AI DevwWrld Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Asian Integrated Resort Expo Middle East Low Code No Code Summit TimeAI Summit

Nuove strategie di phishing: i malware si evolvono con Google Sites

Tattiche sofisticate di cyber-attacco: l'uso di Google Sites e tecniche avanzate nell'ultimo schema di phishing

Ricercatori hanno scoperto una campagna di malware che usa false pagine Google Sites per diffondere AZORult, un malware che ruba informazioni. Utilizza tecniche avanzate per evitare rilevamenti, mirando al furto di dati sensibili.

This pill is also available in English language

Ricercatori nel campo della cybersecurity hanno individuato una sofisticata campagna di malware che sfrutta pagine di Google Sites false per distribuire un malware commerciale noto come AZORult, mirato al furto di informazioni. Questa tecnica particolare prevede che il payload malevolo sia incapsulato in un file JSON ospitato su un sito esterno. Il phishing orchestrato non è stato collegato a un gruppo specifico, ma è riconosciuto per la sua vasta portata e finalizzato alla raccolta di dati sensibili da vendere nei forum del dark web.

Caratteristiche e tecniche di distribuzione di AZORult

AZORult, identificato anche come PuffStealer e Ruzalto, è uno strumento per il furto di informazioni apparso per la prima volta nel 2016. Generalmente, viene diffuso tramite phishing, installatori contaminati di software o media piratati e malvertising. Una volta installato, è in grado di sottrarre credenziali, cookies, cronologia dei browser, screenshot e documenti con specifiche estensioni, nonché dati da 137 portafogli di criptovalute. Le tecniche di elusione comprendono carichi di codice riflessivo, riducendo al minimo le tracce ed evitando il rilevamento basato su disco.

Il contrabbando HTML come veicolo del malware

La campagna si avvale del contrabbando HTML, una tattica raffinata che abusa delle funzionalità legittime di HTML5 e JavaScript per assemblare e lanciare il malware, "contrabbandando" uno script maligno codificato. Quando un utente viene indotto ad aprire la pagina truffa tramite una email di phishing, il browser decodifica lo script e distribuisce il payload sul dispositivo della vittima, eludendo così i controlli di sicurezza standard che analizzano solo gli allegati sospetti.

Trend emergenti e casi di studio recenti

Questa tattica sfrutta anche un ostacolo CAPTCHA per aggiungere un velo di legittimità e proteggersi dagli scanner di URL. I recenti ritrovamenti evidenziano l'uso di file SVG malevoli per diffondere altre famiglie di malware, come Agent Tesla e XWorm, con l'ausilio di programmi open-source che facilitano la creazione di file HTML o SVG contrabbandati. Campagne di phishing sono state inoltre notate nell'impiego di file LNK dentro archivi per propagare LokiBot, un malware simile ad AZORult per le capacità di raccolta dati.

Follow us on Instagram for more pills like this

03/18/2024 13:06

Editorial AI

Last pills

Career opportunities in Italian intelligence: entering the heart of securityFind out how to join the intelligence forces and contribute to national security

Hacker attack impacts Microsoft and US federal agenciesNational security implications and strategic responses to credential theft

Implications and repercussions of the serious cyberattack on the Lazio NHSConsequences and punitive measures after the ransomware attack that brought the regional healthcare system to its knees

Telecommunications security: flaw exposes conversations and 2FA to the risk of interceptionRisk of privacy violation through call diversion: measures and industry responses