Benvenuto su Hacking News Live 24h, la fonte in tempo reale per tutte le news di hacking, cybercrime e cybersecurity.
Aggiorniamo costantemente le notizie 24 ore su 24 con report tecnici, indagini digitali e analisi sugli attacchi più recenti.
Gli utenti dei motori di ricerca dovrebbero essere cauti nello scaricare Microsoft Teams, poiché il gruppo ransomware Rhysida utilizza annunci falsi per distribuire malware.
L'azienda di sicurezza informatica Expel ha dichiarato di aver scoperto una campagna pubblicitaria dannosa in corso che diffonde un malware chiamato OysterLoader, precedentemente noto come Broomstick e CleanUpLoader.
Si tratta della seconda campagna del gruppo negli ultimi diciotto mesi volta a impersonare la piattaforma di collaborazione sul posto di lavoro.
OysterLoader è uno strumento di accesso iniziale (IAT) che, una volta scaricato, esegue una backdoor per ottenere l'accesso a lungo termine al dispositivo e alla rete.
"L'attuale catena di infezioni si basa su un modello di malvertising di grande successo. Gli autori delle minacce acquistano pubblicità sul motore di ricerca Bing per indirizzare gli utenti verso landing page dall'aspetto convincente, ma dannose", ha affermato Aaron Walton, analista di threat intelligence di Expel.
"Questi annunci sui motori di ricerca mettono i link per il download direttamente davanti alle potenziali vittime. Le campagne più recenti promuovono annunci per Microsoft Teams e impersonano le pagine di download. Tuttavia, hanno coinvolto anche altri software popolari come PuTTy e Zoom."
Il gruppo utilizza uno strumento di compressione che nasconde efficacemente le capacità del malware e si traduce in un basso tasso di rilevamento statico quando il malware viene rilevato per la prima volta.
Registrati oggi e riceverai una copia gratuita del nostro report Future Focus 2025, la guida principale su intelligenza artificiale, sicurezza informatica e altre sfide IT secondo oltre 700 dirigenti senior.
Utilizza anche certificati di firma del codice, come quelli utilizzati dai veri e propri editori di software, per garantire ai propri file dannosi un livello di affidabilità più elevato.
In particolare, Walton ha affermato che questo ha aiutato Expel a individuare la campagna.
"I certificati che utilizzano vengono regolarmente revocati dall'emittente del certificato, quindi nuove istanze del malware con un certificato valido indicano una nuova esecuzione della campagna", ha affermato.
"In un dato giorno, i malintenzionati potrebbero utilizzare più certificati, ma vedere i loro file con un nuovo certificato ci aiuta anche a sapere che sono ancora attivi. Questi nuovi certificati indicano ulteriormente un investimento costante nella loro campagna."
Rhysida sta intensificando gli attacchi
Oltre al malware OysterLoader, Rhysida utilizza anche il malware Latrodectus per ottenere l'accesso iniziale alle reti, ha avvertito Expel, che è stata in grado di stabilirlo analizzando i file allo scopo di creare regole di rilevamento.
Rhysida è uno dei pochi gruppi di criminali informatici a sfruttare Trusted Signing di Microsoft, il servizio dell'azienda per il rilascio di certificati di firma del codice.
Gli aggressori utilizzano certificati Trusted Signing sia per OysterLoader sia per Latrodectus e sembrano aver trovato un modo per aggirare le funzionalità integrate progettate per limitare l'uso improprio.
Rhysida è apparso per la prima volta come Vice Society nel 2021, ma ha cambiato nome in Rhysida nel 2023 e opera secondo un modello di doppia estorsione basato sul Ransomware as a Service (RaaS). Dal 2023, il gruppo ha pubblicato circa 200 nomi di vittime sul suo sito di fuga di dati, tra cui governi, organizzazioni sanitarie e settori delle infrastrutture critiche.
All'inizio di quest'anno, il gruppo ha rivendicato la responsabilità degli attacchi contro l'Oregon Department of Environmental Quality, il Cookville Regional Medical Center nel Tennessee, il fornitore di servizi sanitari Sunflower Medical Group con sede in Kansas e il gruppo per le malattie mentali e le dipendenze Community Care Alliance.
Altrove, il gruppo ha colpito anche il Dipartimento dei trasporti del Maryland, oltre ad attaccare la British Library.
Seguite ITPro su Google News per rimanere sempre aggiornati sulle nostre ultime notizie, analisi e recensioni.
ALTRO DA ITPRO
Emma Woollacott è una giornalista freelance che scrive per pubblicazioni quali BBC, Private Eye, Forbes, Raconteur e testate specializzate in tecnologia.
Seguici anche su:
- 📖 eBook Italiano
- 🌎 eBook English version
- 🎥 YouTube