redmount.xyz

Il 10 agosto 2025 è stata resa pubblica la vulnerabilità CVE-2025-8088 di WinRAR, una falla di tipo directory traversal già sfruttata in attacchi mirati da RomCom, gruppo hacker legato alla Russia e noto per operazioni di cyber-spionaggio ed estorsione. Il problema risiede nella gestione dei percorsi all’interno di archivi compressi: un file RAR malevolo può includere riferimenti a directory specifiche del sistema, forzando WinRAR a estrarre file in percorsi diversi da quelli scelti dall’utente. In particolare, è possibile copiare eseguibili nelle cartelle di avvio automatico di Windows, come %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup o %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp. Alla successiva accensione del PC, il malware viene avviato in automatico, ottenendo così persistenza sul sistema e potenzialmente consentendo il controllo remoto. Gli attacchi osservati sono stati condotti tramite campagne di spear-phishing: le vittime ricevevano email contenenti...

Da tempo ormai i gruppi ransomware evolvono le loro tattiche oltre al semplice cifraggio dei file, ma l’attacco del cosiddetto Akira ransomware rappresenta un salto di qualità in termini di elusione della difesa: il malware, infatti, abusa di un driver legittimo di Intel, quello usato da ThrottleStop (rwdrv.sys), per elevarsi a livello kernel e poi installare un secondo driver malevolo (hlpdrv.sys), che modifica la chiave di registro DisableAntiSpyware di Windows Defender tramite regedit.exe, disattivando ogni protezione senza alcun avviso. Ma cosa fa concretamente oltre a spegnere Defender? Questa azione è solo l’inizio di un attacco orchestrato: in diversi incidenti legati ad Akira, rilevati da GuidePoint Security a partire dal 15 luglio 2025, si evidenzia un vero e proprio percorso criminale. Innanzitutto, gli attaccanti ottengono l’accesso sfruttando potenzialmente vulnerabilità zero‑day in dispositivi SonicWall SSL‑VPN o metodologie di credential stuffing, brute force o phishing m...

Nel corso del conflitto informatico in corso tra Ucraina e attori antagonisti statali, il gruppo noto come UAC‑0099 è tornato alla ribalta con una campagna di cyber‑spionaggio aggiornata e ampliata che vede le sue vittime principali costituite da enti governativi ucraini, organizzazioni di difesa, media ed aziende collegate al complesso industriale della difesa, con attacchi mirati realizzati mediante email di phishing sofisticate che sorprendono l’utente attraverso l’uso di lenti accorgimenti come link abbreviati o archivi doppi (double‑zip) contenenti file HTA o shortcut LNK con estensioni camuffate per ingannare l’esecuzione. Secondo CERT‑UA, l’allerta rilasciata il 6 agosto 2025 descrive un’operazione in cui le email inviate da indirizzi tipo ukr.net reclamano una "convocazione in tribunale" e contengono un link abbreviato (tipicamente tramite Cuttly) che punta a un archivio estratto due volte contenente un file HTA; l’user apre il file HTA, che contiene un VBScript offus...

Nel corso del 2025, gli SVG stanno rapidamente diventando uno dei formati più sfruttati per veicolare attacchi di phishing e malware in modo furtivo e sempre più sofisticato. Tradizionalmente percepiti come semplici immagini vettoriali, gli SVG — in quanto basati su XML — possono contenere script, redirect, codice JavaScript e collegamenti dinamici, sfruttando le stesse capacità che li rendono potenti strumenti di grafica. È proprio questa flessibilità a renderli oggi una vera e propria tela per l’attaccante. I gruppi criminali informatici hanno iniziato a includere allegati .svg nei messaggi email al fine di eludere i controlli antispam tradizionali. Il contenuto di questi file viene spesso offuscato usando encoding Base64 o rappresentazioni esadecimali, combinati con tecniche di evasione DOM come MutationObserver, setTimeout, eval e document.write. Alcuni SVG si presentano all’apparenza come semplici loghi o icone, ma una volta aperti nel browser — anche con un clic accidentale da we...

Nel mondo della sicurezza informatica siamo abituati a cercare le minacce nei luoghi più ovvi: allegati email, file eseguibili, script obfuscati nei siti web. Ma pochi si fermano a pensare che anche una semplice favicon – quella piccola icona che appare accanto al titolo di una scheda nel browser – possa diventare un cavallo di Troia perfettamente funzionante. Ed è proprio questo il cuore della ricerca pubblicata su arXiv da David Noever e Forrest McKee nel luglio 2025: dimostra come sia possibile sfruttare il canale alfa di un file .ico per nascondere codice JavaScript eseguibile, creando un vettore d’attacco invisibile all’occhio umano. La tecnica si basa su un uso creativo (e malevolo) della steganografia: invece di nascondere messaggi cifrati all’interno dei pixel visibili, i ricercatori nascondono il payload sfruttando il canale della trasparenza dell’immagine, ovvero quei valori alfa che regolano l’opacità di ogni pixel. Agendo sui bit meno significativi (LSB) di questi valori, r...

Negli ultimi mesi, il settore dei semiconduttori a Taiwan è stato oggetto di un’intensa attività di cyber‑spionaggio orchestrata da almeno tre gruppi di hacker presumibilmente legati allo stato cinese. Tra marzo e giugno 2025, campagne di spear‑phishing altamente mirate hanno preso di mira non soltanto le aziende coinvolte nella produzione, nel design e nei test di circuiti integrati e semiconduttori, ma anche l’intero ecosistema di fornitori di attrezzature, servizi correlati e persino analisti finanziari specializzati nel mercato dei chip taiwanesi. Questi attacchi hanno dimostrato un’elevata sofisticazione: gli aggressori hanno utilizzato profili contattando risorse umane o dipartimenti di recruiting fingendosi neo‑laureati alla ricerca di opportunità di lavoro. Nei messaggi venivano allegati presunti curriculum in formato PDF che, in realtà, nascondevano file LNK contenenti payload malware. Aprendo il documento, la vittima veniva condotta lungo una catena di attacco multipla che co...

La notizia è di quelle che accendono subito le discussioni: una corte federale d’appello statunitense ha stabilito che un gruppo di giornalisti salvadoregni potrà procedere legalmente contro NSO Group, l’azienda israeliana produttrice dello spyware Pegasus. L'accusa? Aver facilitato, con la sua tecnologia, violazioni della privacy e attività di sorveglianza ai loro danni. È un precedente importante, che apre la strada a possibili contenziosi internazionali tra individui (o gruppi) e le società che sviluppano strumenti di spionaggio per governi. Ed è anche, inevitabilmente, l’ennesima occasione per demonizzare chi lavora nel settore dello spyware e della cyber intelligence. Ma io, in tutta onestà, non riesco proprio a schierarmi con questo tipo di indignazione. Non riesco a vedere NSO Group come il “cattivo” della storia. Anzi. Non c’è niente di più comodo, oggi, che schierarsi contro lo spyware. È il nuovo nemico perfetto: invisibile, invasivo, difficile da capire, apparentemente f...

Il 3 luglio scorso le autorità italiane hanno arrestato all’aeroporto di Milano Malpensa un cittadino cinese di 33 anni, Xu Zewei, ricercato dagli Stati Uniti per una lunga serie di reati informatici legati ad attività di cyber-spionaggio. Xu sarebbe, secondo le accuse americane, coinvolto in una campagna condotta dal gruppo APT noto come Silk Typhoon (noto in passato anche come Hafnium), ritenuto affiliato allo Stato cinese. Questo gruppo è già noto da anni per aver preso di mira obiettivi sensibili in ambito sanitario, governativo e accademico, con operazioni che includono il furto di proprietà intellettuale e di informazioni classificate. La notizia è stata confermata da diverse fonti attendibili, tra cui il Dipartimento di Giustizia degli Stati Uniti, l’agenzia stampa ANSA e testate specializzate come BleepingComputer e Decode39. Secondo l’atto d’accusa, tra il 2020 e il 2021 Xu avrebbe partecipato a una campagna di intrusione su larga scala che ha colpito istituzioni accademiche s...

Negli ultimi giorni il collettivo TAG 140 – ritenuto un sottogruppo di SideCopy/Transparent Tribe, tradizionalmente associato a influenze pakistane – ha lanciato una nuova campagna di cyber‑spionaggio rivolta contro strutture critiche indiane, inclusi ministeri, difesa, ferrovie e infrastrutture energetiche, sfruttando un RAT evoluto denominato DRAT V2. L’attacco nasce da un inganno social engineering: i target vengono reindirizzati verso un portale fasullo che imita quello del Ministero della Difesa indiano. Un unico link “attivo” – contenente un comando malevolo – viene copiato sugli appunti del sistema vittima, con l’istruzione di incollarlo in un terminale. Questo provoca il download ed esecuzione di un file HTA tramite mshta.exe, che attiva un loader denominato BroaderAspect. Quest’ultimo crea persistenza, estrae un PDF di copertura e installa il payload principale, cioè DRAT V2. Rispetto alla versione .NET precedente, la nuova variante compilata in Delphi porta diverse novità: Un...

Immagina di essere spiato sul tuo smartphone… senza cliccare nulla. Nessun link sospetto, nessuna app strana installata. Eppure, ogni tuo messaggio, ogni chiamata, ogni spostamento è sotto controllo. Fantascienza? Purtroppo no. È esattamente quello che può fare Graphite, uno spyware avanzato sviluppato dalla società israeliana Paragon Solutions, recentemente finito sotto i riflettori in Italia per motivi tutt’altro che rassicuranti. Chi è finito nel mirino di Graphite? Tra le vittime accertate ci sono nomi noti del panorama civile italiano: Luca Casarini, fondatore dell’ONG Mediterranea Saving Humans Francesco Cancellato, direttore di Fanpage Don Mattia Ferrari, cappellano della stessa ONG Tutti sono stati avvisati da Meta di essere stati bersaglio di un attacco “sofisticato, sostenuto da entità governative”. E no, non si tratta di teorie complottistiche: il Guardian ha confermato che Paragon ha interrotto i rapporti con l’Italia, proprio in seguito all’utilizzo non autorizzato del su...

Negli ultimi anni, il mercato dello spyware è cresciuto in modo esponenziale, con aziende che sviluppano strumenti sempre più sofisticati per la sorveglianza digitale. Tra queste, Paragon si è distinta come uno dei principali attori, con operazioni che hanno sollevato numerose preoccupazioni riguardo alla privacy e alla sicurezza dei cittadini. Un recente rapporto di Citizen Lab ha gettato luce sulle attività di Paragon, rivelando dettagli inquietanti sulle sue operazioni di spyware. Chi è Paragon? Paragon è un'azienda che opera nel settore della sorveglianza digitale, fornendo strumenti di monitoraggio e spyware a governi e agenzie di intelligence. Fondata da ex membri di unità militari e di intelligence, Paragon si presenta come un'azienda all'avanguardia nella lotta al terrorismo e al crimine organizzato. Tuttavia, le sue attività hanno spesso oltrepassato i confini della legalità, sollevando interrogativi etici e legali. Le operazioni di spyware Secondo il rapporto di C...

Negli ultimi anni, la crescente diffusione di spyware avanzati ha sollevato seri interrogativi sulla privacy e sulla sicurezza delle informazioni. Uno dei nomi più recenti a emergere nel panorama della sorveglianza digitale è Graphite , uno spyware sviluppato dalla società israeliana Paragon Solutions . Questo strumento ha attirato l’attenzione internazionale per il suo utilizzo da parte di governi e agenzie di intelligence, ma anche per le preoccupazioni legate ai diritti fondamentali e alla libertà di stampa. Cos’è Graphite? Graphite è uno spyware di livello governativo progettato per infiltrare dispositivi mobili e raccogliere informazioni sensibili. A differenza di altri spyware commerciali, Graphite viene venduto esclusivamente a enti statali per attività di intelligence e contrasto al crimine organizzato. Tuttavia, recenti rivelazioni indicano che è stato utilizzato anche per monitorare giornalisti e attivisti, sollevando interrogativi sulla sua gestione e sulle sue implicazioni ...

Nel mondo del pentesting e del CTF, capita spesso di cercare proof-of-concept (PoC) su GitHub o altrove per testare vulnerabilità o comprendere meglio il funzionamento di un exploit. È una pratica comune, ma non sempre sicura. Purtroppo, alcuni PoC in circolazione sono stati deliberatamente confezionati per agire come dropper o malware, sfruttando l’ingenuità di chi li esegue senza verificarli. Un caso recente riguarda un PoC apparentemente legittimo per la CVE-2023-3824, pubblicato su GitHub. Il codice sembrava valido, ma conteneva un payload offuscato che, una volta decompresso ed eseguito, scaricava da un repository remoto diversi binari tra cui un cryptominer e uno script shell persistente. Il tutto veniva installato nella directory ~/.local/bin , e avviato tramite un servizio systemd mascherato come Xsession Auth daemon . Il repository remoto era ospitato su Codeberg, ma oggi risulta rimosso. Alcuni utenti si sono accorti del comportamento sospetto leggendo il codice o esaminand...

I siti WordPress sono presi di mira da un ceppo precedentemente sconosciuto di malware Linux che sfrutta i difetti in oltre due dozzine di plugin e temi per compromettere i sistemi vulnerabili. "Se i siti utilizzano versioni obsolete di tali componenti aggiuntivi, prive di correzioni cruciali, le pagine Web mirate vengono iniettate con JavaScript dannosi", ha affermato il fornitore di sicurezza russo Doctor Web in un rapporto pubblicato la scorsa settimana. "Di conseguenza, quando gli utenti fanno clic su qualsiasi area di una pagina attaccata, vengono reindirizzati ad altri siti". Gli attacchi comportano l'armamento di un elenco di vulnerabilità di sicurezza note in 19 diversi plug-in e temi che sono probabilmente installati su un sito WordPress, utilizzandolo per distribuire un impianto che può prendere di mira un sito Web specifico per espandere ulteriormente la rete. È anche in grado di iniettare codice JavaScript recuperato da un server remoto per reindiriz...

Un attore di minaccia persistente avanzata (APT) di lingua cinese "estremamente sofisticato" soprannominato LuoYu è stato osservato utilizzare uno strumento Windows dannoso chiamato WinDealer che viene fornito per mezzo di attacchi man-on-the-side. "Questo sviluppo rivoluzionario consente all'attore di modificare il traffico di rete in transito per inserire payload dannosi", ha affermato la società russa di sicurezza informatica Kaspersky in un nuovo rapporto. "Tali attacchi sono particolarmente pericolosi e devastanti perché non richiedono alcuna interazione con il bersaglio per portare a un'infezione di successo". Conosciute per essere attive dal 2008, le organizzazioni prese di mira da LuoYu sono principalmente organizzazioni diplomatiche straniere stabilite in Cina e membri della comunità accademica, nonché società finanziarie, di difesa, logistiche e di telecomunicazioni. L'uso di WinDealer da parte di LuoYu è stato documentato per la pr...

Un certo numero di app Android canaglia che sono state installate cumulativamente dal Google Play Store ufficiale più di 50.000 volte vengono utilizzate per prendere di mira banche e altri enti finanziari. Si dice che il trojan bancario a noleggio, soprannominato Octo, sia un rebranding di un altro malware Android chiamato ExobotCompact, che, a sua volta, è un sostituto "leggero" del suo predecessore Exobot, ha affermato la società di sicurezza mobile olandese ThreatFabric. Si dice anche che Exobot abbia aperto la strada a un discendente separato chiamato Coper, che è stato inizialmente scoperto come bersaglio degli utenti colombiani intorno a luglio 2021, con infezioni più recenti rivolte agli utenti Android in diversi paesi europei. Come altri trojan bancari Android, le app non sono altro che contagocce, la cui funzione principale è distribuire il payload dannoso incorporato al loro interno. L'elenco dei contagocce Octo e Coper utilizzati da più attori delle minacce è d...

Un attacco informatico in Iran ha danneggiato le stazioni di servizio in tutto il paese, interrompendo le vendite di carburante e deturpando i cartelloni elettronici per mostrare messaggi che sfidavano la capacità del regime di distribuire benzina. Post e video diffusi sui social media hanno mostrato messaggi che dicevano: "Khamenei! Dov'è il nostro gas?" — un riferimento al leader supremo del paese, l'ayatollah Ali Khamenei. Altri cartelli recitano: "Gas gratuito nella stazione di servizio di Jamaran", con le pompe di benzina che mostrano le parole "attacco informatico 64411" quando si tenta di acquistare carburante, secondo quanto riportato dall'agenzia di stampa semi-ufficiale dell'agenzia di stampa iraniana degli studenti (ISNA) . Abolhassan Firouzabadi, capo del Consiglio supremo del cyberspazio iraniano, ha affermato che gli attacchi sono stati "probabilmente" sponsorizzati dallo stato, ma ha aggiunto che è troppo presto...

Lazarus Group, il gruppo di minacce persistenti avanzate (APT) attribuito al governo nordcoreano, è stato osservato condurre due distinte campagne di attacco alla catena di approvvigionamento come mezzo per ottenere un punto d'appoggio nelle reti aziendali e prendere di mira un'ampia gamma di entità a valle. L'ultima operazione di intelligence di raccolta ha comportato l'uso di MATA quadro malware, nonché backdoor doppiati BLINDINGCAN e COPPERHEDGE per attaccare l'industria della difesa, un fornitore della soluzione di monitoraggio delle risorse IT con sede a Lettonia e un think tank con sede in Corea del Sud, secondo un nuovo Rapporto sulle tendenze APT del terzo trimestre 2021 pubblicato da Kaspersky. In un caso, l'attacco alla catena di approvvigionamento ha avuto origine da una catena di infezione originata da un legittimo software di sicurezza sudcoreano che esegue un payload dannoso, portando alla distribuzione del malware BLINDINGCAN e COPPERHEDGE sull...

È stato trovato un rootkit appena identificato con una firma digitale valida emessa da Microsoft che viene utilizzata per proxy del traffico agli indirizzi Internet di interesse per gli aggressori da oltre un anno prendendo di mira i giocatori online in Cina. Bitdefender, società di tecnologia di sicurezza informatica con sede a Bucarest, ha chiamato il malware " FiveSys " , indicando il suo possibile furto di credenziali e i motivi del dirottamento degli acquisti all'interno del gioco. Il produttore di Windows da allora ha revocato la firma in seguito alla divulgazione responsabile. "Le firme digitali sono un modo per stabilire fiducia", hanno affermato i ricercatori di Bitdefender in un white paper, aggiungendo "una firma digitale valida aiuta l'attaccante a aggirare le restrizioni del sistema operativo sul caricamento di moduli di terze parti nel kernel. Una volta caricato, il rootkit consente suoi creatori di ottenere privilegi virtualmente illimi...

I ricercatori di malware ritengono che questa botnet abbia guadagnato milioni sfruttando una facile scorciatoia presa da molti La botnet di lunga data nota come MyKings è ancora in attività e ha incassato almeno $ 24,7 milioni utilizzando la sua rete di computer compromessi per estrarre criptovalute. MyKings, noto anche come Smominru e Hexmen, è la più grande botnet al mondo dedicata al mining di criptovalute, sfruttando le CPU desktop e server delle vittime. È un'attività redditizia che ha attirato l'attenzione nel 2017 dopo aver infettato più di mezzo milione di computer Windows per estrarre circa 2,3 milioni di dollari di Monero in un mese. La società di sicurezza Avast ha ora confermato che i suoi operatori hanno acquisito almeno $ 24,7 milioni in varie criptovalute che sono state trasferite su conti Bitcoin, Ethereum e Dogecoin. Sostiene, tuttavia, che il gruppo ha realizzato la maggior parte di questo attraverso il suo "modulo ladro di appunti". Quando rileva c...