Malpedia

StrRat 23/10/2023

Analisi di una campagna StrRat veicolata in Italia

Sono trascorsi circa quattro mesi dall’ultima campagna StrRat osservata in Italia. L’e-mail circolata in data odierna è scritta in lingua inglese ma sembra provenire da una nota azienda italiana che si occupa di progettare macchinari industriali ed ha sede a Brescia. Naturalmente il mittente è spoofato ed il contenuto dell’e-mail è confezionata ad arte.

rat ScreenConnect 19/10/2023

Sempre più preoccupante il fenomeno delle campagne RAT

Una simile organizzazione è comune nei gruppi APT, dove gli operatori sono dipendenti e coprono orari e turni di lavoro come qualunque altro lavoratore. Infine, il processo di monetizzazione basato sull’accesso ai computer delle vittime è diverso dalla monetizzazione di credenziali e carte di credito rubate. Le connessioni (umane) necessarie per vendere i primi sono diverse da quelle necessarie per vendere le seconde. Questi adattamenti non sono quindi scontati e non succedono spontaneamente, c’è un progetto dietro e comunque una precisa volontà di cambiare tattica.

android spynote 18/10/2023

In crescita la diffusione di spyware per Android: il caso di SpyNote

Grazie alla modularità delle funzioni fornite attraverso il builder e al suo continuo sviluppo (stando alle indiscrezioni di Palo Alto era già presente nel 2016) SpyNote è uno dei malware per Android che si distingue per l’elevata capacità di raccogliere informazioni e per la flessibilità che offre agli attori malevoli di estendere le funzionalità tramite le costanti interazioni con il C2.

Tali funzionalità, oltre a rappresentare una grande opportunità per le piccole organizzazioni criminali il cui unico obiettivo è quello di svuotare i conti correnti delle vittime, si prestano bene per operazioni ben più complesse che mirano invece alle attività di spionaggio.

analisi infostealer malware 16/10/2023

Entra in azione un nuovo infostealer: 0bj3ctivity

Lo scorso 13 ottobre il CERT-AGID ha rilevato una campagna malware in linuga inglese (ma che ha coinvolto anche caselle di posta italiane) volta a veicolare un nuovo infostealer. La campagna utilizza un loader scritto in VBS che non sembra avere ancora un nome. Negli ultimi mesi questo loader ha fatto il suo debutto anche in campagne italiane (insieme ad IDAT Loader, precedentemente assente nel panorama italiano).

knight ransomware 02/10/2023

Come funziona il ransomware Knight – Analisi con l’aiuto di Triton

Il modello di business non prevede un programma di affiliazione come avviene per altri gruppi ransomware finora osservati. Il software è acquistabile da chiunque e pronto all’uso, il componente dedito alla cifratura dei file (il ransomware vero e proprio) viene venduto separatamente da quello atto al furto dei file (lo stealer in gergo). Non è stata infatti rilevata capacità di esfiltrazione dati nell’analisi del campione analizzato dal CERT-AGID.

packer strela 23/05/2023

Analisi tecnica e considerazioni sul malware Strela

Strela è un semplice stealer specializzato nel furto delle credenziali di posta dagli applicativi Thunderbird e Outlook.

L’infezione non usa TTP peculiari ed è essenzialmente un classico esempio di malware diffuso tramite packer. Una volta che il payload è in esecuzione, questo ruba gli account Thunderbird ed Outlook e li invia al C2.

blustealer criptovalute darkcloud infostealer purecrypter 06/10/2022

BluStealer arriva in Italia: come è fatto il malware che ruba password, carte di credito, e-mail e criptovalute

Questa settimana una email con oggetto “Bonifici (SWIFT)” ha raggiunto le caselle di posta di diversi utenti italiani con una comunicazione che apparentemente sembra provenire dall’Istituto di Credito Relax Banking e che mostra nel corpo del messaggio l’anteprima miniaturizzata di due file PDF. Le vittime sono quindi spinte a cliccare su tali anteprime con l’intenzione […]

apk hydra 21/09/2022

Analisi del trojan bancario Hydra diffuso in Italia

Recentemente D3Lab ha rilevato e condiviso con il CERT-AgID un campione di malware per dispositivi Android individuato in una campagna di smishing rivolta verso utenti italiani. La campagna è veicolata tramite link riportato in un SMS e la pagina di download risulta visibile solo se visitata da un browser che si presenti con User-Agent Android. […]

guloader 21/07/2022

Tecniche per semplificare l’analisi del malware GuLoader

Gli analisti di CERT-AgID hanno osservato GuLoader in Italia per la prima volta verso la fine mese di marzo 2021. Nell’arco dello scorso anno sono state registrate solo 6 campagne che utilizzavano GuLoader sfruttando il tema “Pagamenti“, “Preventivo” e “Ordine” con lo scopo di veicolare il malware AgentTesla ed in un solo caso si è […]