Zloader Trojan (noto anche come Zeus Sphinx e Terdot) è stato inizialmente individuato nell’agosto 2015. Si basa sul codice sorgente trapelato del Trojan Zeus v2 e i criminali informatici lo hanno utilizzato in attacchi a organizzazioni finanziarie in tutto il mondo raccogliendo dati sensibili tramite iniezioni web. All’inizio del 2018, l’uso di questo Trojan bancario […]
Digest delle Regole: Trojan, Cyberspie e gruppo RATicate
Questa settimana nel nostro digest ci sono regole sviluppate esclusivamente dai partecipanti del Programma Threat Bounty. L’attore delle minacce dietro la recente variante di Ursnif probabilmente conduce operazioni di criminalità informatica mirate che sono ancora in corso. Al centro di queste campagne c’è una variante del Trojan Ursnif che è stata riproposta come strumento di […]
Regola della Settimana: Rilevamento Malware QakBot
Il trojan bancario QakBot (alias QBot) è stato utilizzato in attacchi a organizzazioni per oltre 10 anni, e i suoi autori monitorano continuamente le tendenze del panorama delle minacce aggiungendo nuove funzionalità o rimuovendole se non funzionano correttamente. Nel 2017, questo malware possedeva capacità simili a un worm ed era in grado di bloccare gli […]
Contenuto di Rilevamento: Campagna di Kpot Info Stealer
COVID-19 è di gran lunga l’argomento più popolare sfruttato dai cybercriminali nelle campagne di phishing e malspam. Recentemente, gli attaccanti hanno trovato un modo nuovo ed efficace per convincere l’utente ad aprire un allegato dannoso. I ricercatori di IBM X-Force hanno scoperto una campagna dannosa che utilizzava email che sembravano essere messaggi dal Dipartimento del […]
Contenuto di Threat Hunting: Trojan TAINTEDSCRIBE
La scorsa settimana, CISA, FBI e DoD hanno rilasciato rapporti di analisi di malware sui recenti strumenti scoperti del noto gruppo Lazarus che svolgono operazioni nell’interesse del governo nordcoreano. Le varianti di malware, chiamate COPPERHEDGE, TAINTEDSCRIBE e PEBBLEDASH, possono essere utilizzate per il riconoscimento e l’eliminazione di informazioni riservate sui sistemi target. Il malware TAINTEDSCRIBE […]
Contenuto di Rilevamento: Caccia al Netwire RAT
NetWire è un Trojan di Accesso Remoto disponibile pubblicamente che fa parte della famiglia di malware NetWiredRC utilizzata dai criminali informatici dal 2012. La sua funzionalità principale si concentra sul furto di credenziali e keylogging, ma possiede anche capacità di controllo remoto. Gli avversari distribuiscono spesso NetWire attraverso malspam e email di phishing. In una […]
Intervista con lo Sviluppatore: Emir Erdogan
Continuiamo a intervistare i membri del Threat Bounty Program (https://my.socprime.com/en/tdm-developers), e oggi vogliamo presentarvi Emir Erdogan. Emir partecipa al programma da settembre 2019, ha pubblicato oltre 110 regole Sigma a suo nome, ma Emir pubblica anche regole YARA per rilevare le minacce effettive. Le sue regole si trovano spesso nei nostri post del blog: Sintesi […]
Contenuto di Threat Hunting: Rilevamento Multiplo HawkEye
Iniziamo la settimana con una nuova regola di Emir Erdogan – HawkEye Multiple Detection (Campagna di Phishing a Tema Covid19). Questo malware è noto anche come Predator Pain e ruba una varietà di informazioni sensibili dal sistema infetto, tra cui informazioni sul portafoglio bitcoin e credenziali di browser e client di posta. Lo stealer è […]
Digest delle Regole: RCE, CVE, OilRig e altro
Questo digest include regole sia dai membri del Programma Threat Bounty che dal SOC Prime Team. Iniziamo con le regole di Arunkumar Krishna che debutterà nel nostro Rule Digest con CVE-2020-0932: Un errore di esecuzione di codice remoto in Microsoft SharePoint. CVE-2020-0932 è stata corretta a aprile, permette agli utenti autenticati di eseguire codice arbitrario […]
Regola della Settimana: Rilevamento del Ransomware Nefilim/Nephilim
Questa settimana vogliamo evidenziare la regola Sigma della comunità creata da Emir Erdogan che aiuta a rilevare il ransomware Nefilim/Nephilim utilizzato in attacchi distruttivi. Questa famiglia di ransomware è stata scoperta per la prima volta due mesi fa, e il suo codice si basa sul ransomware NEMTY, emerso l’estate scorsa come programma affiliato pubblico. Sembra […]