AI DevwWrld CyberDSA Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Asian Integrated Resort Expo Middle East Low Code No Code Summit TimeAI Summit

Nuova campagna di phishing sfrutta AWS e GitHub per diffondere trojan

Tecniche sofisticate e servizi cloud come veicoli di minacce emergenti

Ricercatori hanno scoperto una campagna di phishing che sfrutta AWS e GitHub per diffondere malware, come i RAT VCURMS e STRRAT, tramite email ingannevoli. Questi malware possono rubare dati sensibili e ricevere comandi dai cybercriminali.

This pill is also available in English language

Recenti osservazioni da parte dei ricercatori di Fortinet FortiGuard Labs hanno rilevato una nuova campagna di phishing che utilizza servizi pubblici come Amazon Web Services (AWS) e GitHub per ospitare malware, tra cui i trojan di accesso remoto (RAT) VCURMS e STRRAT. Questi ultimi sono diffusi tramite un downloader basato su Java dotato di un protector commerciale per eludere i sistemi di rilevamento.

Dettagli tecnici dell'attacco e malware impiegato

L'attacco inizia con un'email che invita a cliccare su un pulsante per verificare le informazioni di pagamento, portando al download di un file JAR maligno da AWS. Una volta eseguito, il file procede al download e all'attivazione di ulteriori file JAR responsabili dell'attivazione dei trojan VCURMS e STRRAT. VCURMS si distingue per l'utilizzo di un indirizzo email Proton Mail per la comunicazione con il server di comando e controllo (C2).

Funzionalità avanzate dei RAT e tecniche di evasione

VCURMS non solo invia degli email ai cybercriminali per segnalare la sua attivazione, ma analizza anche periodicamente la casella di posta per comandi specifici, permettendo l'esecuzione di comandi arbitrari, la raccolta di informazioni di sistema, la ricerca e l'upload di file rilevanti, nonché il download di ulteriori moduli di furto di informazioni e keylogger dal medesimo endpoint di AWS. Le informazioni rubate includono dati sensibili da applicazioni come Discord e Steam, credenziali e dati salvati automaticamente da diversi browser, screenshot e dettagli approfonditi sull'hardware e sulla rete delle macchine compromesse.

STRRAT e ulteriori campagne di phishing rilevate

Da parte sua, STRRAT è un RAT sviluppato in Java noto dal 2020, dotato di un'ampia gamma di funzionalità, come keylogging ed estrazione di credenziali da browser e applicazioni. In parallelo, Darktrace ha scoperto una campagna di phishing che sfrutta email automatiche inviate dal servizio di cloud storage Dropbox, con un link fraudolento che imita la pagina di login di Microsoft 365, evidenziando l'evoluzione costante delle strategie di attacco dei cybercriminali.

Follow us on Facebook for more pills like this

03/13/2024 11:00

Marco Verro

Complementary pills

Infiltrazione silente: l'epidemia di codice nocivo su GitHubImpatto del codice maligno nei repo: rischi per la sicurezza nello sviluppo software

Pericolo cyber-mining: pacchetto malevolo scoperto su GitLabUn'apparente innocua libreria Python nasconde una minaccia persistente di mining non autorizzato di criptovalute

Last pills

Zero-day threat on Android devices: Samsung prepares a crucial updateFind out how Samsung is addressing critical Android vulnerabilities and protecting Galaxy devices from cyber threats

CrowdStrike: how a security update crippled the tech worldGlobal impact of a security update on banking, transportation and cloud services: what happened and how the crisis is being addressed

Checkmate the criminal networks: the Interpol operation that reveals the invisibleFind out how Operation Interpol exposed digital fraudsters and traffickers through extraordinary global collaboration, seizing luxury goods and false documents

Google Cloud security predictions for 2024: how AI will reshape the cybersecurity landscapeFind out how AI will transform cybersecurity and address geopolitical threats in 2024 according to Google Cloud report