AI DevwWrld CyberDSA Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Asian Integrated Resort Expo Middle East Low Code No Code Summit TimeAI Summit

Nuove strategie di phishing: i malware si evolvono con Google Sites

Tattiche sofisticate di cyber-attacco: l'uso di Google Sites e tecniche avanzate nell'ultimo schema di phishing

Ricercatori hanno scoperto una campagna di malware che usa false pagine Google Sites per diffondere AZORult, un malware che ruba informazioni. Utilizza tecniche avanzate per evitare rilevamenti, mirando al furto di dati sensibili.

This pill is also available in English language

Ricercatori nel campo della cybersecurity hanno individuato una sofisticata campagna di malware che sfrutta pagine di Google Sites false per distribuire un malware commerciale noto come AZORult, mirato al furto di informazioni. Questa tecnica particolare prevede che il payload malevolo sia incapsulato in un file JSON ospitato su un sito esterno. Il phishing orchestrato non è stato collegato a un gruppo specifico, ma è riconosciuto per la sua vasta portata e finalizzato alla raccolta di dati sensibili da vendere nei forum del dark web.

Caratteristiche e tecniche di distribuzione di AZORult

AZORult, identificato anche come PuffStealer e Ruzalto, è uno strumento per il furto di informazioni apparso per la prima volta nel 2016. Generalmente, viene diffuso tramite phishing, installatori contaminati di software o media piratati e malvertising. Una volta installato, è in grado di sottrarre credenziali, cookies, cronologia dei browser, screenshot e documenti con specifiche estensioni, nonché dati da 137 portafogli di criptovalute. Le tecniche di elusione comprendono carichi di codice riflessivo, riducendo al minimo le tracce ed evitando il rilevamento basato su disco.

Il contrabbando HTML come veicolo del malware

La campagna si avvale del contrabbando HTML, una tattica raffinata che abusa delle funzionalità legittime di HTML5 e JavaScript per assemblare e lanciare il malware, "contrabbandando" uno script maligno codificato. Quando un utente viene indotto ad aprire la pagina truffa tramite una email di phishing, il browser decodifica lo script e distribuisce il payload sul dispositivo della vittima, eludendo così i controlli di sicurezza standard che analizzano solo gli allegati sospetti.

Trend emergenti e casi di studio recenti

Questa tattica sfrutta anche un ostacolo CAPTCHA per aggiungere un velo di legittimità e proteggersi dagli scanner di URL. I recenti ritrovamenti evidenziano l'uso di file SVG malevoli per diffondere altre famiglie di malware, come Agent Tesla e XWorm, con l'ausilio di programmi open-source che facilitano la creazione di file HTML o SVG contrabbandati. Campagne di phishing sono state inoltre notate nell'impiego di file LNK dentro archivi per propagare LokiBot, un malware simile ad AZORult per le capacità di raccolta dati.

Follow us on Telegram for more pills like this

03/18/2024 13:06

Marco Verro

Last pills

Zero-day threat on Android devices: Samsung prepares a crucial updateFind out how Samsung is addressing critical Android vulnerabilities and protecting Galaxy devices from cyber threats

CrowdStrike: how a security update crippled the tech worldGlobal impact of a security update on banking, transportation and cloud services: what happened and how the crisis is being addressed

Checkmate the criminal networks: the Interpol operation that reveals the invisibleFind out how Operation Interpol exposed digital fraudsters and traffickers through extraordinary global collaboration, seizing luxury goods and false documents

Google Cloud security predictions for 2024: how AI will reshape the cybersecurity landscapeFind out how AI will transform cybersecurity and address geopolitical threats in 2024 according to Google Cloud report