Da siti falsi di Proton VPN a mod di giochi, questo infostealer di Windows è ovunque

"graph TB %% Class Definitions classDef action fill:#ffcccc classDef tool fill:#c2c2f0 classDef process fill:#c2f0c2 classDef malware fill:#ffd966 %% Nodes initial_access["<b>Azione</b> – <b>T1204.002 Esecuzione Utente</b>: La vittima scarica un file ZIP dannoso da un sito VPN o utility hardware falso e lo esegue."] class initial_access action malicious_zip["<b>Malware</b> – <b>Nome</b>: Archivio ZIP Dannoso<br/><b>Offuscamento</b>: T1027.015 Compressione"] class malicious_zip malware powershell_loader["<b>Processo</b> – <b>Nome</b>: Caricatore PowerShell<br/><b>Tecnica</b>: T1059.001 Interprete di Comandi e Script"] class powershell_loader process defender_exclusion["<b>Azione</b> – <b>T1564.012 Nascondere Artefatti</b>: Aggiunge le sue cartelle alla lista di esclusione di Windows Defender."] class defender_exclusion action impair_defenses["<b>Azione</b> – <b>T1562 Indebolire Difese</b>: Modifica le impostazioni di sicurezza tramite PowerShell per evadere il rilevamento."] class impair_defenses action cmstp_tool["<b>Strumento</b> – <b>Nome</b>: cmstp.exe<br/><b>Tecnica</b>: T1218.003 Esecuzione di Proxy Binario di Sistema"] class cmstp_tool tool uac_bypass["<b>Azione</b> – <b>T1548.002 Bypass UAC</b>: Utilizza CMSTP con un file INF appositamente creato per ottenere diritti elevati."] class uac_bypass action regasm_tool["<b>Strumento</b> – <b>Nome</b>: regasm.exe<br/><b>Tecnica</b>: T1218.009 Esecuzione di Proxy Binario di Sistema"] class regasm_tool tool process_hollowing["<b>Azione</b> – <b>Process Hollowing</b>: Crea processo Regasm e lo svuota tramite API NT."] class process_hollowing action dll_hijack["<b>Azione</b> – <b>T1574.001 DLL Hijacking</b>: Distribuisce iviewers.dll dannoso che viene caricato da eseguibili legittimi."] class dll_hijack action persistence["<b>Azione</b> – <b>T1546 Esecuzione Attivata da Evento</b> & <b>T1547 Avvio Automatico all’Avvio o al Logon</b>: Pianifica task per eseguire il payload al logon dell’utente con privilegi elevati."] class persistence action cred_browser["<b>Azione</b> – <b>T1555.003 Credenziali dai Browser Web</b>: Raccoglie password e cookie da più browser."] class cred_browser action cred_cookie["<b>Azione</b> – <b>T1539 Rubare Cookie di Sessione Web</b>: Estrae cookie di sessione per servizi web."] class cred_cookie action browser_discovery["<b>Azione</b> – <b>T1217 Scoperta Informazioni del Browser</b>: Enumera profili del browser, estensioni e impostazioni."] class browser_discovery action c2_dead_drop["<b>Azione</b> – <b>T1102.001 Risolutore di Dead Drop del Servizio Web</b>: Recupera ulteriori informazioni C2 da un canale di deadu2011drop su Telegram."] class c2_dead_drop action c2_bidirectional["<b>Azione</b> – <b>T1102.002 Comunicazione Bidirezionale del Servizio Web</b>: Comunica con C2 su HTTP criptato."] class c2_bidirectional action %% Connections initial_access –>|fornisce| malicious_zip malicious_zip –>|esegue| powershell_loader powershell_loader –>|crea directory nascoste e aggiunge esclusioni| defender_exclusion powershell_loader –>|modifica impostazioni di sicurezza| impair_defenses powershell_loader –>|invoica| cmstp_tool cmstp_tool –>|abilita| uac_bypass uac_bypass –>|avvia| regasm_tool regasm_tool –>|esegue| process_hollowing process_hollowing –>|libera| dll_hijack dll_hijack –>|facilita| persistence persistence –>|fornisce appoggio per| cred_browser cred_browser –>|raccoglie| cred_cookie cred_browser –>|raccoglie| browser_discovery cred_cookie –>|usato per| c2_dead_drop browser_discovery –>|fornisce informazioni a| c2_dead_drop c2_dead_drop –>|comunica via| c2_bidirectional

Flow dell’Attacco