Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 3 Aprile 2024 11:39
Nell’oscura rete dell’underground informatico, un nuovo infostealer sta attirando l’attenzione dei ricercatori per la sua sofisticata struttura e le sue pericolose capacità. Conosciuto come “Powershell Stiller”. Questo malware, scritto in PowerShell, ha recentemente catturato l’attenzione della comunità online per la sua capacità di rubare dati sensibili da sistemi compromessi, inclusi password e cookie dai browser Firefox e Chromium.
Secondo quanto riportato da un utente anonimo su un forum online, il malware è quasi interamente scritto in PowerShell, con l’eccezione di una DLL che viene inserita nel processo Chrome per sbloccare i cookie. Questa struttura insolita è stata progettata per aggirare le difese dei sistemi e ottenere accesso completo alle informazioni sensibili degli utenti.
Il malware sfrutta una serie di tecniche sofisticate per eludere le protezioni e ottenere l’accesso ai dati degli utenti. Tra queste, vi è l’utilizzo di un convertitore da DLL a shellcode, una tecnica che consente al malware di inserire shellcode nei processi del browser per sbloccare i cookie e ottenere accesso alle informazioni sensibili.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Una volta infettato un sistema, il malware è in grado di monitorare e raccogliere una vasta gamma di dati, tra cui informazioni sull’hardware, dati di accesso ai browser basati su Chromium e Firefox, e altro ancora. Queste informazioni vengono poi crittografate e inviate a un server remoto per essere utilizzate dagli hacker.
Uno degli aspetti più preoccupanti di questo malware è la sua capacità di eludere le protezioni AMSI (Antimalware Scan Interface), un sistema progettato per individuare codice dannoso nei linguaggi di scripting. Tuttavia, il malware utilizza tecniche avanzate per bypassare AMSI e garantire che il codice dannoso possa essere eseguito senza essere rilevato.
L’autore del post sul forum ha sottolineato che, nonostante le sfide tecniche, PowerShell è un linguaggio ideale per sviluppare malware a causa della sua relativa facilità nel bypassare le protezioni e ottenere accesso ai sistemi compromessi.
Finora, non è chiaro chi sia dietro questo malware o quali siano i loro obiettivi. Tuttavia, i ricercatori avvertono che Stiller su Powershell rappresenta una minaccia significativa per la sicurezza informatica e consigliano agli utenti di adottare misure per proteggere i propri sistemi da questa e altre minacce simili.
Mentre la comunità della sicurezza informatica continua a monitorare da vicino lo sviluppo di questo nuovo malware, è fondamentale che gli utenti mantengano aggiornati i loro software e adottino pratiche di sicurezza informatica robuste per proteggere i propri dati da futuri attacchi.
Il ricercatore di sicurezza Alex Necula ha condotto un’analisi approfondita del pacchetto panel.zip, che include il codice dell’infostealer, esaminandone attentamente ogni dettaglio. Dopo aver compilato il codice e iniettato l’infostealer in un ambiente controllato, ha effettuato una serie di test su un sistema operativo Windows completamente aggiornato all’ultimo livello di patch.
I risultati dei test sono stati sorprendenti: nonostante l’infrazione nel sistema, il sistema operativo non ha rilevato la minaccia, come confermato dalla schermata successiva all’analisi condotta da Necula. Questo suggerisce che l’infostealer potrebbe eludere le difese tradizionali e passare inosservato anche sui sistemi più aggiornati.
Necula ha inoltre riportato che, basandosi sulle analisi condotte, il codice utilizzato per sviluppare l’infostealer sembra essere stato realizzato con grande competenza. Ciò implica che, se supportato e ulteriormente sviluppato, l’infostealer potrebbe costituire una minaccia significativa per la sicurezza informatica, in grado di eludere le protezioni dei sistemi e ottenere accesso non autorizzato a dati sensibili.
Questi risultati mettono in evidenza l’importanza di continuare a monitorare da vicino lo sviluppo di questa minaccia emergente e adottare misure proattive per proteggere i sistemi da potenziali attacchi. In un panorama sempre più complesso della sicurezza informatica, è fondamentale per gli esperti del settore e gli utenti finali rimanere informati sulle ultime minacce e adottare le migliori pratiche per garantire la sicurezza dei propri dati e delle proprie infrastrutture digitali.
RedazioneIl ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...
Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...
Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...
Ogni mese diventa sempre più evidente: le password non funzionano più. Gli hacker hanno imparato a eludere anche la protezione a due fattori sfruttando sessioni rubate e milioni di dati comp...
La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere a...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
