Snake è un programma keylogger la cui funzionalità principale è quella di registrare le battiture degli utenti e trasmettere i dati raccolti agli autori delle minacce. Un'infezione da Snake rappresenta una grave minaccia per la privacy e la sicurezza online degli utenti interessati, considerando che questo malware può estrarre virtualmente ogni tipo di informazione: nomi utente, password, altre credenziali di accesso, dati bancari / carte di credito. Secondo i ricercatori, Snake può anche estrarre le informazioni memorizzate da alcuni dei browser Internet, client di posta elettronica e piattaforme di messaggistica più popolari, tra cui Google Chrome, Opera, Mozilla Firefox, Microsoft Outlook, Foxmail e altri. Inoltre, Snake Keylogger può creare screenshot ed estrarre dati dal buffer di copia / incolla. Dopo aver compromesso gli account...

l'obiettivo principale dello Gkillegebre.space è seguire campagne pubblicitarie potenzialmente dannose. La sua strategia include indurre gli utenti a iscriversi alle notifiche del browser dal sito Web canaglia in modo che possa fornire contenuti sponsorizzati direttamente ai computer degli utenti. Tutti i pop-up generati da Gkillegebre.space possono portare a gravi problemi di sicurezza informatica poiché spesso reindirizzano gli utenti a siti Web potenzialmente non sicuri che possono infettare i loro visitatori con varie minacce malware. Inoltre, i creatori di questa tattica avrebbero potuto inserire script danneggiati nelle loro pubblicità, rendendoli in grado di rilasciare direttamente malware sui dispositivi degli abbonati. Gkillegebre.space sfrutta una semplice tattica per convincere gli utenti ad accettare le sue notifiche push....

Global-support.space è un sito Web ingannevole creato per promuovere tattiche online e applicazioni potenzialmente indesiderate (PUA). Finora, si rivolge agli utenti di iPhone. Tuttavia, gli esperti non possono escludere la possibilità che la stessa tattica venga eseguita anche su altri dispositivi Apple. Global-support.space afferma che l'iPhone dell'utente è stato infettato da malware e cerca di indurre le persone a scaricare e installare un particolare strumento anti-malware in grado di rimuovere la presunta infezione. Gli esperti di malware avvertono che nessun sito Web può effettivamente rilevare minacce o altri problemi e l'unico scopo di Global-support.space è promuovere prodotti software non affidabili e dannosi. La maggior parte degli utenti arriva su pagine come questa dopo aver fatto clic su annunci casuali che contengono...

Division Search è un dirottatore del browser progettato per promuovere il falso motore di ricerca divisionsearch.com. Questa applicazione potenzialmente indesiderata (PUA) interessa i browser Internet più diffusi e può causare gravi problemi di sicurezza informatica e privacy. Una volta installato su un dispositivo, Division Search apporta alcune modifiche specifiche nelle impostazioni del browser: imposta l'URL del suo falso strumento di ricerca come nuova homepage, nuovo indirizzo di scheda e nuovo motore di ricerca predefinito. Queste modifiche significano che ogni volta che la vittima avvia il browser, sarà costretta a visitare questo sito Web non sicuro. Inoltre, Division Search reindirizzerà tutte le ricerche degli utenti tramite divisionsearch.com. Questa funzione garantisce che il malware generi traffico artificiale e introiti...

Mixture Search è un programma canaglia che i ricercatori di malware classificano come un dirottatore del browser. Una volta che un dispositivo viene infettato da Mixture Search, questo strumento dannoso modifica le impostazioni del browser installato per promuovere il proprio falso motore di ricercamixturesearch.com. Dopo queste modifiche non richieste, il browser interessato avvia l'URL del malware come nuova home page, nuovo motore di ricerca predefinito e nuovo indirizzo di scheda. Allo stesso tempo, tutte le query di ricerca degli utenti vengono reindirizzate attraverso lo strumento di ricerca discutibile del dirottatore, inviando gli utenti a siti Web di terze parti sponsorizzati e generando introiti pubblicitari per i proprietari di ricerca di miscele. Poiché i falsi ricercatori sul Web non hanno la capacità tecnica di condurre...

LAZPARKING Ransomware è una minaccia cryptolocker in grado di colpire i sistemi di computer individualmente mirati, nonché tutti i sistemi collegati a una rete già compromessa. Il comportamento della minaccia non si discosta in modo significativo da quella che è considerata la norma per il suo tipo. Utilizza potenti algoritmi di crittografia per bloccare efficacemente quasi tutti i file personali o aziendali archiviati sul bersaglio infetto. Evita la manomissione di file critici per il sistema in quanto ciò potrebbe causare gravi arresti anomali, vanificando lo scopo della minaccia. Quando crittografa un file, LAZPARKING Ransomware modifica il nome del file originale aggiungendo ".LAZPARKING-" seguito da una stringa di caratteri specifica per quella particolare vittima. Le istruzioni dei criminali informatici responsabili dello...

IceRAT è un particolare ceppo di malware che presenta alcune caratteristiche rare, o forse mai viste prima. L'aspetto principale che distingue questa minaccia dal resto è che è scritta in JPHP, un'implementazione PHP in esecuzione su Java VM. Invece dei comuni file Java .class, JPHP utilizza file .phb. Ciò fa una drastica differenza nel rilevamento della minaccia poiché il numero di soluzioni anti-malware che supportano .phb è estremamente basso. Per quanto riguarda le capacità della minaccia, nonostante IceRAT abbia letteralmente RAT (Remote Access Trojan) nel suo nome, agisce più come un malware backdoor e non uno che fornisce agli attacchi il controllo remoto sul sistema compromesso. Va notato che essere scritto in JPHP ha anche creato alcune sfide uniche per i ricercatori di infosec che hanno cercato di analizzare la minaccia in...

Il Malware Crutch è uno strumento malware backdoor scoperto di recente che ha fatto parte delle operazioni del famigerato gruppo Turla APT (Advanced Persistent Threat). Secondo i ricercatori di Infosec che hanno analizzato la minaccia, Crutch è stata sfruttata dal 2015 almeno all'inizio del 2020. La minaccia è stata scoperta in agguato nei sistemi informatici di un Ministero degli Affari Esteri di un paese che fa parte dell'Unione Europea. Esattamente come la maggior parte degli strumenti malware nell'arsenale di Turla, Crutch sembra essere una minaccia malware personalizzata che viene distribuita solo contro obiettivi selezionati. Sebbene non sia stato dimostrato, Crutch porta i segni di una minaccia malware post-compromissione. Ciò significa che viene erogato sul bersaglio dopo che il vettore di compromesso iniziale è stato stabilito...

Una botnet di recente costituzione denominata Tsunami è stata oggetto di un rapido sviluppo, con i ricercatori di infosec che hanno osservato un notevole aumento delle sue capacità in breve tempo. Quando l'attività della botnet è stata rilevata per la prima volta, ha distribuito un payload costituito da una variante di crypto-miner XMR Monero. Come vettore di compromesso, sfruttava i sistemi API Docker configurati in modo errato. Entrambi gli aspetti della botnet sono stati modificati in modo significativo nell'ultima versione. Gli hacker responsabili dell'attivazione della botnet hanno cambiato il vettore di attacco e ora Tsunami si propaga attraverso una vulnerabilità WebLogic. In particolare, sfrutta la vulnerabilità CVE-2020-14882, a cui è stato assegnato un livello di gravità di 9,8 su 10. Nell'ottobre 2020, Oracle ha pubblicato...

Symchanger Malware è uno strumento di compromissione di massa che viene offerto gratuitamente agli autori delle minacce. È stato promosso tramite un gruppo Facebook che includeva anche un video tutorial su come utilizzare la minaccia. Naturalmente, come di solito accade, c'è un problema: Symchanger include nel suo codice una funzionalità backdoor. Dopo tutto, perché un attore di minacce non può sfruttare gli sforzi di altri criminali informatici? In sostanza, Symchanger Malware è un codice PHP che molto probabilmente viene preso dalle minacce malware esistenti. L'unica modifica significativa è l'inclusione backdoor. Il malware utilizza diversi livelli di offuscamento e controlli del codice durante la sua esecuzione per nascondere la sua vera natura. L'attività di Symchanger inizia con una ricerca di nomi di file di configurazione...

Npm è un'azienda che offre strumenti di sviluppo gratuiti ea pagamento sia per gli appassionati di JavaScript che per i professionisti. Alla fine di novembre, Sonatype ha trovato due pacchetti nelle librerie di npm che contengono codice dannoso e npm li ha rimossi immediatamente. Tuttavia, a quel punto i pacchetti erano stati scaricati più di 100 volte. I pacchetti che contenevano codice dannoso erano denominati rispettivamente jdb.js e db-json.js. Entrambi avevano lo stesso autore. Per descrizione, entrambi avrebbero dovuto essere strumenti per sviluppatori orientati agli sviluppatori che lavoravano con applicazioni di database e in particolare file JSON. L'indagine di Sonatype ha...

ChannelSystem è un adware che è stato anche dotato di funzionalità di dirottatore del browser. L'applicazione è destinata esclusivamente agli utenti Apple e, come la maggior parte delle applicazioni di questo tipo, raramente viene installata volontariamente. Invece, impiega vari metodi di distribuzione ingannevoli. Il più importante è il "raggruppamento": l'installazione di ChannelSystem potrebbe essere nascosta nel menu delle impostazioni del processo di installazione di un'altra applicazione freeware più popolare. Tutti questi aspetti di ChannelSystem lo classificano come un programma potenzialmente indesiderato (PUP). L'adware è solitamente responsabile della consegna di annunci pubblicitari indesiderati che possono assumere la forma di banner, finestre pop-up, collegamenti ipertestuali iniettati nel testo dei siti visitati, ecc....

NORD Ransomware è una potente minaccia per gli armadietti crittografici. Sebbene non sia del tutto unico, i ricercatori di infosec hanno stabilito che NORD Ransomware è una variante WannaScream che, in nessun modo, ha diminuito le sue capacità distruttive. In effetti, le vittime della minaccia verranno improvvisamente bloccate fuori dai propri computer e non saranno in grado di accedere o utilizzare nessuno dei loro file. Come parte del suo processo di crittografia, NORD Ransomware cambierà i nomi dei file che influenza drasticamente. La minaccia aggiungerà una stringa ID univoca al nome originale del file, seguita da un indirizzo e-mail controllato dagli hacker e infine ".NORD" come nuova estensione di file. L'indirizzo email è "decryptfilekhoda@protonmail.com". Due diverse richieste di riscatto verranno rilasciate sui sistemi...

È stato osservato che un gruppo di lunga data Advanced Persistent Threat (APT) chiamato Bismuth ha cercato di nascondere le sue attività di recente distribuendo un payload di cripto-miner ai propri obiettivi. Nel panorama dell'infosec, le operazioni di cripto-mining sono considerate problemi non critici e di solito suscitano una risposta più sommessa rispetto ai casi di cyber-spionaggio o distribuzione di ransomware. La principale specializzazione di Bismuth è stata la conduzione di campagne di raccolta dati e attacchi di spionaggio. Il gruppo è operativo almeno dal 2012 e durante quel periodo i loro strumenti, tecniche e procedure si sono evoluti costantemente sia in complessità che in gamma. L'arsenale del gruppo è costituito da malware personalizzato combinato con strumenti open source. Le loro vittime provengono da una vasta gamma...

DarkIRC Malware è una minaccia che viene offerta in vendita nei forum degli hacker sotterranei. Il presunto creatore di questo malware e quello che lo ha pubblicizzato da agosto 2020 utilizza il nome dell'account Freak_OG. Secondo i post, DarkIRC è disponibile per l'acquisto a $ 75. Anche se non è stato determinato se è gestito dal creatore della minaccia o da un potenziale cliente, una campagna di attacco che fornisce DarkIRC è stata rilevata dai ricercatori di infosec. I principali obiettivi della minacciosa campagna sono i server Oracle WebLogic esposti a cui non è stata applicata la patch per la vulnerabilità RCE (Remote Code Execution) CVE-2020-1482 nonostante la patch risolva il problema che è stata rilasciata da Oracle nell'ottobre 2020. Questa particolare vulnerabilità è estremamente severo in quanto sfruttabile senza la...