redmount.xyz

Il 10 agosto 2025 è stata resa pubblica la vulnerabilità CVE-2025-8088 di WinRAR, una falla di tipo directory traversal già sfruttata in attacchi mirati da RomCom, gruppo hacker legato alla Russia e noto per operazioni di cyber-spionaggio ed estorsione. Il problema risiede nella gestione dei percorsi all’interno di archivi compressi: un file RAR malevolo può includere riferimenti a directory specifiche del sistema, forzando WinRAR a estrarre file in percorsi diversi da quelli scelti dall’utente. In particolare, è possibile copiare eseguibili nelle cartelle di avvio automatico di Windows, come %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup o %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp. Alla successiva accensione del PC, il malware viene avviato in automatico, ottenendo così persistenza sul sistema e potenzialmente consentendo il controllo remoto. Gli attacchi osservati sono stati condotti tramite campagne di spear-phishing: le vittime ricevevano email contenenti...

Nel corso del conflitto informatico in corso tra Ucraina e attori antagonisti statali, il gruppo noto come UAC‑0099 è tornato alla ribalta con una campagna di cyber‑spionaggio aggiornata e ampliata che vede le sue vittime principali costituite da enti governativi ucraini, organizzazioni di difesa, media ed aziende collegate al complesso industriale della difesa, con attacchi mirati realizzati mediante email di phishing sofisticate che sorprendono l’utente attraverso l’uso di lenti accorgimenti come link abbreviati o archivi doppi (double‑zip) contenenti file HTA o shortcut LNK con estensioni camuffate per ingannare l’esecuzione. Secondo CERT‑UA, l’allerta rilasciata il 6 agosto 2025 descrive un’operazione in cui le email inviate da indirizzi tipo ukr.net reclamano una "convocazione in tribunale" e contengono un link abbreviato (tipicamente tramite Cuttly) che punta a un archivio estratto due volte contenente un file HTA; l’user apre il file HTA, che contiene un VBScript offus...

Nel corso del 2025, gli SVG stanno rapidamente diventando uno dei formati più sfruttati per veicolare attacchi di phishing e malware in modo furtivo e sempre più sofisticato. Tradizionalmente percepiti come semplici immagini vettoriali, gli SVG — in quanto basati su XML — possono contenere script, redirect, codice JavaScript e collegamenti dinamici, sfruttando le stesse capacità che li rendono potenti strumenti di grafica. È proprio questa flessibilità a renderli oggi una vera e propria tela per l’attaccante. I gruppi criminali informatici hanno iniziato a includere allegati .svg nei messaggi email al fine di eludere i controlli antispam tradizionali. Il contenuto di questi file viene spesso offuscato usando encoding Base64 o rappresentazioni esadecimali, combinati con tecniche di evasione DOM come MutationObserver, setTimeout, eval e document.write. Alcuni SVG si presentano all’apparenza come semplici loghi o icone, ma una volta aperti nel browser — anche con un clic accidentale da we...

Negli ultimi anni ho imparato a guardare con sospetto tutto ciò che sembra troppo semplice, soprattutto quando si parla di autenticazione e sicurezza degli account. Il phishing è una minaccia costante, ma ciò che mi spaventa davvero non sono tanto i soliti link truffaldini con l’url sbagliato e la grafica raffazzonata, quanto gli attacchi più sofisticati, quelli in grado di bypassare l’autenticazione a più fattori, sfruttando il comportamento umano e la fiducia cieca che spesso riponiamo nei processi automatizzati. Evilginx2 è una delle tecniche che oggi rappresenta una delle minacce più concrete e subdole in questo senso. E non parliamo di teoria, ma di attacchi reali a danno di amministrazioni, aziende e utenti comuni. L’esempio raccontato da Simone Fratus , in cui viene compromesso un account Microsoft 365 protetto da MFA, è solo la punta dell’iceberg. Mi ha fatto riflettere su quanto ancora, nel 2025, la sicurezza sia legata più al livello di consapevolezza che non alla tecnologia....

Negli ultimi mesi, il settore dei semiconduttori a Taiwan è stato oggetto di un’intensa attività di cyber‑spionaggio orchestrata da almeno tre gruppi di hacker presumibilmente legati allo stato cinese. Tra marzo e giugno 2025, campagne di spear‑phishing altamente mirate hanno preso di mira non soltanto le aziende coinvolte nella produzione, nel design e nei test di circuiti integrati e semiconduttori, ma anche l’intero ecosistema di fornitori di attrezzature, servizi correlati e persino analisti finanziari specializzati nel mercato dei chip taiwanesi. Questi attacchi hanno dimostrato un’elevata sofisticazione: gli aggressori hanno utilizzato profili contattando risorse umane o dipartimenti di recruiting fingendosi neo‑laureati alla ricerca di opportunità di lavoro. Nei messaggi venivano allegati presunti curriculum in formato PDF che, in realtà, nascondevano file LNK contenenti payload malware. Aprendo il documento, la vittima veniva condotta lungo una catena di attacco multipla che co...

Negli ultimi giorni il collettivo TAG 140 – ritenuto un sottogruppo di SideCopy/Transparent Tribe, tradizionalmente associato a influenze pakistane – ha lanciato una nuova campagna di cyber‑spionaggio rivolta contro strutture critiche indiane, inclusi ministeri, difesa, ferrovie e infrastrutture energetiche, sfruttando un RAT evoluto denominato DRAT V2. L’attacco nasce da un inganno social engineering: i target vengono reindirizzati verso un portale fasullo che imita quello del Ministero della Difesa indiano. Un unico link “attivo” – contenente un comando malevolo – viene copiato sugli appunti del sistema vittima, con l’istruzione di incollarlo in un terminale. Questo provoca il download ed esecuzione di un file HTA tramite mshta.exe, che attiva un loader denominato BroaderAspect. Quest’ultimo crea persistenza, estrae un PDF di copertura e installa il payload principale, cioè DRAT V2. Rispetto alla versione .NET precedente, la nuova variante compilata in Delphi porta diverse novità: Un...

Di recente, mio fratello mi ha raccontato un'esperienza che merita la massima attenzione. Dopo aver prenotato un hotel tramite Booking.com , ha ricevuto una mail dall’aspetto legittimo con oggetto simile a: "Your reservation is at risk of cancellation" Nel corpo del messaggio, un tono urgente: Hi, There's a page ready for you to visit now. www. xxxxxxxxxx . xxx <- sito truffa Please review it in the next 6 hours. Otherwise, your progress may be affected. Quasi in contemporanea, è arrivato un altro messaggio via "chat di Booking" (mail) , apparentemente dallo stesso hotel prenotato. Stesso contenuto, stesso link. Il phishing camuffato da "verifica prenotazione" Il sito di destinazione era una pagina clonata alla perfezione: Al primo step chiedeva i dati personali. Al secondo step, come prevedibile, chiedeva i dati della carta di credito, con la solita formula "Per motivi di sicurezza, l'importo verrà solo temporaneamente trattenuto e po...

A volte sembra che il mondo della cybersecurity corra troppo veloce per i criminali comuni. Eppure, poi leggi notizie come quella di APT36 – un gruppo hacker pakistano legato a operazioni di spionaggio militare – che prende di mira ufficiali della Difesa indiana con una semplice email di phishing... e capisci che la vera arma non è il malware, ma la psicologia.  Pakistan vs India: una rivalità lunga quanto il dopoguerra Per capire il contesto serve un minimo di geopolitica. India e Pakistan non si sopportano praticamente dalla nascita. Dal 1947 ad oggi, si sono fronteggiati in guerre aperte, crisi nucleari, scontri di confine in Kashmir e battaglie diplomatiche all’ONU. La cybersecurity è solo il nuovo fronte di un conflitto eterno. Nel grande risiko globale: India è allineata con Stati Uniti, Israele e Francia in ambito militare e tecnologico. Pakistan è storicamente vicino alla Cina, ma mantiene forti legami con la Turchia e, in parte, con l’Iran. Gli USA hanno fornito armi sia a...

Microsoft giovedì ha rivelato una "ampia serie di campagne di phishing delle credenziali" che sfrutta un kit di phishing personalizzato che ha unito i componenti di almeno cinque diversi modelli ampiamente diffusi con l'obiettivo di sottrarre le informazioni di accesso degli utenti. Il Microsoft 365 Defender Threat Intelligence Team del gigante della tecnologia, che ha rilevato le prime istanze dello strumento in circolazione nel dicembre 2020, ha soprannominato l'infrastruttura di attacco copia e incolla " TodayZoo ". "L'abbondanza di kit di phishing e altri strumenti disponibili per la vendita o l'affitto rende facile per un aggressore solitario scegliere le migliori caratteristiche di questi kit", hanno detto i ricercatori. "Hanno messo insieme queste funzionalità in un kit personalizzato e cercano di raccogliere i benefici tutti per se stessi. È il caso di TodayZoo". I kit di phishing, spesso venduti come pagamenti una tantu...

Almeno dalla fine del 2019, una rete di hacker su commissione ha dirottato i canali dei creatori di YouTube, attirandoli con false opportunità di collaborazione per trasmettere truffe di criptovaluta o vendere gli account al miglior offerente. Questo è secondo un nuovo rapporto pubblicato dal Threat Analysis Group (TAG) di Google, che afferma di aver interrotto le campagne di phishing motivate finanziariamente che prendono di mira la piattaforma video con malware per il furto di cookie. Gli attori dietro l'infiltrazione sono stati attribuiti a un gruppo di hacker reclutati in un forum di lingua russa. "Il furto di cookie, noto anche come "attacco pass-the-cookie", è una tecnica di dirottamento della sessione che consente l'accesso agli account utente con i cookie di sessione memorizzati nel browser", ha affermato Ashley Shen di TAG . "Mentre la tecnica è in circolazione da decenni, la sua rinascita come uno dei principali rischi per la sicurezza potreb...

I ricercatori della sicurezza informatica martedì hanno svelato un attacco e-mail a volume di massa messo in scena da una prolifica banda di criminali informatici che ha colpito una vasta gamma di settori, con una delle sue operazioni specifiche per regione in particolare contro la Germania e l'Austria. La società di sicurezza aziendale Proofpoint ha legato la campagna malware con grande fiducia a TA505 , che è il nome assegnato al gruppo di minacce finanziariamente motivato che è attivo nel business del crimine informatico almeno dal 2014 ed è dietro il famigerato trojan bancario Dridex e altri arsenali di malware strumenti come FlawedAmmyy, FlawedGrace, botnet Neutrino e Locky ransomware, tra gli altri. Si dice che gli attacchi siano iniziati come una serie di ondate di e-mail a basso volume, consegnando solo diverse migliaia di messaggi in ogni fase, prima di aumentare a fine settembre e fino al 13 ottobre, risultando in decine o centinaia di migliaia di e-mail. "Molte de...

Il Threat Analysis Group (TAG) di Google giovedì ha dichiarato che sta monitorando più di 270 attori di minacce sostenuti dal governo provenienti da più di 50 paesi, aggiungendo di aver inviato circa 50.000 avvisi di tentativi di phishing o malware sponsorizzati dallo stato ai clienti dall'inizio del 2021. Gli avvertimenti segnano un aumento del 33% dal 2020, ha affermato il colosso di Internet, con il picco derivante in gran parte dal "blocco di una campagna insolitamente grande di un attore russo noto come APT28 o Fancy Bear". Inoltre, Google ha affermato di aver interrotto una serie di campagne organizzate da un gruppo di attaccanti sponsorizzato dallo stato iraniano tracciato come APT35 (alias Charming Kitten, Phosphorous o Newscaster), incluso un sofisticato attacco di ingegneria sociale soprannominato "Operazione SpoofedScholars" rivolto a gruppi di esperti, giornalisti , e professori con l'obiettivo di sollecitare informazioni sensibili mascherando...

Microsoft ha aperto il coperchio su un'operazione di phishing-as-a-service (PHaaS) su larga scala che è coinvolta nella vendita di kit di phishing e modelli di posta elettronica, nonché nella fornitura di servizi di hosting e automatizzati a basso costo, consentendo così agli attori informatici di acquistare phishing campagne e distribuirle con il minimo sforzo. "Con oltre 100 modelli di phishing disponibili che imitano marchi e servizi noti, l'operazione BulletProofLink è responsabile di molte delle campagne di phishing che hanno un impatto sulle aziende oggi", ha affermato il team di Microsoft 365 Defender Threat Intelligence in un rapporto di martedì. "BulletProofLink (indicato anche come BulletProftLink o Anthrax dai suoi operatori in vari siti Web, annunci e altri materiali promozionali) viene utilizzato da più gruppi di aggressori in modelli di business basati su abbonamento una tantum o mensili, creando un flusso di entrate costante per i suoi operatori...

Le forze dell'ordine in Italia e Spagna hanno smantellato un gruppo criminale organizzato legato alla mafia italiana coinvolto in frodi online, riciclaggio di denaro, traffico di droga e reati contro il patrimonio, fruttando alla banda circa 10 milioni di euro (11,7 milioni di dollari) di proventi illegali in appena un anno. "I sospetti hanno frodato centinaia di vittime attraverso attacchi di phishing e altri tipi di frodi online come lo scambio di SIM e la compromissione delle e-mail aziendali prima di riciclare il denaro attraverso un'ampia rete di muli di denaro e società fittizie", ha affermato Europol in una dichiarazione pubblicata oggi. Il gruppo operava a Tenerife, nelle Isole Canarie spagnole. Lo sviluppo arriva a seguito di un'operazione di puntura durata un anno che ha visto ben 16 perquisizioni domiciliari, risultanti in 106 arresti - principalmente in Spagna e Italia - e sequestro di dispositivi elettronici, 224 carte di credito, carte SIM, terminal...

Una campagna di phishing mirata rivolta all'industria aeronautica per due anni potrebbe essere guidata da un attore di minacce che opera dalla Nigeria, evidenziando come gli aggressori possono effettuare offensive informatiche su piccola scala per lunghi periodi di tempo rimanendo sotto il radar. Cisco Talos ha soprannominato gli attacchi malware "Operation Layover", basandosi su una precedente ricerca del team Microsoft Security Intelligence nel maggio 2021 che ha approfondito una "campagna dinamica mirata ai settori aerospaziale e dei viaggi con e-mail di spear-phishing che distribuiscono un caricatore sviluppato attivamente, che quindi consegna RevengeRAT o AsyncRAT." "L'attore […] non sembra essere tecnicamente sofisticato, poiché utilizza malware standard sin dall'inizio delle sue attività senza sviluppare il proprio malware", hanno affermato i ricercatori Tiago Pereira e Vitor Ventura . "L'attore acquista anche i crypter che co...