Redazione RHC : 6 Gennaio 2025 17:03
I ricercatori di sicurezza informatica hanno scoperto un nuovo malware chiamato PLAYFULGHOST che ha ampie capacità di raccolta di informazioni. Le sue funzionalità includono keylogging, acquisizione di schermate e audio, accesso remoto alla riga di comando e trasferimento ed esecuzione di file.
Come sottolinea il team di Google Cloud Security, questo malware presenta somiglianze con Gh0st RAT, un noto strumento di amministrazione remota il cui codice sorgente è stato divulgato nel 2008. Le principali vie di infezione di PLAYFULGHOST sono le e-mail di phishing e lo spoofing SEO.
In uno dei casi di phishing gli aggressori hanno utilizzato un archivio RAR mascherato da immagine con estensione “.jpg”. Una volta estratto ed eseguito, l’archivio scarica un file eseguibile dannoso sul dispositivo, che alla fine scarica e attiva PLAYFULGHOST da un server remoto.
Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Un altro metodo di infezione tramite spoofing SEO prevede il download del programma di installazione LetsVPN, che contiene codice dannoso intermedio responsabile dell’installazione di componenti malware.
Per effettuare l’attacco, gli aggressori utilizzano tecniche come DLL Hijacking e DLL Sideloading per lanciare una libreria dannosa che carica e decrittografa PLAYFULGHOST nella memoria del dispositivo. In scenari complessi, più file vengono combinati per formare una DLL dannosa utilizzando una versione modificata dell’utilità Curl.
PLAYFULGHOST viene fissato nel sistema tramite chiavi di registro, pianificazione delle attività, cartella di avvio e servizi Windows. Il malware è in grado di raccogliere dati digitati, screenshot, audio, informazioni sull’account, contenuti degli appunti, metadati di sistema e prodotti antivirus installati. Può anche bloccare l’input da tastiera e mouse, cancellare i registri eventi di Windows, eliminare le cache del browser, i profili di messaggistica ed eseguire altre operazioni pericolose.
Inoltre, PLAYFULGHOST può distribuire strumenti aggiuntivi, inclusi Mimikatz e rootkit che nascondono file e processi. Uno di questi strumenti è Terminator, che sfrutta le vulnerabilità dei driver per distruggere i processi di sicurezza. Ad un certo punto dell’analisi, gli esperti hanno registrato che PLAYFULGHOST viene distribuito utilizzando il caricatore BOOSTWAVE, che utilizza il codice shell per iniettare file eseguibili dannosi.
App mirate come Sogou, QQ e 360 Safety, nonché esche sotto forma di LetsVPN, indicano una possibile attenzione agli utenti Windows di lingua cinese. In precedenza, nel luglio 2024, la società canadese eSentire aveva segnalato operazioni dannose simili in cui venivano utilizzati falsi programmi di installazione di Google Chrome per distribuire Gh0st RAT.
Il ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...
Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...
Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...
Ogni mese diventa sempre più evidente: le password non funzionano più. Gli hacker hanno imparato a eludere anche la protezione a due fattori sfruttando sessioni rubate e milioni di dati comp...
La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere a...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006