Aggiornamenti recenti Giugno 16th, 2026 3:33 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Zscaler porta la Zero Trust nell’era degli agenti AI
- Infrastrutture Critiche e Geopolitica: è l’Era dell’Antifragilità
- Il gruppo criminale cinese TA4922 adesso punta anche all’Europa
- Il 78% delle aziende ha già subito o sospetta incidenti legati all’IA
- SEO poisoning e chatbot AI dirottati per un malware miner
Campagne basate su installer ScreenConnect distribuiscono RAT multipli
L’Acronis Threat Research Unit ha pubblicato una nuova ricerca su una serie di campagne malevole che usano installer ScreenConnect compromessi per distribuire RAT multipli.
A partire dallo scorso marzo, il numero di attacchi che usano il tool di remote monitoring and management di ConnectWise per ottenere l’accesso iniziale alle reti è aumentato in maniera significativa. I cybercriminali sfruttano tattiche di social engineering per distribuire gli installer di ScreenConnect, camuffandoli da documenti ufficiali.
Nel corso dei mesi le tecniche dei cyberattaccanti si sono evolute fino a utilizzare un installer ClickOnce per il tool, ovvero installer che non si appoggiano su una configurazione integrata, ma reperiscono i diversi componenti a runtime. “Questa evoluzione rende meno efficaci i tradizionali metodi di analisi statica e complica la prevenzione, lasciando i ricercatori di sicurezza con poche opzioni” spiega il team di Acronis.
Dopo l’installazione, gli attaccanti sfruttano le funzionalità di automazione per eseguire due RAT: uno è il già noto AsyncRAT, mentre l’altro è un RAT custom basato su Powershell. Questo nuovo trojan è in grado di acquisire informazioni sui sistemi colpiti, esfiltrare i dati tramite Microsoft.XMLHTTP e usare numerose tecniche di offuscamento. Secondo i ricercatori, l’uso di due RAT serve probabilmente sia per avere ridondanza e quindi mantenere più facilmente l’accesso ai sistemi, sia per condividere l’infrastruttura con altri cybercriminali, sia per testare nuovi strumenti.
“Una volta installato, gli attaccanti sono in grado di assumere il controllo del computer compromesso, consentendo loro di installare ulteriori malware, rubare informazioni, stabilire una persistenza e muoversi lateralmente attraverso la rete” aggiunge il team di Acronis.
Nel corso dell’analisi, i ricercatori di Acronis hanno individuato inoltre un terzo RAT, rilasciato in seguito agli altri due tramite tecniche di process hollowing, ovvero che “svuotano” il codice legittimo di un processo per iniettarvi del codice malevolo.
Dalla ricerca è inoltre emerso che gli attaccanti utilizzano VM Windows Server 2022 preconfigurate, con hostname ricorrenti, per più campagne, tutte su indirizzi IP differenti; ciò permette al gruppo di ruotare velocemente l’infrastruttura e attivare velocemente nuove campagne.
I ricercatori ricordano alle organizzazioni di monitorare attentamente i propri strumenti RMM e controllare le istanze di ScreenConnect utilizzate.
Condividi l'articolo
Attaccanti sfruttano un bug di GeoServer per attaccare un'agenzia governativa U.S.A.
CERT-AGID 13-19 settembre: il phishing punta alle criptovalute
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Infrastrutture Critiche e Geopolitica: è l’Era... Il nuovo assetto geopolitico mondiale ha messo a nudo una... -
Il 78% delle aziende ha già subito o sospetta incidenti... A leggere il nuovo “2026 Cloud Security Report”... -
Kaspersky: la GenAI mette alla prova il riconoscimento... Un volto reale può essere modificato dall’intelligenza... -
Kaspersky: gli agenti IA cambiano la fiducia aziendale Gli agenti di intelligenza artificiale sono ormai entrati... -
Un dipendente su otto considera accettabile vendere le... Il problema del dipendente “infedele” è vecchio quanto...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Zscaler porta la Zero Trust nell’era degli agenti AI Sebbene il numero di casi d’uso nel nostro Paese sia... -
Infrastrutture Critiche e Geopolitica: è l’Era... Il nuovo assetto geopolitico mondiale ha messo a nudo
-
Il gruppo criminale cinese TA4922 adesso punta anche... Un gruppo cybercriminale di lingua cinese fino a poco... -
Il 78% delle aziende ha già subito o sospetta incidenti... A leggere il nuovo “2026 Cloud Security Report”...
-
SEO poisoning e chatbot AI dirottati per un malware miner Le campagne di SEO poisoning non sono certo una novità...
Ransomware: la serie
No posts found.