redmount.xyz

C’è un nuovo tipo di malware che non cerca password o codici complicati. SparkKitty punta alle tue foto salvate nello smartphone, in particolare quelle che contengono seed phrase, cioè le parole segrete usate per recuperare i portafogli di criptovalute. Se queste parole finiscono in uno screenshot o in una foto scattata da te, SparkKitty può trovarle e inviarle ai criminali. Tutto comincia con un’app apparentemente innocua. Alcune versioni infette sono state perfino trovate su Google Play Store e App Store, come nel caso dell’app cinese “SOEX” su Android e “币coin” su iOS. Queste app, una volta installate, chiedono il permesso di accedere alla galleria o alle foto. Fino a qui sembra tutto normale: molte app fanno lo stesso. Ma SparkKitty, nascosto dentro queste app, inizia a caricare le tue immagini su un server controllato dagli hacker. Una volta caricate, le immagini vengono analizzate con tecniche di riconoscimento del testo (OCR). L’obiettivo è trovare screenshot o fotografie conten...

Essere calabrese, significa anche avere a cuore una battaglia che per altri è solo una notizia di cronaca: la lotta contro le mafie, contro i sistemi criminali che ancora oggi soffocano la nostra terra. Ecco perché la recente sentenza della Cassazione sulle intercettazioni digitali mi tocca in modo personale. La sentenza Il 16 maggio 2025, la Corte di Cassazione ha stabilito che la difesa ha diritto ad accedere ai file di log generati dai trojan usati nelle intercettazioni. In pratica, questi file indicano quando, dove e come è stato attivato il captatore informatico (trojan). La logica è chiara: se lo Stato usa strumenti così invasivi, è giusto che ci sia trasparenza e controllo legale. Ma da informatico e cittadino di questa terra martoriata, non posso non vedere il rischio serio che si sta aprendo. Ma chi protegge chi lavora nell’ombra? Dietro ogni trojan c'è un lavoro tecnico complesso. C'è un informatico forense, c'è un agente, a volte un infiltrato, spesso un giudice ...

Per lavoro mi occupo principalmente di ambienti basati su Windows Server, nella mia sfera personale, però, coltivo da sempre la curiosità per i sistemi operativi in generale: ho più computer, tra cui un MacBook Pro con chip Apple M1, e mi piace sperimentare sia con macOS che con Linux e Windows. Non ho un sistema “preferito” in assoluto, perché ognuno ha i suoi punti di forza e i suoi contesti ideali. Per l’uso server Linux è spesso imbattibile, mentre per l’esperienza desktop trovo validi sia macOS che Windows, ognuno a modo suo. Cerco solo di restare aperto e continuare a imparare. Proprio per questo mi ha colpito l’ultima campagna malevola scoperta da CloudSEK e riportata da The Hacker News: un nuovo attacco che sfrutta il famigerato Atomic macOS Stealer (AMOS). Chi pensa che macOS sia “invulnerabile” farebbe bene a leggere due volte. Il vettore d’attacco è geniale nella sua semplicità: un finto CAPTCHA, su siti che emulano portali reali (in questo caso un clone di Spectrum), induce...

Ho appena letto alcuni articoli riguardo a Crocodilus, un nuovo trojan bancario che sta colpendo dispositivi Android in diversi paesi, tra cui Spagna, Turchia, Polonia, Brasile e Stati Uniti. Questo malware è particolarmente pericoloso per chi utilizza app bancarie o possiede portafogli di criptovalute. Crocodilus si diffonde attraverso app fasulle che imitano applicazioni legittime, come aggiornamenti di browser o promozioni di casinò online. Una volta installato, richiede l'attivazione dei Servizi di Accessibilità, ottenendo così il controllo completo del dispositivo. Utilizza tecniche di overlay per sovrapporre schermate false a quelle delle app bancarie o dei portafogli crypto, inducendo l'utente a inserire le proprie credenziali, seed phrase o codici OTP. Inoltre, è in grado di registrare tutto ciò che appare sullo schermo, rendendo inefficaci anche le autenticazioni a due fattori. Una caratteristica inquietante è la sua capacità di aggiungere contatti falsi alla rub...

I bei tempi andati (fine anni ’90 - primi 2000) C’erano una volta i tempi in cui bastava linkare una shell, magari con telnet aperto o tramite exploit banale su sistemi Unix-like, per sentirsi il re del canale IRC. E Stacheldraht era il coltellino svizzero dei lamer organizzati. Cos’era Stacheldraht? Un DDoS toolkit nato intorno al 1999. Scritto in C, girava su Linux e Solaris. Combinava funzioni di Trinoo, TFN (Tribe Flood Network) e TFN2K. Aveva una struttura client-master-agent, con comunicazioni criptate (semplici XOR). Gli attacchi includevano: UDP flood, TCP SYN flood, ICMP flood, e smurf. Come funzionava: Lo “zombie” era un sistema compromesso (la famosa shell).  Il “master” controllava gli zombie e prendeva ordini da un client. Il controllo poteva avvenire via IRC oppure connessioni dirette. Più shell avevi, più banda avevi a disposizione per far male. Dal Telnet alle IoT, le evoluzioni moderne. Oggi chi sono gli eredi di Stacheldraht? Mirai e le sue mille varianti Creato n...

Immagina di essere spiato sul tuo smartphone… senza cliccare nulla. Nessun link sospetto, nessuna app strana installata. Eppure, ogni tuo messaggio, ogni chiamata, ogni spostamento è sotto controllo. Fantascienza? Purtroppo no. È esattamente quello che può fare Graphite, uno spyware avanzato sviluppato dalla società israeliana Paragon Solutions, recentemente finito sotto i riflettori in Italia per motivi tutt’altro che rassicuranti. Chi è finito nel mirino di Graphite? Tra le vittime accertate ci sono nomi noti del panorama civile italiano: Luca Casarini, fondatore dell’ONG Mediterranea Saving Humans Francesco Cancellato, direttore di Fanpage Don Mattia Ferrari, cappellano della stessa ONG Tutti sono stati avvisati da Meta di essere stati bersaglio di un attacco “sofisticato, sostenuto da entità governative”. E no, non si tratta di teorie complottistiche: il Guardian ha confermato che Paragon ha interrotto i rapporti con l’Italia, proprio in seguito all’utilizzo non autorizzato del su...

Negli ultimi anni, il mercato dello spyware è cresciuto in modo esponenziale, con aziende che sviluppano strumenti sempre più sofisticati per la sorveglianza digitale. Tra queste, Paragon si è distinta come uno dei principali attori, con operazioni che hanno sollevato numerose preoccupazioni riguardo alla privacy e alla sicurezza dei cittadini. Un recente rapporto di Citizen Lab ha gettato luce sulle attività di Paragon, rivelando dettagli inquietanti sulle sue operazioni di spyware. Chi è Paragon? Paragon è un'azienda che opera nel settore della sorveglianza digitale, fornendo strumenti di monitoraggio e spyware a governi e agenzie di intelligence. Fondata da ex membri di unità militari e di intelligence, Paragon si presenta come un'azienda all'avanguardia nella lotta al terrorismo e al crimine organizzato. Tuttavia, le sue attività hanno spesso oltrepassato i confini della legalità, sollevando interrogativi etici e legali. Le operazioni di spyware Secondo il rapporto di C...

Negli ultimi anni, la crescente diffusione di spyware avanzati ha sollevato seri interrogativi sulla privacy e sulla sicurezza delle informazioni. Uno dei nomi più recenti a emergere nel panorama della sorveglianza digitale è Graphite , uno spyware sviluppato dalla società israeliana Paragon Solutions . Questo strumento ha attirato l’attenzione internazionale per il suo utilizzo da parte di governi e agenzie di intelligence, ma anche per le preoccupazioni legate ai diritti fondamentali e alla libertà di stampa. Cos’è Graphite? Graphite è uno spyware di livello governativo progettato per infiltrare dispositivi mobili e raccogliere informazioni sensibili. A differenza di altri spyware commerciali, Graphite viene venduto esclusivamente a enti statali per attività di intelligence e contrasto al crimine organizzato. Tuttavia, recenti rivelazioni indicano che è stato utilizzato anche per monitorare giornalisti e attivisti, sollevando interrogativi sulla sua gestione e sulle sue implicazioni ...

Recentemente, è emerso un nuovo attacco ransomware denominato "Qilin" che ha attirato l'attenzione per le sue tecniche avanzate. Questo ransomware sfrutta le credenziali VPN compromesse per ottenere l'accesso ai sistemi delle vittime e rubare dati sensibili. Utilizzo delle Credenziali VPN: I criminali informatici dietro il ransomware Qilin mirano a ottenere le credenziali VPN delle vittime. Una volta compromesse, queste credenziali permettono agli attaccanti di accedere ai sistemi protetti da VPN e di evitare rilevamenti da parte delle soluzioni di sicurezza tradizionali. Furto di Dati di Chrome: Oltre a criptare i file e chiedere un riscatto, Qilin si concentra anche sul furto di dati dal browser Google Chrome. Questo include informazioni personali, password salvate, e altre credenziali sensibili memorizzate nel browser. L'uso di credenziali VPN rende l'attacco più difficile da rilevare e può compromettere seriamente la sicurezza delle informazioni aziendali ...

Un gruppo APT (Advanced Persistent Threat) relativamente sconosciuto denominato "GoldenJackal" ha preso di mira entità governative e diplomatiche in Asia dal 2019 per spionaggio. Gli autori delle minacce hanno mantenuto un basso profilo di furtività, selezionando attentamente le loro vittime e mantenendo il numero di attacchi al minimo per ridurre la probabilità di esposizione. Kaspersky tiene traccia di GoldenJackal dal 2020 e oggi riferisce che gli attori della minaccia hanno svolto attività notevoli in Afghanistan, Azerbaigian, Iran, Iraq, Pakistan e Turchia. "GoldenJackal è un gruppo APT, attivo dal 2019, che di solito si rivolge a entità governative e diplomatiche in Medio Oriente e Asia meridionale", spiega Kaspersky. "Nonostante abbiano iniziato le loro attività anni fa, questo gruppo è generalmente sconosciuto e, per quanto ne sappiamo, non è stato descritto pubblicamente". I vettori di infezione dell'APT sono sconosciuti. Tuttavia, i ricercat...

I siti WordPress sono presi di mira da un ceppo precedentemente sconosciuto di malware Linux che sfrutta i difetti in oltre due dozzine di plugin e temi per compromettere i sistemi vulnerabili. "Se i siti utilizzano versioni obsolete di tali componenti aggiuntivi, prive di correzioni cruciali, le pagine Web mirate vengono iniettate con JavaScript dannosi", ha affermato il fornitore di sicurezza russo Doctor Web in un rapporto pubblicato la scorsa settimana. "Di conseguenza, quando gli utenti fanno clic su qualsiasi area di una pagina attaccata, vengono reindirizzati ad altri siti". Gli attacchi comportano l'armamento di un elenco di vulnerabilità di sicurezza note in 19 diversi plug-in e temi che sono probabilmente installati su un sito WordPress, utilizzandolo per distribuire un impianto che può prendere di mira un sito Web specifico per espandere ulteriormente la rete. È anche in grado di iniettare codice JavaScript recuperato da un server remoto per reindiriz...

I ricercatori della sicurezza informatica hanno portato alla luce nuovi campioni di malware chiamati RapperBot che vengono utilizzati per creare una botnet in grado di lanciare attacchi DDoS (Distributed Denial of Service) contro i server di gioco. "In effetti, si scopre che questa campagna è meno simile a RapperBot di una campagna precedente apparsa a febbraio e poi misteriosamente scomparsa a metà aprile", hanno dichiarato i ricercatori di Fortinet FortiGuard Labs Joie Salvio e Roy Tay in un rapporto di martedì. RapperBot, che è stato documentato per la prima volta dalla società di sicurezza di rete nell'agosto 2022, è noto esclusivamente per la forza bruta dei server SSH configurati per accettare l'autenticazione della password . Il nascente malware è fortemente ispirato alla botnet Mirai, il cui codice sorgente è trapelato nell'ottobre 2016, portando alla nascita di diverse varianti. Ciò che è degno di nota della versione aggiornata di RapperBot è la sua capa...

Un attore di minaccia persistente avanzata (APT) di lingua cinese "estremamente sofisticato" soprannominato LuoYu è stato osservato utilizzare uno strumento Windows dannoso chiamato WinDealer che viene fornito per mezzo di attacchi man-on-the-side. "Questo sviluppo rivoluzionario consente all'attore di modificare il traffico di rete in transito per inserire payload dannosi", ha affermato la società russa di sicurezza informatica Kaspersky in un nuovo rapporto. "Tali attacchi sono particolarmente pericolosi e devastanti perché non richiedono alcuna interazione con il bersaglio per portare a un'infezione di successo". Conosciute per essere attive dal 2008, le organizzazioni prese di mira da LuoYu sono principalmente organizzazioni diplomatiche straniere stabilite in Cina e membri della comunità accademica, nonché società finanziarie, di difesa, logistiche e di telecomunicazioni. L'uso di WinDealer da parte di LuoYu è stato documentato per la pr...

Un certo numero di app Android canaglia che sono state installate cumulativamente dal Google Play Store ufficiale più di 50.000 volte vengono utilizzate per prendere di mira banche e altri enti finanziari. Si dice che il trojan bancario a noleggio, soprannominato Octo, sia un rebranding di un altro malware Android chiamato ExobotCompact, che, a sua volta, è un sostituto "leggero" del suo predecessore Exobot, ha affermato la società di sicurezza mobile olandese ThreatFabric. Si dice anche che Exobot abbia aperto la strada a un discendente separato chiamato Coper, che è stato inizialmente scoperto come bersaglio degli utenti colombiani intorno a luglio 2021, con infezioni più recenti rivolte agli utenti Android in diversi paesi europei. Come altri trojan bancari Android, le app non sono altro che contagocce, la cui funzione principale è distribuire il payload dannoso incorporato al loro interno. L'elenco dei contagocce Octo e Coper utilizzati da più attori delle minacce è d...

12 persone sono state arrestate nell'ambito di un'operazione delle forze dell'ordine internazionali per orchestrare attacchi ransomware su infrastrutture critiche e grandi organizzazioni che hanno colpito oltre 1.800 vittime in 71 paesi dal 2019, segnando l'ultima azione contro i gruppi di criminalità informatica. Gli arresti sono stati effettuati all'inizio di questa settimana il 26 ottobre in Ucraina e Svizzera, con conseguente sequestro di contanti per un valore di $ 52.000, cinque veicoli di lusso e una serie di dispositivi elettronici che le agenzie hanno affermato essere esaminati per scoprire nuove prove forensi delle loro attività dannose e perseguire nuove piste investigative. I sospetti sono stati principalmente collegati al ransomware LockerGoga, MegaCortex e Dharma, oltre a essere incaricati di riciclare i pagamenti del riscatto incanalando i proventi di Bitcoin illeciti attraverso servizi di miscelazione e incassandoli. "I sospetti presi di mira av...

Il ransomware è la minaccia alla sicurezza informatica più significativa che le organizzazioni devono affrontare oggi poiché criminali informatici sempre più professionali e sofisticati seguono il denaro per massimizzare i profitti dalle campagne illecite. L'ENISNA, l'Agenzia dell'Unione europea per la sicurezza informatica, ha pubblicato l'ultima edizione del rapporto ENISA Threat Landscape (ETL), che analizza l'attività criminale informatica tra aprile 2020 e luglio 2021. Si avverte di un'impennata della criminalità informatica, in gran parte guidata da la monetizzazione degli attacchi ransomware . Sebbene il documento avverta che molte diverse minacce alla sicurezza informatica sono in aumento, il ransomware rappresenta la "minaccia principale" affrontata oggi dalle organizzazioni, con un aumento del 150% degli attacchi ransomware durante il periodo di riferimento. E si teme che, nonostante il problema del ransomware attiri l'attenzione dei...

Mercoledì i ricercatori della sicurezza informatica hanno svelato un caricatore di malware "semplice ma straordinario" per binari dannosi di Windows destinati all'Europa centrale, al Nord America e al Medio Oriente. Nome in codice " Wslink " da ESET, questo malware precedentemente non documentato si distingue dal resto in quanto viene eseguito come server ed esegue i moduli ricevuti in memoria. Non sono disponibili specifiche sul vettore di compromissione iniziale e non sono presenti codici o sovrapposizioni operative che leghino questo strumento a un gruppo di attori di minacce noti. L'azienda slovacca di sicurezza informatica ha notato di aver visto solo una manciata di rilevamenti negli ultimi due anni, il che suggerisce che potrebbe essere utilizzato in infiltrazioni informatiche altamente mirate. Wslink è progettato per essere eseguito come servizio e può accettare file eseguibili (PE) del portale crittografati da un indirizzo IP specifico, che viene q...

Un attacco informatico in Iran ha danneggiato le stazioni di servizio in tutto il paese, interrompendo le vendite di carburante e deturpando i cartelloni elettronici per mostrare messaggi che sfidavano la capacità del regime di distribuire benzina. Post e video diffusi sui social media hanno mostrato messaggi che dicevano: "Khamenei! Dov'è il nostro gas?" — un riferimento al leader supremo del paese, l'ayatollah Ali Khamenei. Altri cartelli recitano: "Gas gratuito nella stazione di servizio di Jamaran", con le pompe di benzina che mostrano le parole "attacco informatico 64411" quando si tenta di acquistare carburante, secondo quanto riportato dall'agenzia di stampa semi-ufficiale dell'agenzia di stampa iraniana degli studenti (ISNA) . Abolhassan Firouzabadi, capo del Consiglio supremo del cyberspazio iraniano, ha affermato che gli attacchi sono stati "probabilmente" sponsorizzati dallo stato, ma ha aggiunto che è troppo presto...

Lazarus Group, il gruppo di minacce persistenti avanzate (APT) attribuito al governo nordcoreano, è stato osservato condurre due distinte campagne di attacco alla catena di approvvigionamento come mezzo per ottenere un punto d'appoggio nelle reti aziendali e prendere di mira un'ampia gamma di entità a valle. L'ultima operazione di intelligence di raccolta ha comportato l'uso di MATA quadro malware, nonché backdoor doppiati BLINDINGCAN e COPPERHEDGE per attaccare l'industria della difesa, un fornitore della soluzione di monitoraggio delle risorse IT con sede a Lettonia e un think tank con sede in Corea del Sud, secondo un nuovo Rapporto sulle tendenze APT del terzo trimestre 2021 pubblicato da Kaspersky. In un caso, l'attacco alla catena di approvvigionamento ha avuto origine da una catena di infezione originata da un legittimo software di sicurezza sudcoreano che esegue un payload dannoso, portando alla distribuzione del malware BLINDINGCAN e COPPERHEDGE sull...

È stato trovato un rootkit appena identificato con una firma digitale valida emessa da Microsoft che viene utilizzata per proxy del traffico agli indirizzi Internet di interesse per gli aggressori da oltre un anno prendendo di mira i giocatori online in Cina. Bitdefender, società di tecnologia di sicurezza informatica con sede a Bucarest, ha chiamato il malware " FiveSys " , indicando il suo possibile furto di credenziali e i motivi del dirottamento degli acquisti all'interno del gioco. Il produttore di Windows da allora ha revocato la firma in seguito alla divulgazione responsabile. "Le firme digitali sono un modo per stabilire fiducia", hanno affermato i ricercatori di Bitdefender in un white paper, aggiungendo "una firma digitale valida aiuta l'attaccante a aggirare le restrizioni del sistema operativo sul caricamento di moduli di terze parti nel kernel. Una volta caricato, il rootkit consente suoi creatori di ottenere privilegi virtualmente illimi...