Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 22 Dicembre 2024 09:49
Gli specialisti di Guardio Labs segnalano una campagna su larga scala per distribuire l’infostealer Lumma, che utilizza CAPTCHA falsi. Invitano le persone a eseguire comandi PowerShell e a dimostrare che non sono bot.
Questa campagna è stata chiamata DeceptionAds, poiché gli aggressori hanno utilizzato la rete pubblicitaria Monetag e hanno pubblicato più di un milione di annunci pubblicitari ogni giorno su 3.000 siti. Si ritiene che dietro questa attività ci sia il gruppo di hacker Vane Viper.
Essenzialmente, i DeceptionAds sono una variante nuova e più pericolosa degli attacchi ClickFix, in cui la vittima viene indotta con l’inganno a eseguire comandi PowerShell dannosi e a infettare manualmente il proprio sistema con malware. Questa campagna è diversa dalle precedenti perché utilizza la pubblicità legittima per reindirizzare gli utenti ignari a pagine con CAPTCHA falsi.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad academy@redhotcyber.com oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Come accennato in precedenza, gli hacker utilizzano la rete pubblicitaria Monetag per inserire annunci pop-up per offerte, download e servizi falsi, mentre di solito si rivolgono al pubblico di piattaforme di streaming piratate o di siti con software piratati.
Se la vittima clicca su un annuncio di questo tipo, il codice offuscato verifica se si tratta di una persona reale e la reindirizza su una pagina con un CAPTCHA fake, mentre utilizza il servizio BeMob per mascherarla. Sebbene BeMob venga solitamente utilizzato, ad esempio, per monitorare le prestazioni pubblicitarie, in questo caso viene utilizzato esclusivamente per eludere il rilevamento.
“Fornendo al sistema Monetag un URL BeMob benigno (invece di un collegamento diretto a una pagina con un CAPTCHA falso), gli aggressori hanno sfruttato la reputazione di BeMob, complicando così gli sforzi di moderazione dei contenuti di Monetag”, spiegano i ricercatori.
La stessa pagina con il falso CAPTCHA contiene uno snippet JavaScript che, senza che l’utente se ne accorga, copia nei suoi appunti un comando PowerShell dannoso di una riga. La pagina fornisce quindi alla vittima le istruzioni per eseguire il comando tramite Windows Run.
Come risultato di queste azioni, sul dispositivo dell’utente verrà scaricato ed eseguito il ladro Lumma, in grado di rubare dalla macchina infetta: cookie, credenziali, password, dati di carte bancarie e cronologia di navigazione dai browser (inclusi Google Chrome, Microsoft Edge, Mozilla Firefox e altri browser Chromium).
Secondo GuardioLabs l’abuso dei servizi Monetag e BeMob era diffuso. La rete pubblicitaria, ad esempio, ha segnalato la rimozione di 200 account di criminali informatici. E sebbene ciò abbia inizialmente portato alla cessazione dell’attività dannosa, già l’11 dicembre i ricercatori hanno notato che la campagna si era ripresa, ma ora gli hacker stavano cercando di utilizzare un’altra rete pubblicitaria.
RedazioneUn post pubblicato un’ora fa su un noto forum underground ha attirato l’attenzione degli osservatori della sicurezza informatica: un utente con lo pseudonimo “elpatron85” h...
Nelle ultime ore, un noto canale Telegram pubblico collegato ai forum underground ha pubblicato una lista di email aziendali provenienti da Italia e Germania. Il messaggio, visibile in uno screenshot ...
È stato recentemente rivelato che il loader Bumblebee è stato distribuito tramite il sito web hackerato RVTools. A quanto pare, gli hacker stanno anche sfruttando la popolarità...
Nel panorama sempre più affollato e inquietante del cybercrimine internazionale, una nuova figura ha cominciato ad attirare l’attenzione degli analisti di sicurezza di tutto il mondo: Sarc...
Il sistema di sicurezza informatica degli Stati Uniti si trova ora ad affrontare una doppia minaccia: la crescente attività dei criminali informatici e i massicci tagli al personale federale. Mic...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
