AI DevwWrld CyberDSA Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Asian Integrated Resort Expo Middle East Low Code No Code Summit TimeAI Summit

Nuove strategie di phishing: i malware si evolvono con Google Sites

Tattiche sofisticate di cyber-attacco: l'uso di Google Sites e tecniche avanzate nell'ultimo schema di phishing

Ricercatori hanno scoperto una campagna di malware che usa false pagine Google Sites per diffondere AZORult, un malware che ruba informazioni. Utilizza tecniche avanzate per evitare rilevamenti, mirando al furto di dati sensibili.

This pill is also available in English language

Ricercatori nel campo della cybersecurity hanno individuato una sofisticata campagna di malware che sfrutta pagine di Google Sites false per distribuire un malware commerciale noto come AZORult, mirato al furto di informazioni. Questa tecnica particolare prevede che il payload malevolo sia incapsulato in un file JSON ospitato su un sito esterno. Il phishing orchestrato non è stato collegato a un gruppo specifico, ma è riconosciuto per la sua vasta portata e finalizzato alla raccolta di dati sensibili da vendere nei forum del dark web.

Caratteristiche e tecniche di distribuzione di AZORult

AZORult, identificato anche come PuffStealer e Ruzalto, è uno strumento per il furto di informazioni apparso per la prima volta nel 2016. Generalmente, viene diffuso tramite phishing, installatori contaminati di software o media piratati e malvertising. Una volta installato, è in grado di sottrarre credenziali, cookies, cronologia dei browser, screenshot e documenti con specifiche estensioni, nonché dati da 137 portafogli di criptovalute. Le tecniche di elusione comprendono carichi di codice riflessivo, riducendo al minimo le tracce ed evitando il rilevamento basato su disco.

Il contrabbando HTML come veicolo del malware

La campagna si avvale del contrabbando HTML, una tattica raffinata che abusa delle funzionalità legittime di HTML5 e JavaScript per assemblare e lanciare il malware, "contrabbandando" uno script maligno codificato. Quando un utente viene indotto ad aprire la pagina truffa tramite una email di phishing, il browser decodifica lo script e distribuisce il payload sul dispositivo della vittima, eludendo così i controlli di sicurezza standard che analizzano solo gli allegati sospetti.

Trend emergenti e casi di studio recenti

Questa tattica sfrutta anche un ostacolo CAPTCHA per aggiungere un velo di legittimità e proteggersi dagli scanner di URL. I recenti ritrovamenti evidenziano l'uso di file SVG malevoli per diffondere altre famiglie di malware, come Agent Tesla e XWorm, con l'ausilio di programmi open-source che facilitano la creazione di file HTML o SVG contrabbandati. Campagne di phishing sono state inoltre notate nell'impiego di file LNK dentro archivi per propagare LokiBot, un malware simile ad AZORult per le capacità di raccolta dati.

Follow us on Facebook for more pills like this

03/18/2024 13:06

Marco Verro

Last pills

Italy's success in cybersecurityHow Italy achieved excellence in global cybersecurity: strategies, collaborations, and international successes

IntelBroker alleged breach of Deloitte systemsServer exposed: how Deloitte's security may have been compromised by a cyber attack

Vo1d infections on Android TV boxes: how to protect your devicesLearn the essential measures to protect your Android TV boxes from the dreaded Vo1d malware and keep your devices safe from cyber threats

Hacker attack in Lebanon: Hezbollah under fireTechnological shock and injuries: cyber warfare hits Hezbollah in Lebanon