Un altro Infostealer con funzioni di backdoor è stato scoperto a fine luglio. Gli autori del malware lo pubblicizzano sui forum di cibercriminalità russi e vendono varie modifiche dell’utilità a un prezzo accessibile. Il nuovo Infostealer è scritto in C++ ed è stato soprannominato PurpleWave dai suoi autori. Il malware può eseguire una serie di […]
Contenuto di Rilevamento: Malware Drovorub
La scorsa settimana, l’FBI e la NSA hanno rilasciato un allerta di sicurezza congiunta contenente dettagli sul malware Drovorub, un nuovo strumento nelle mani di APT28. Questo è un malware Linux utilizzato per impiantare backdoor nelle reti compromesse. Il malware è un sistema multi-componente che consiste in un rootkit del modulo kernel, un impianto, un […]
Regole di Threat Hunting: Possibile Connessione C2 tramite DoH
È passato un anno da quando il primo malware ha timidamente sfruttato DNS-over-HTTPS (DoH) per recuperare gli IP per l’infrastruttura di comando e controllo. I ricercatori di sicurezza avevano già avvertito che questo poteva essere un problema serio e hanno iniziato a cercare una soluzione che aiutasse a rilevare tale traffico malevolo. Sempre più più […]
Contenuto di Rilevazione: Trojan Bancario Mekotio
Mekotio è un altro trojan bancario dell’America Latina che è mirato principalmente a utenti in Brasile, Messico, Spagna, Cile, Perù e Portogallo. Questo è un malware persistente distribuito tramite email di phishing e assicura la persistenza sia creando un file LNK nella cartella di avvio sia utilizzando una chiave Run. È capace di rubare criptovaluta […]
Regole di Caccia alle Minacce: Comportamento del Gruppo Gamaredon
Il gruppo Gamaredon è apparso nel 2013 e inizialmente non utilizzava malware personalizzati, ma nel tempo ha sviluppato una serie di strumenti di cyber spionaggio, tra cui Pterodo e EvilGnome malware. Negli ultimi mesi, il gruppo è stato attivamente inviando email di phishing con documenti contenenti macro malevole che scaricano una moltitudine di varianti di […]
Rilevamento dello sfruttamento di CVE-2020-17506 e CVE-2020-17505 (Artica Proxy)
Con il post di oggi, vogliamo informarvi su diverse vulnerabilità recentemente scoperte in Artica Proxy, un sistema che consente agli utenti con competenze tecniche di base di gestire un server proxy in modalità trasparente, oltre alla connessione a AD e OpenLDAP, versione 4.30. La vulnerabilità appena segnalata CVE-2020-17506 di Artica Proxy consente agli hacker di […]
Contenuto di Rilevamento: sfruttamento di CVE-2019-16759 con nuovo metodo
Oggi vogliamo mettere un avviso sulla vulnerabilità CVE-2019-16759 in vBulletin, il software forum più ampiamente utilizzato, osservato per la versione 5 e successive. La vulnerabilità offre agli hacker l’opportunità di eseguire comandi remoti tramite il parametro widgetConfig[code] in una richiesta HTTP POST e, a seconda dei permessi dell’utente in vBulletin, ottenere il controllo sull’host. La […]
Contenuto di Rilevamento: Rilevatore LokiBot
Nel post di oggi vogliamo ricordare ai nostri lettori di LokiBot infostealer che fornisce backdoor al sistema operativo Windows della vittima e consente ai truffatori di rubare dati sensibili e persino introdurre diversi payload. LokiBot infostealer arriva alle vittime tramite campagne malspam spesso presentandosi come un mittente affidabile, contenente un documento allegato che invita il […]
Regole di Threat Hunting: Campagna di Phishing Water Nue
Nelle notizie di oggi, vogliamo avvisarti della campagna in corso da parte di Water Nue che prende di mira gli account aziendali di Office 365 negli Stati Uniti e in Canada. Notoriamente, i truffatori hanno raggiunto con successo un certo numero di dirigenti di alto livello in aziende di tutto il mondo e raccolto oltre […]
Contenuto di Rilevamento: Ransomware FTCode
Oggi, vogliamo attirare la vostra attenzione su un altro ransomware che prende di mira gli utenti di lingua italiana. Individuato per la prima volta dai ricercatori nel 2013, FTCode è un ransomware basato su PowerShell distribuito tramite spam. Negli attacchi recenti, il ransomware FTCode è stato consegnato ai computer delle vittime con un’email contenente un […]