Aggiornamenti recenti Marzo 19th, 2026 3:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- La cybersecurity OT in Italia tra maturità limitata e pressioni normative
- DarkSword: exploit chain iOS tra zero-day, spyware e cybercrimine
- Rischio AI: falle in Amazon Bedrock, LangSmith e SGLang
- CrackArmor, nove falle in AppArmor aprono la strada al root di Linux
- I sistemi multi-agent aggirano controlli, rubano segreti ed esfiltrano
Campagne basate su installer ScreenConnect distribuiscono RAT multipli
L’Acronis Threat Research Unit ha pubblicato una nuova ricerca su una serie di campagne malevole che usano installer ScreenConnect compromessi per distribuire RAT multipli.
A partire dallo scorso marzo, il numero di attacchi che usano il tool di remote monitoring and management di ConnectWise per ottenere l’accesso iniziale alle reti è aumentato in maniera significativa. I cybercriminali sfruttano tattiche di social engineering per distribuire gli installer di ScreenConnect, camuffandoli da documenti ufficiali.
Nel corso dei mesi le tecniche dei cyberattaccanti si sono evolute fino a utilizzare un installer ClickOnce per il tool, ovvero installer che non si appoggiano su una configurazione integrata, ma reperiscono i diversi componenti a runtime. “Questa evoluzione rende meno efficaci i tradizionali metodi di analisi statica e complica la prevenzione, lasciando i ricercatori di sicurezza con poche opzioni” spiega il team di Acronis.
Dopo l’installazione, gli attaccanti sfruttano le funzionalità di automazione per eseguire due RAT: uno è il già noto AsyncRAT, mentre l’altro è un RAT custom basato su Powershell. Questo nuovo trojan è in grado di acquisire informazioni sui sistemi colpiti, esfiltrare i dati tramite Microsoft.XMLHTTP e usare numerose tecniche di offuscamento. Secondo i ricercatori, l’uso di due RAT serve probabilmente sia per avere ridondanza e quindi mantenere più facilmente l’accesso ai sistemi, sia per condividere l’infrastruttura con altri cybercriminali, sia per testare nuovi strumenti.
“Una volta installato, gli attaccanti sono in grado di assumere il controllo del computer compromesso, consentendo loro di installare ulteriori malware, rubare informazioni, stabilire una persistenza e muoversi lateralmente attraverso la rete” aggiunge il team di Acronis.
Nel corso dell’analisi, i ricercatori di Acronis hanno individuato inoltre un terzo RAT, rilasciato in seguito agli altri due tramite tecniche di process hollowing, ovvero che “svuotano” il codice legittimo di un processo per iniettarvi del codice malevolo.
Dalla ricerca è inoltre emerso che gli attaccanti utilizzano VM Windows Server 2022 preconfigurate, con hostname ricorrenti, per più campagne, tutte su indirizzi IP differenti; ciò permette al gruppo di ruotare velocemente l’infrastruttura e attivare velocemente nuove campagne.
I ricercatori ricordano alle organizzazioni di monitorare attentamente i propri strumenti RMM e controllare le istanze di ScreenConnect utilizzate.
Condividi l'articolo
Attaccanti sfruttano un bug di GeoServer per attaccare un'agenzia governativa U.S.A.
CERT-AGID 13-19 settembre: il phishing punta alle criptovalute
Articoli correlati
Altro in questa categoria
Approfondimenti
-
La cybersecurity OT in Italia tra maturità limitata e... Secondo un’analisi condotta da HWG Sababa e presentata... -
DarkSword: exploit chain iOS tra zero-day, spyware e... Google Threat Intelligence Group, un’unità... -
CrackArmor, nove falle in AppArmor aprono la strada al root... Secondo una ricerca di Qualys, il pacchetto di... -
I sistemi multi-agent aggirano controlli, rubano segreti ed... L’adozione degli agenti AI nelle aziende sta accelerando... -
Rapporto Clusit 2026: gli attacchi cyber crescono del 49% Il 2025 segna un nuovo record storico per la criminalità...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
La cybersecurity OT in Italia tra maturità limitata e... Secondo un’analisi condotta da HWG Sababa e presentata...
-
DarkSword: exploit chain iOS tra zero-day, spyware e... Google Threat Intelligence Group, un’unità...
-
Rischio AI: falle in Amazon Bedrock, LangSmith e SGLang Le più recenti ricerche di BeyondTrust, Miggo e Orca... -
CrackArmor, nove falle in AppArmor aprono la strada al root... Secondo una ricerca di Qualys, il pacchetto di...
-
I sistemi multi-agent aggirano controlli, rubano segreti ed... L’adozione degli agenti AI nelle aziende sta accelerando...
Ransomware: la serie
No posts found.