E ancora, vogliamo evidenziare il contenuto per rilevare il malware QBot nella sezione Rule of the Week. Circa un mese fa, una regola semplice ma efficace di Emir Erdogan è già stata pubblicata in questa sezione. Ma il trojan dodicenne continua ad evolversi, e solo pochi giorni fa sono stati scoperti nuovi campioni di questo […]
Contenuto di Threat Hunting: Rilevamento del Ransomware Avaddon
Un nuovo arrivato sulla scena del Ransomware, Avaddon Ransomware è stato attivamente diffuso in campagne di spam dall’inizio del mese, e gli attaccanti dietro di esso continuano a reclutare affiliati nei forum underground. Durante una delle campagne rilevate è stata inviata una serie di, i criminali informatici hanno inviato oltre 300.000 email dannose utilizzando Phorphiex/Trik […]
Contenuto di Rilevamento: Trojan Bancario Grandoreiro
I trojan bancari dell’America Latina stanno per diventare una tendenza separata nella scrittura di malware. Gli avversari creano regolarmente nuovi Trojan or Exploit Kits per attaccare gli utenti bancari in Brasile, Messico e Perù, e con ogni nuova campagna malevola espandono le loro liste di bersagli prima ai paesi vicini, e poi a campagne mondiali. […]
Contenuto per la Caccia alle Minacce: Campagna di Phishing con Inviti Zoom
Le esche a tema Zoom continuano ad essere utilizzate attivamente dai criminali informatici, occupando un posto d’onore tra i primi dieci argomenti più utilizzati nelle campagne di phishing. Sin dall’inizio del lockdown, con la crescita della popolarità di Zoom, il numero di attacchi è aumentato e, anche dopo che i ricercatori hanno scoperto seri problemi […]
Contenuto di Rilevamento: Individuare il Trojan Lokibot
Lokibot è un malware di tipo trojan progettato per raccogliere un’ampia gamma di dati sensibili. È stato notato per la prima volta nel 2015 e rimane molto popolare tra i criminali informatici poiché può essere acquistato nel forum sotterraneo da qualsiasi attaccante. Alcuni anni fa, i “smanettoni” hanno imparato ad aggiungere da soli indirizzi di […]
Digest delle Regole: Gruppi APT, Campagne Malware e Telemetria di Windows
Questa settimana il nostro Rule Digest copre più contenuti del solito. Compila regole per rilevare recenti attacchi di attori sponsorizzati dallo Stato, campagne di malware condotte da cybercriminali e abuso della telemetria di Windows. Mustang Panda è il gruppo di minaccia basato in Cina che ha dimostrato la capacità di assimilare rapidamente nuovi strumenti […]
Regola della Settimana: Trojan Bunitu
Oggi nella sezione Regola della Settimana vogliamo evidenziare una nuova regola di threat hunting di Ariel Millahuel che aiuta a rilevare i campioni di Bunitu Proxy Trojan: https://tdm.socprime.com/tdm/info/3evdCZVz3mCX/_WrlonIBPeJ4_8xctGPi/?p=1 Bunitu Trojan viene utilizzato per trasformare i sistemi infetti in proxy per clienti remoti. Le sue azioni dannose possono rallentare il traffico di rete e gli avversari […]
Contenuto di Threat Hunting: Higaisa APT
Higaisa APT è noto da novembre 2019, quando i ricercatori di Tencent lo hanno per la prima volta documentato le sue attività. Il gruppo è stato scoperto di recente, ma gli aggressori operano da diversi anni e usano strumenti comuni per complicare l’attribuzione. Utilizzano principalmente malware per dispositivi mobili e i trojan Gh0st e PlugX. […]
Contenuto di Rilevamento: Tycoon Ransomware
Nonostante il fatto che nuove famiglie di ransomware appaiano piuttosto spesso, la maggior parte di esse si concentra esclusivamente sui sistemi Windows. Molto più interessante è Tycoon, un ransomware Java multipiattaforma che può crittografare file su sistemi sia Windows che Linux. Questa famiglia è stata osservata in-the-wild almeno da dicembre 2019. I suoi autori lo […]
Contenuto per la Caccia alle Minacce: Campagna di Spionaggio del Gruppo Sandworm
Unità di cyberspionaggio sponsorizzata dallo stato russo nota per i suoi attacchi distruttivi che sta attivamente compromettendo i server di posta Exim tramite una vulnerabilità di sicurezza critica (CVE-2019-10149). Alla fine di maggio, la National Security Agency ha pubblicato un Avviso di sicurezza informatica che ha avvertito di una campagna legata al Sandworm Group. Il […]