Blog · research & analysis
Negli ultimi mesi sono state identificate diverse campagne e-mail di tipo Phishing contenenti file HTML malevoli (report). I file allegati contengono del codice JavaScript che sfrutta funzionalità di HTML5 per il download automatico di malware. L’attacco è stato denominato HTML Smuggling. Fasi dell’Attacco HTML Smuggling L’attacco consiste in una serie di passaggi automatizzati che permettono il download … Read more
Recentemente è stato individuato un nuovo gruppo chiamato SnapMC che, in 30 minuti, viola i sistemi di un’organizzazione, ruba i loro dati sensibili e richiedere il pagamento per impedirne la diffusione. Questo gruppo non utilizza i Ransomware, per cui non è interessato alla cifratura dei dati, ma solamente alla loro esfiltrazione. Solitamente sfruttano VPN e … Read more
Negli ultimi giorni sono stati osservati diversi nuovi attacchi Ransomware Conti associati alla presenza del malware TrickBot. L’aumento di attacchi e diffusione del ransomware sembrerebbe associata a nuovi accordi di affiliazione stretti tra i gruppi Hive0106 e Hive0107 con la gang TrickBot, nota anche per i malware BazarLoader e TirckBot. Il Malware Il Trojan bancario TrickBot … Read more
Quando si tratta di Ransomware, le modalità con cui i vari operatori eseguono l’attacco possono essere molto diverse fra loro. In questo articolo condividiamo alcuni dettagli tecnici osservati durante la fase di compromissione dagli operatori della Gang del Ransomware Conti, particolarmente attiva e fra i più maturi nel panorama (riferimento).
Nelle ultime settimane è stata pubblicata un analisi su un gruppo criminale i cui attacchi risalgono all’ottobre 2018. Il gruppo, al quale è stato attribuito il nome FIN12, si distingue dalle altre Ransomware Gang per i suoi target. Sono stati osservati numerosi attacchi ad aziende nel settore sanitario e ospedaliero, con richieste di riscatto particolarmente elevate.
Jupyter è un Infostealer di probabile provenienza russa progettato con lo scopo di rubare alle vittime le loro informazioni personali e sensibili. La funzione primaria è quella di prelevare le informazioni memorizzate all’interno di browser come Chromium, Firefox e Chrome; include anche funzionalità di backdoor, la quale permette ai criminali di eseguire codice Powershell e … Read more
In un noto forum dell’underground criminale un utente ha pubblicato l’evidenza di una backdoor all’interno del Ransomware REvil. La Backdoor permetterebbe agli sviluppatori del Ransomware di generare la chiavi di decifratura senza l’ausilio dell’affiliato che ha materialmente eseguito l’attacco. Il RaaS REvil REvil è un ransomware appartenente alla famiglia dei RaaS (Ransomware-as-a-Service), il cui utilizzo … Read more
E’ stata identificata una vulnerabilità dei sistemi Microsoft Windows relativa alla tabella binaria WPBT (Windows Platform Binary Table) che interessa tutti i dispositivi basati sul sistema operativo Microsoft a partire da Windows 8 e che potrebbe essere potenzialmente sfruttato per installare Rootkit e compromettere l’integrità dei dispositivi. Come riportato in dettaglio, queste tabelle possono essere … Read more
La vulnerabilità CVE-2021-40444 riguarda il motore MSHTML di Internet Explorer.
Le prime campagne che sfruttano questa vulnerabilità sono state identificate ad Agosto 2021
