Passa ai contenuti principali

Nuova variante del malware ZLoader che si diffonde tramite falsi annunci di download di TeamViewer

Gli utenti che cercano il software desktop remoto TeamViewer su motori di ricerca come Google vengono reindirizzati a collegamenti dannosi che rilasciano malware ZLoader sui loro sistemi mentre contemporaneamente abbracciano una catena di infezioni più furtiva che gli consente di indugiare sui dispositivi infetti e di eludere il rilevamento da parte delle soluzioni di sicurezza.

"Il malware viene scaricato da un annuncio pubblicitario di Google pubblicato tramite Google Adwords", hanno affermato i ricercatori di SentinelOne in un rapporto pubblicato lunedì. "In questa campagna, gli aggressori utilizzano un modo indiretto per compromettere le vittime invece di utilizzare il classico approccio di comprometterle direttamente, ad esempio tramite il phishing".

Scoperto per la prima volta nel 2016, ZLoader (noto anche come Silent Night e ZBot) è un trojan bancario completo e un fork di un altro malware bancario chiamato ZeuS, con versioni più recenti che implementano un modulo VNC che garantisce agli avversari l'accesso remoto ai sistemi delle vittime. Il malware è in fase di sviluppo attivo, con attori criminali che hanno generato una serie di varianti negli ultimi anni, non meno alimentati dalla fuga del codice sorgente di ZeuS nel 2011.

Si ritiene che l'ultima ondata di attacchi prenda di mira gli utenti delle istituzioni finanziarie australiane e tedesche con l'obiettivo primario di intercettare le richieste web degli utenti ai portali bancari e rubare le credenziali bancarie. Ma la campagna è anche degna di nota per i passaggi necessari per rimanere sotto il radar, inclusa l'esecuzione di una serie di comandi per nascondere l'attività dannosa disabilitando Windows Defender.

La catena di infezione inizia quando un utente fa clic su un annuncio mostrato da Google nella pagina dei risultati di ricerca e viene reindirizzato al falso sito TeamViewer sotto il controllo dell'attaccante, inducendo così la vittima a scaricare una variante canaglia ma firmata del software ("Team- Visualizzatore.msi"). Il falso programma di installazione funge da dropper di prima fase per attivare una serie di azioni che comportano il download di dropper di fase successiva volti a compromettere le difese della macchina e infine il download del payload DLL ZLoader ("tim.dll").

"In un primo momento, disabilita tutti i moduli di Windows Defender tramite il cmdlet Set-MpPreference di PowerShell", ha affermato Antonio Pirozzi, Senior Threat Intelligence Researcher di SentinelOne. "Aggiunge quindi esclusioni, come regsvr32, *.exe, *.dll, con il cmdlet Add-MpPreference per nascondere tutti i componenti del malware da Windows Defender."

La società di sicurezza informatica ha affermato di aver trovato ulteriori artefatti che imitano app popolari come Discord e Zoom, suggerendo che gli aggressori avevano più campagne in corso oltre a sfruttare TeamViewer.

"La catena di attacco analizzata in questa ricerca mostra come la complessità dell'attacco sia cresciuta per raggiungere un livello più elevato di furtività, utilizzando un'alternativa al classico approccio di compromettere le vittime tramite e-mail di phishing", ha spiegato Pirozzi. "La tecnica utilizzata per installare il dropper di prima fase è stata modificata dall'ingegneria sociale della vittima all'apertura di un documento dannoso all'avvelenamento delle ricerche Web dell'utente con collegamenti che forniscono un payload MSI nascosto e firmato".
Tag:

Commenti

Posta un commento

Popolari

CTF, talento e gioco di squadra. Il Team Italy pronto alla sfida europea

A Torino è stata presentata la squadra nazionale italiana di cybersicurezza, il Team Italy 2025-2026, composta da dieci studenti selezionati tra licei, istituti tecnici e università chiamati a rappresentare l’Italia nelle prossime competizioni nazionali e internazionali. La squadra parteciperà, a ottobre, allo European Cybersecurity Challenge che si terrà a Varsavia: una vetrina importante dove i giovani talenti mettono alla prova tecniche di difesa e attacco in scenari simulati e controllati. Alla base della preparazione c’è un approccio pratico e collettivo: training e addestramento gratuiti organizzati dal Cybersecurity National Lab del CINI, che trasformano il gioco in formazione concreta per professionisti di domani. Questo percorso mostra come il mondo delle CTF (capture the flag) non sia solo svago ma una palestra fondamentale per allenare competenze applicabili alla protezione di infrastrutture strategiche come ospedali, scuole e aeroporti. Le CTF vanno celebrate: offrono scena...
Posta un commento
Continua a leggere »

Il fantasma di Stuxnet. Quanto siamo pronti a fermare un attacco simile nel 2025

Quindici anni dopo la scoperta di Stuxnet, il malware che nel 2010 dimostrò la possibilità concreta di sabotare un impianto industriale attraverso il codice, la domanda sul ripetersi di un’operazione simile è più attuale che mai. All’epoca, la combinazione di zero-day Windows, driver firmati con certificati contraffatti e la manipolazione dei PLC Siemens che controllavano le centrifughe iraniane segnarono una svolta epocale: per la prima volta un’arma informatica aveva prodotto un effetto fisico su larga scala, nascosta dietro feedback falsificati che trassero in inganno gli operatori. Non era un malware generico, né un ransomware, ma una vera e propria operazione militare digitale disegnata per un obiettivo specifico. Dal 2010 al 2025 lo scenario è cambiato radicalmente. Le infrastrutture industriali sono sempre più connesse con reti IT e servizi cloud, ampliando una superficie d’attacco che un tempo era confinata in ambienti isolati. Le tecniche offensive si sono evolute: non solo ma...
Posta un commento
Continua a leggere »

iPhone 17 Pro, la nuova frontiera della sicurezza Apple

Apple ha presentato con la serie iPhone 17 (incluse le versioni Pro) una delle sue evoluzioni più importanti in ambito sicurezza, puntando esplicitamente a contrastare spyware sofisticati e vulnerabilità di memoria – tipico punto di ingresso per attacchi mirati. Ecco cosa cambia davvero, cosa resta da fare e perché queste novità sono rilevanti per chi si occupa di sicurezza informatica. Quando si parla di sicurezza sui nuovi iPhone 17 Pro, le innovazioni più significative sono: - Memory Integrity Enforcement (MIE): nuova protezione hardware/software “always-on” che combina vari meccanismi per impedire exploit basati su bug di memoria. - Enhanced Memory Tagging Extension (EMTE): è il “cuore” della protezione, su cui si basa la gestione più sicura della memoria, con tagging, confidenzialità dei tag, e allocatori di memoria più robusti. - Applicazione difensiva su aree sensibili del sistema, incluso il kernel e più di settanta processi “userland” considerati ad alto rischio. - MIE avrà ef...
Posta un commento
Continua a leggere »