di credito brasiliani ed a piattaforme di scambio di criptovalute.
Un malware autoreplicante, emerso il 29 settembre 2025, è dotato di avanzate tecniche evasive e di complesse catene di infezione multiphase, finalizzate a superare le attuali protezioni di sicurezza. La campagna di attacco ha avuto un impatto esteso, coinvolgendo più di 1.000 endpoint in oltre 400 ambienti clienti, dimostrando l’efficacia e la vasta portata della minaccia.
L’attacco scatta quando le vittime scaricano un archivio ZIP nocivo tramite WhatsApp Web da un contatto già infettato in precedenza. La componente di ingegneria sociale risulta essere particolarmente astuta in quanto il messaggio dichiara che il contenuto allegato può essere visionato esclusivamente su un computer, inducendo in tal modo i destinatari a scaricare ed eseguire il malware su sistemi desktop invece che su dispositivi mobili.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Durante le indagini su vari incidenti in Brasile, gli analisti di Sophos hanno rilevato il complesso meccanismo di infezione utilizzato dal malware. Tale approccio tattico consente al malware di funzionare in un contesto che ne permette la stabilità e l’attivazione completa delle funzionalità di payload.
L’esecuzione del malware inizia con un file LNK di Windows dannoso nascosto all’interno dell’archivio ZIP. Una volta eseguito, il file LNK contiene un comando Windows offuscato che crea ed esegue un comando PowerShell codificato in Base64.
I commenti in lingua portoghese incorporati nel codice di PowerShell rivelano l’intenzione dell’autore di “aggiungere un’esclusione in Microsoft Defender” e “disabilitare UAC” (controllo dell’account utente). Queste modifiche creano un ambiente permissivo in cui il malware può operare senza attivare avvisi di sicurezza o richiedere l’interazione dell’utente per operazioni privilegiate.
Questo script PowerShell di prima fase avvia segretamente un processo Explorer che scarica il payload di fase successiva dai server di comando e controllo, tra cui hxxps[:]//www.zapgrande[.]com, expansiveuser[.]com e sorvetenopote[.]com.
Gli artefici della minaccia mostrano una notevole familiarità con l’architettura di sicurezza di Windows e con le caratteristiche di PowerShell, utilizzando metodi di offuscamento che permettono al malware di funzionare indisturbato per tempi prolungati.
La campagna distribuisce due payload distinti a seconda delle caratteristiche del sistema infetto: uno strumento di automazione del browser Selenium legittimo con ChromeDriver corrispondente e un trojan bancario denominato Maverick.
La funzionalità del payload Selenium permette ai malintenzionati di gestire le sessioni del browser attualmente attive, rendendo più semplice l’intercettazione delle sessioni web di WhatsApp e l’attivazione del processo di auto-propagazione del worm.
RedazioneIl CEO di NVIDIA, Jen-Hsun Huang, oggi supervisiona direttamente 36 collaboratori suddivisi in sette aree chiave: strategia, hardware, software, intelligenza artificiale, pubbliche relazioni, networki...
La Duma di Stato della Federazione Russa ha adottato all’unanimità un appello a tutti gli sviluppatori di reti neurali nazionali e stranieri, chiedendo che all’intelligenza artificiale venga impe...
OpenAI ha presentato Aardvark, un assistente autonomo basato sul modello GPT-5 , progettato per individuare e correggere automaticamente le vulnerabilità nel codice software. Questo strumento di inte...
Analisi RHC sulla rete “BHS Links” e sulle infrastrutture globali di Black Hat SEO automatizzato Un’analisi interna di Red Hot Cyber sul proprio dominio ha portato alla luce una rete globale di ...
Abbiamo recentemente pubblicato un approfondimento sul “furto del secolo” al Louvre, nel quale sottolineavamo come la sicurezza fisica – accessi, controllo ambientale, vigilanza – sia oggi str...
