Passa ai contenuti principali

Furto di dati su ordinazione. Così il nuovo MonsterV2 di TA585 colpisce le aziende

Ricercatori di cybersicurezza hanno svelato le ultime evoluzioni delle campagne del gruppo threat actor TA585, conosciuto anche come Squirrel Squall, che ora impiega una nuova variante del malware Monster stealer chiamata MonsterV2. Questo aggiornamento segna un significativo salto in avanti nelle capacità dell’operazione criminale, che da tempo utilizza campagne di phishing per colpire obiettivi in tutto il mondo. La nuova variante è stata progettata per essere più elusiva e potente, integrando sofisticate tecniche anti-analisi e una più ampia gamma di funzionalità di furto dei dati. Gli attacchi iniziano tipicamente con email di phishing ben costruite che si spacciano per notifiche di consegna di pacchi, fatture o comunicazioni aziendali urgenti. Questi messaggi contengono un allegato ZIP che, una volta aperto, avvia una complessa catena di esecuzione. Il processo inizia con un file di script, spesso un VBS o un JSE altamente offuscato, che funge da downloader. Il suo compito è recuperare ed eseguire il payload principale del Monster stealer da un server remoto controllato dagli attaccanti, il tutto mentre tenta di disabilitare i software di sicurezza presenti sul sistema. La vera minaccia, MonsterV2, si distingue per la sua architettura modulare e le sue capacità estese. Il malware è specializzato nel saccheggio di informazioni sensibili da un vasto spettro di applicazioni. Prende di mira non solo i dati memorizzati nei browser web, come credenziali, cookie autenticati e carte di credito, ma anche client di messaggistica istantanea, applicazioni di crittovalute e client FTP.

Una delle caratteristiche più pericolose di MonsterV2 è la sua capacità di esfiltrare i file stessi, cercando attivamente documenti specifici con estensioni come PDF, DOCX e TXT dall’intero file system della vittima. Per evitare il rilevamento, il malware incorpora diversi stratagemmi. Utilizza il packing per comprimere e cifrare il proprio codice, rendendolo illeggibile agli strumenti di analisi statica. Inoltre, è programmato per rimanere in silenzio se rileva la presenza di macchine virtuali, sandbox o ambienti di analisi, un tentativo chiaro di ostacolare l’opera dei ricercatori di sicurezza. Dopo aver raccolto i dati, questi vengono compressi in un archivio e trasmessi criptati ai server di comando e controllo degli hacker.

Per proteggersi da questa minaccia in evoluzione, è fondamentale adottare un approccio di sicurezza multilivello. La prima linea di difesa rimane la formazione degli utenti, che devono essere addestrati a riconoscere e segnalare le email di phishing sospette, con particolare attenzione agli allegati inaspettati. Le organizzazioni dovrebbero implementare politiche che limitino l’esecuzione di script potenti, come quelli Windows Script Host, sui computer degli utenti standard. A livello tecnico, sono essenziali soluzioni di sicurezza avanzate che utilizzino l’analisi comportamentale e il machine learning per identificare attività malevole, insieme a una rigorosa applicazione del principio del minimo privilegio per limitare i danni potenziali. Mantenere tutti i software e i sistemi operativi aggiornati con le ultime patch di sicurezza è altrettanto cruciale per chiudere le vulnerabilità che gruppi come TA585 sfruttano.
Tag:

Commenti

Posta un commento

Popolari

BatShadow, l’esca ai disoccupati, il malware “Vampire Bot” scritto in Go

Un gruppo di minaccia con nome BatShadow, probabilmente attivo in Vietnam, è recentemente al centro dell’attenzione per una campagna che punta a reclutare vittime fra chi cerca lavoro o svolge attività nel digital marketing inviando offerte false mascherate da opportunità professionali. L’obiettivo: infiltrare sistemi con un malware fino ad oggi poco documentato chiamato Vampire Bot. La catena di attacco comincia con un’email con allegato ZIP in cui si trova un documento PDF decoy e file pericolosi come shortcut (LNK) o eseguibili mascherati da PDF. Se l’utente apre il file “PDF” — che in realtà è un eseguibile — si attiva uno script PowerShell incluso nel LNK che contatta un server remoto per scaricare ulteriori payload. Fra questi payload c’è una versione “truccata” di XtraViewer (software di accesso remoto) usata probabilmente per mantenere la persistenza su macchine compromesse. Un inganno ulteriore entra in gioco quando la vittima clicca in un PDF su un link per visualizzare il co...
Posta un commento
Continua a leggere »

Violazione su Discord, rubati dati e documenti d’identità dal sistema di supporto clienti. Compromesso un partner esterno

Discord ha confermato di aver subito una violazione dei dati, ma a differenza di quanto molti temevano, l’attacco non ha colpito direttamente i suoi server o infrastrutture principali. L’origine dell’incidente è stata individuata in un fornitore esterno di supporto clienti, probabilmente il sistema di ticketing gestito da Zendesk, che avrebbe rappresentato il punto d’ingresso per gli attaccanti. Attraverso la compromissione di questo servizio, i criminali informatici sono riusciti ad accedere a informazioni relative agli utenti che avevano contattato l’assistenza Discord. I dati esposti comprendono nomi, username, indirizzi email, indirizzi IP, conversazioni con il supporto e alcune informazioni di pagamento, come il tipo di carta e le ultime quattro cifre. Discord ha anche confermato che una parte delle immagini di documenti d’identità utilizzate per la verifica dell’età, come passaporti o patenti, è stata inclusa nella violazione. Secondo l’azienda, circa 70.000 utenti potrebbero ave...
Posta un commento
Continua a leggere »

ClayRat, lo spyware Android che trasforma il telefono della vittima in hub di diffusione

Negli ultimi mesi è emerso uno spyware Android con capacità di propagazione aggressiva chiamato ClayRat, segnalato inizialmente come una minaccia rivolta a utenti russi ma che ora mostra segni di evoluzione e diffusione più ampia. Il nome “ClayRat” deriva dalla console C2 (command-and-control) utilizzata dagli attaccanti per gestire i dispositivi compromessi. La campagna di attacco sfrutta un insieme di tecniche di social engineering e ingegneria web per ingannare gli utenti: vengono creati siti phishing che imitano app popolari come WhatsApp, TikTok, Google Photos o YouTube, con interfacce quasi indistinguibili, testimonianze false, conteggi di download gonfiati e persino fasi di istruzione guidata per persuadere la vittima a scaricare un file APK esterno. In molti casi il flusso parte da canali Telegram gestiti dagli attaccanti, che fungono da repository “ufficiale” per distribuire i droppers. Molti esemplari di ClayRat agiscono da dropper: l’app visibile non è affatto l’agent spia, ...
Posta un commento
Continua a leggere »