Ransomfeed

Account Microsoft 365 compromessi: attenzione al phishing
Un aumento significativo delle violazioni degli account Microsoft 365 ha portato a campagne di phishing che utilizzavano account compromessi per inviare ulteriori e-mail di phishing e perpetrare frodi nella fatturazione. Gli aggressori hanno ottenuto l'accesso tramite messaggi di phishing, sfruttando le credenziali per accedere a e-mail, contatti e file. Hanno sfruttato SharePoint e OneNote per distribuire link di phishing e manipolato le impostazioni e-mail per ottenere un accesso persistente. Gli attacchi prevedevano la creazione di fatture fraudolente e l'utilizzo di tecniche di "adversary-in-the-middle" per aggirare l'autenticazione a più fattori.

Maranhão Stealer: una nuova campagna prende di mira credenziali e criptovalute
Maranhão Stealer, un sofisticato ruba-informazioni scritto in Node.js e Go, viene distribuito attivamente tramite siti web di software craccato. Il malware, camuffato da "Microsoft Updater", utilizza l'iniezione di DLL e tecniche di elusione avanzate per rubare credenziali, cookie, cronologia di navigazione e dati di wallet di criptovalute da Chrome, Edge, Brave e Opera. Raggiunge la persistenza tramite chiavi di registro e attività pianificate.

Installer ScreenConnect trojan si evolvono, rilasciando più RAT su una singola macchina
I programmi di installazione di ScreenConnect trojanizzati, camuffati da documenti legittimi, distribuivano AsyncRAT e un RAT PowerShell personalizzato tramite ClickOnce. La catena di attacco si è evoluta, distribuendo successivamente AsyncRAT e PureHVNC RAT utilizzando script batch, caricatori VBS e assembly .NET codificati. Gli aggressori hanno sfruttato le funzionalità di automazione di ScreenConnect per una distribuzione rapida e hanno utilizzato tecniche di offuscamento per eludere il rilevamento. Sono stati distribuiti più RAT contemporaneamente, suggerendo ridondanza o infrastruttura condivisa. Il RAT personalizzato ha eseguito la ricognizione del sistema e l'esfiltrazione dei dati.

Gli hacker di MuddyWater utilizzano malware personalizzati con payload multistadio e sfruttano Cloudflare per mascherare le impronte digitali
Un attacco informatico in più fasi utilizza e-mail di spear-phishing con documenti Microsoft Office dannosi contenenti macro VBA. Questi rilasciano payload da domini protetti da Cloudflare, portando all'esecuzione di malware personalizzati, tra cui StealthCache e backdoor Phoenix. StealthCache utilizza un protocollo pseudo-TLV su HTTPS per la comunicazione crittografata, mentre Phoenix si registra con un server C2 e invia periodicamente beacon. Il malware utilizza chiavi di decrittazione dinamiche derivate dai dati delle vittime, eludendo il rilevamento. L'attacco mira a stabilire punti d'appoggio nascosti, esfiltrare dati e mascherare l'infrastruttura utilizzando i proxy di Cloudflare.

'Scattered Lapsus$ Hunters' annuncia la fine dell'hacking
Diversi gruppi di criminalità informatica, tra cui Scattered Lapsus$ Hunters, hanno annunciato la cessazione delle loro attività dopo aver sfruttato vulnerabilità in SAP NetWeaver Visual Composer. Tra gli obiettivi figuravano diverse grandi aziende e i loro fornitori IT in diversi settori, come compagnie aeree, rivenditori al dettaglio, casinò e istituti finanziari. Rapporti successivi indicano una continua attività nel settore finanziario, suggerendo che l'annunciata cessazione delle attività potrebbe essere ingannevole.

RHC intervista ShinyHunters: “I sistemi si riparano, le persone restano vulnerabili!”
ShinyHunters è un gruppo noto per il coinvolgimento in diversi attacchi informatici di alto profilo. Formatosi intorno al 2020, il gruppo ha guadagnato notorietà attraverso una serie di attacchi mirati a varie aziende, che hanno portato al furto e alla vendita di grandi quantità di dati sensibili.