Passa ai contenuti principali

Il gruppo russo EncryptHub sfrutta la falla "MSC EvilTwin" per distribuire il malware Fickle Stealer

Il gruppo hacker noto come EncryptHub (anche identificato come LARVA-208 o Water Gamayun) ha intensificato una campagna che sfrutta la vulnerabilità CVE-2025-26633—detta “MSC EvilTwin”—per colpire sistemi Microsoft Windows tramite file MSC contraffatti e ingegnosa ingegneria sociale.

La tecnica consiste nell’invio di richieste tramite Microsoft Teams da parte di soggetti che si spacciano per membri del reparto IT. Questo stratagemma induce la vittima a stabilire una connessione remota e a eseguire script PowerShell, tra cui uno denominato runner.ps1, che scarica e attiva due file MSC: uno legittimo e uno malevolo. L’esecuzione del secondo, grazie allo sfruttamento della falla, permette al malware di prendere il controllo del sistema.

Una volta attivo, il malware stabilisce persistenza sul dispositivo, raccoglie informazioni di sistema e comunica con un server di comando e controllo (C2). Tramite un canale AES-criptato, riceve e decripta istruzioni che gli consentono di eseguire ulteriori payload, tra cui il downloader “Fickle Stealer”. Viene inoltre impiegato un loader basato su Golang chiamato SilentCrystal, che utilizza la piattaforma Brave Support per ospitare e distribuire il pacchetto zip contenente i file compromessi — uno stratagemma particolarmente audace, perché l’upload sulla piattaforma è normalmente limitato per account nuovi, suggerendo che gli attaccanti avessero accesso illegittimo a un account con permessi avanzati.

Altri strumenti utilizzati includono:
  • Un backdoor Golang in grado di operare sia in modalità client che server e trasmettere metadati del sistema, oltre a facilitare la configurazione dell’infrastruttura C2 tramite il protocollo SOCKS5;
  • L’impiego di piattaforme video fasulle come “RivaTalk” per incentivare la vittima a scaricare un installer MSI:
    • Questo installa il file legittimo “ELAM” (Early Launch Anti-Malware) di Symantec, che funge da vettore per il caricamento di una DLL malevola;
    • La DLL, a sua volta, esegue script PowerShell che esfiltrano dati e attendono comandi crittografati, eseguendoli sul sistema vittima;
    • Il malware mostra inoltre un falso popup "System Configuration" come diversivo, mentre effettua traffico di rete fittizio per mascherare le comunicazioni con il C2.
Questa campagna dimostra la crescente sofisticazione di EncryptHub: un mix letale di social engineering, abuso di piattaforme fidate e sofisticazione tecnica. Trustwave SpiderLabs sottolinea l’importanza di strategie di difesa stratificate, aggiornamenti tempestivi, intelligence sulle minacce e formazione continua degli utenti.
Tag:

Commenti

Posta un commento

Popolari

BatShadow, l’esca ai disoccupati, il malware “Vampire Bot” scritto in Go

Un gruppo di minaccia con nome BatShadow, probabilmente attivo in Vietnam, è recentemente al centro dell’attenzione per una campagna che punta a reclutare vittime fra chi cerca lavoro o svolge attività nel digital marketing inviando offerte false mascherate da opportunità professionali. L’obiettivo: infiltrare sistemi con un malware fino ad oggi poco documentato chiamato Vampire Bot. La catena di attacco comincia con un’email con allegato ZIP in cui si trova un documento PDF decoy e file pericolosi come shortcut (LNK) o eseguibili mascherati da PDF. Se l’utente apre il file “PDF” — che in realtà è un eseguibile — si attiva uno script PowerShell incluso nel LNK che contatta un server remoto per scaricare ulteriori payload. Fra questi payload c’è una versione “truccata” di XtraViewer (software di accesso remoto) usata probabilmente per mantenere la persistenza su macchine compromesse. Un inganno ulteriore entra in gioco quando la vittima clicca in un PDF su un link per visualizzare il co...
Posta un commento
Continua a leggere »

Zimbra, lo zero-day nelle .ICS che ha preso di mira il mondo reale

Nei primi mesi del 2025 è stato scoperto e sfruttato in attacchi mirati un difetto di sicurezza nel client web “Classic” di Zimbra Collaboration: la vulnerabilità è stata tracciata come CVE-2025-27915 e consiste in una forma di Stored Cross-Site Scripting (XSS) legata al modo in cui Zimbra gestisce e renderizza il contenuto HTML presente in file iCalendar (.ICS). Il bug è stato impiegato in campagne che, secondo i primi report, hanno preso di mira organizzazioni sensibili (tra cui forze armate in Brasile) utilizzando calendari iCalendar appositamente costruiti per far eseguire codice nel contesto della sessione dell’utente. Tecnicamente l’exploit sfrutta la scarsa sanitizzazione del contenuto HTML contenuto in un file .ICS: quando il web client Classic importa o visualizza l’evento del calendario, porzioni di HTML malevolo inserite nell’ICS non vengono filtrate correttamente e finiscono per essere eseguite nel browser della vittima come se fossero parte dell’interfaccia di Zimbra. Ques...
Posta un commento
Continua a leggere »

Violazione su Discord, rubati dati e documenti d’identità dal sistema di supporto clienti. Compromesso un partner esterno

Discord ha confermato di aver subito una violazione dei dati, ma a differenza di quanto molti temevano, l’attacco non ha colpito direttamente i suoi server o infrastrutture principali. L’origine dell’incidente è stata individuata in un fornitore esterno di supporto clienti, probabilmente il sistema di ticketing gestito da Zendesk, che avrebbe rappresentato il punto d’ingresso per gli attaccanti. Attraverso la compromissione di questo servizio, i criminali informatici sono riusciti ad accedere a informazioni relative agli utenti che avevano contattato l’assistenza Discord. I dati esposti comprendono nomi, username, indirizzi email, indirizzi IP, conversazioni con il supporto e alcune informazioni di pagamento, come il tipo di carta e le ultime quattro cifre. Discord ha anche confermato che una parte delle immagini di documenti d’identità utilizzate per la verifica dell’età, come passaporti o patenti, è stata inclusa nella violazione. Secondo l’azienda, circa 70.000 utenti potrebbero ave...
Posta un commento
Continua a leggere »