Aggiornamenti recenti Maggio 6th, 2026 11:56 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Quasar Linux RAT: malware che punta alla supply chain software
- CISA avvisa: Copy Fail sfruttata per root sui sistemi Linux
- Mini Shai-Hulud: la supply chain SAP colpita da un simil-worm
- Honeypot intelligenti: come gli agenti AI ingannano gli attaccanti AI
- I dati sono recuperabili (troppo) facilmente dalle auto moderne
Campagne basate su installer ScreenConnect distribuiscono RAT multipli
L’Acronis Threat Research Unit ha pubblicato una nuova ricerca su una serie di campagne malevole che usano installer ScreenConnect compromessi per distribuire RAT multipli.
A partire dallo scorso marzo, il numero di attacchi che usano il tool di remote monitoring and management di ConnectWise per ottenere l’accesso iniziale alle reti è aumentato in maniera significativa. I cybercriminali sfruttano tattiche di social engineering per distribuire gli installer di ScreenConnect, camuffandoli da documenti ufficiali.
Nel corso dei mesi le tecniche dei cyberattaccanti si sono evolute fino a utilizzare un installer ClickOnce per il tool, ovvero installer che non si appoggiano su una configurazione integrata, ma reperiscono i diversi componenti a runtime. “Questa evoluzione rende meno efficaci i tradizionali metodi di analisi statica e complica la prevenzione, lasciando i ricercatori di sicurezza con poche opzioni” spiega il team di Acronis.
Dopo l’installazione, gli attaccanti sfruttano le funzionalità di automazione per eseguire due RAT: uno è il già noto AsyncRAT, mentre l’altro è un RAT custom basato su Powershell. Questo nuovo trojan è in grado di acquisire informazioni sui sistemi colpiti, esfiltrare i dati tramite Microsoft.XMLHTTP e usare numerose tecniche di offuscamento. Secondo i ricercatori, l’uso di due RAT serve probabilmente sia per avere ridondanza e quindi mantenere più facilmente l’accesso ai sistemi, sia per condividere l’infrastruttura con altri cybercriminali, sia per testare nuovi strumenti.
“Una volta installato, gli attaccanti sono in grado di assumere il controllo del computer compromesso, consentendo loro di installare ulteriori malware, rubare informazioni, stabilire una persistenza e muoversi lateralmente attraverso la rete” aggiunge il team di Acronis.
Nel corso dell’analisi, i ricercatori di Acronis hanno individuato inoltre un terzo RAT, rilasciato in seguito agli altri due tramite tecniche di process hollowing, ovvero che “svuotano” il codice legittimo di un processo per iniettarvi del codice malevolo.
Dalla ricerca è inoltre emerso che gli attaccanti utilizzano VM Windows Server 2022 preconfigurate, con hostname ricorrenti, per più campagne, tutte su indirizzi IP differenti; ciò permette al gruppo di ruotare velocemente l’infrastruttura e attivare velocemente nuove campagne.
I ricercatori ricordano alle organizzazioni di monitorare attentamente i propri strumenti RMM e controllare le istanze di ScreenConnect utilizzate.
Condividi l'articolo
Attaccanti sfruttano un bug di GeoServer per attaccare un'agenzia governativa U.S.A.
CERT-AGID 13-19 settembre: il phishing punta alle criptovalute
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Honeypot intelligenti: come gli agenti AI ingannano gli... Stanno arrivando, ma non nascono già pronti. Stiamo... -
I dati sono recuperabili (troppo) facilmente dalle auto... Come sappiamo, le auto moderne sono sempre più simili a... -
Reset password: una misura di sicurezza che diventa Vi ricordate il vecchio adagio “cambia la password almeno... -
Recovery scam: quando la truffa colpisce due volte Nel panorama delle minacce informatiche, esiste una... -
Strategia cybersecurity USA verso un modello più assertivo... Nel mese scorso, il governo degli USA ha rilasciato un...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Quasar Linux RAT: malware che punta alla supply chain... Un nuovo malware Linux altamente sofisticato sta attirando... -
CISA avvisa: Copy Fail sfruttata per root sui sistemi Linux CISA ha inserito Copy Fail tra le vulnerabilità sfruttate... -
Mini Shai-Hulud: la supply chain SAP colpita da un... La compromissione della supply chain software continua a... -
Honeypot intelligenti: come gli agenti AI ingannano gli... Stanno arrivando, ma non nascono già pronti. Stiamo...
-
I dati sono recuperabili (troppo) facilmente dalle auto... Come sappiamo, le auto moderne sono sempre più simili a...
Ransomware: la serie
No posts found.