Trojan

Trojan:Slocker pop-up scam è una forma di frode del supporto tecnico riscontrata su vari siti Web ingannevoli. Questa truffa funziona mostrando messaggi allarmanti agli utenti, sostenendo falsamente che i loro dispositivi sono stati infettati da un trojan o da un ransomware. L'obiettivo finale di questi avvisi fraudolenti è manipolare gli utenti affinché intraprendano azioni che potrebbero comprometterne la sicurezza, la privacy e il benessere finanziario. Dopo aver contattato il numero di supporto falso, le persone vengono collegate a truffatori che si spacciano per rappresentanti del supporto tecnico. Questi truffatori utilizzano varie tattiche di ingegneria sociale per ingannare le vittime inducendole a concedere l'accesso remoto ai loro dispositivi, a divulgare informazioni sensibili o a effettuare pagamenti ingiustificati. I truffatori possono richiedere l'installazione di software di accesso remoto legittimo (ad esempio AnyDesk, TeamViewer) per ottenere il controllo sul dispositivo della vittima. La truffa pop-up Trojan:Slocker è una sofisticata operazione di frode che sfrutta i timori degli utenti di infezioni malware. Comprendendo come funziona questa truffa, riconoscendo i segnali d'allarme e seguendo le migliori pratiche per la sicurezza online, gli individui possono proteggersi meglio dal cadere vittime di tali tattiche ingannevoli.

VCURMS RAT (Remote Access Trojan) è un tipo di malware che ha recentemente attirato l'attenzione grazie al suo metodo di funzionamento unico e alla sofisticatezza dei suoi meccanismi di distribuzione. I RAT sono una categoria di malware progettata per fornire a un utente malintenzionato il controllo remoto su un computer infetto. VCURMS, in particolare, è un RAT basato su Java che è stato osservato nelle campagne di phishing rivolte agli utenti inducendoli a scaricare downloader dannosi basati su Java. VCURMS RAT è un concorrente relativamente nuovo nel panorama delle minacce informatiche, con somiglianze con un altro infostealer basato su Java, nome in codice Rude Stealer, emerso alla fine dell'anno precedente. È stato rilevato insieme al più affermato malware STRRAT, attivo almeno dal 2020. La campagna che coinvolge VCURMS è stata notata per l'utilizzo di servizi pubblici come Amazon Web Services (AWS) e GitHub per archiviare il malware, nonché per impiegare un protettore commerciale per evitare di essere scoperti. Rimuovere un RAT come VCURMS da un sistema infetto può essere difficile a causa della sua capacità di nascondere la propria presenza. Si consiglia di utilizzare un software anti-malware affidabile in grado di rilevare e rimuovere i RAT. È necessario eseguire una scansione completa del sistema e qualsiasi minaccia identificata deve essere messa in quarantena e rimossa.

WINELOADER è un malware backdoor modulare che è stato recentemente osservato prendere di mira funzionari europei, in particolare quelli con collegamenti con le missioni diplomatiche indiane. Questa backdoor fa parte di una sofisticata campagna di spionaggio informatico denominata SPIKEDWINE, caratterizzata da un volume basso e da tattiche, tecniche e procedure avanzate (TTP). La campagna utilizza l'ingegneria sociale, sfruttando un falso invito a un evento di degustazione di vino per indurre le vittime ad avviare la catena di infezione del malware. WINELOADER è una backdoor precedentemente non documentata che ha un design modulare, il che significa che ha componenti separati che possono essere eseguiti e aggiornati in modo indipendente. La backdoor è in grado di eseguire comandi da un server di comando e controllo (C2), inserirsi in altre librerie a collegamento dinamico (DLL) e aggiornare l'intervallo di sospensione tra le richieste beacon al server C2. Il malware utilizza sofisticate tecniche di evasione, come crittografare il modulo principale e i moduli successivi scaricati dal server C2, ricodificare le stringhe in modo dinamico e utilizzare buffer di memoria per archiviare i risultati delle chiamate API. Sostituisce inoltre le stringhe decrittografate con zeri dopo l'uso per evitare il rilevamento da parte degli strumenti forensi della memoria.

StrelaStealer è un tipo di malware di tipo stealer che prende di mira specificamente le credenziali di accesso dell'account di posta elettronica. È stato scoperto per la prima volta dai ricercatori nel novembre 2022 ed è stato osservato che veniva distribuito utilizzando e-mail di spam destinate agli utenti di lingua spagnola. Il malware è progettato per estrarre le credenziali di accesso agli account di posta elettronica dai client di posta elettronica più diffusi come Microsoft Outlook e Mozilla Thunderbird. Una volta caricato il malware in memoria, viene aperto il browser predefinito per mostrare l'esca e rendere l'attacco meno sospetto. Dettagli di StrelaStealer Al momento dell'esecuzione, StrelaStealer cerca "logins.json" (account e password) e "key4.db" (database delle password) nella directory "%APPDATA%\Thunderbird\Profiles" ed esfiltra i relativi contenuti nel server C2. Per Outlook, StrelaStealer legge il registro di Windows per recuperare la chiave del software e quindi individua i valori "Utente IMAP", "Server IMAP" e "Password IMAP". La password IMAP contiene la password dell'utente in forma crittografata, quindi il malware utilizza la funzione Windows CryptUnprotectData per decrittografarla prima che venga esfiltrata nel C2 insieme ai dettagli del server e dell'utente. È fondamentale seguire le istruzioni di rimozione nell'ordine corretto e utilizzare strumenti antimalware legittimi e aggiornati per garantire la completa eliminazione del malware. Dopo aver rimosso il malware, è inoltre essenziale modificare immediatamente tutte le password, poiché le credenziali rubate potrebbero essere state compromesse.

Virus di Apex Legends è una minaccia alla sicurezza informatica che prende di mira i fan del popolare gioco Battle Royale, Apex Legends. Questa minaccia è particolarmente insidiosa perché si maschera da cheat o miglioramenti per il gioco, sfruttando l'entusiasmo dei giocatori che cercano di ottenere un vantaggio nel loro gameplay. Tuttavia, invece di fornire vantaggi reali, infetta i computer degli utenti con malware, portando a potenziali furti di dati e altre attività dannose. La rimozione del virus Apex Legends richiede un approccio approfondito per garantire che tutti i componenti del malware vengano sradicati dal sistema. L'utilizzo di un software antivirus o antispyware affidabile per eseguire una scansione completa del sistema può aiutare a rilevare e rimuovere il RAT e qualsiasi altro componente malware associato. Per gli utenti con competenze IT, la rimozione manuale potrebbe comportare l'identificazione e l'eliminazione di file e voci di registro dannosi, ma questo approccio può essere rischioso e non è consigliato agli utenti inesperti. In alcuni casi, ripristinare il computer a uno stato precedente a prima che si verificasse l'infezione può aiutare a rimuovere il malware, anche se questo metodo potrebbe non essere sempre efficace se il virus si è radicato in profondità nel sistema. Come ultima risorsa, la reinstallazione completa del sistema operativo rimuoverà qualsiasi malware presente, ma cancellerà anche tutti i dati sul computer, quindi dovrebbe essere presa in considerazione solo se tutti gli altri metodi di rimozione falliscono.

JS/Agent Trojan si riferisce a una vasta famiglia di trojan scritti in JavaScript, un popolare linguaggio di scripting ampiamente utilizzato per creare pagine Web dinamiche. Questi script dannosi sono progettati per eseguire una serie di azioni non autorizzate sul computer della vittima, dal furto di dati al download e all'esecuzione di altro malware. A causa dell'uso diffuso di JavaScript nello sviluppo web, i trojan JS/Agent possono facilmente fondersi con contenuti web legittimi, rendendoli particolarmente difficili da rilevare e rimuovere. Il Trojan JS/Agent è un'ampia classificazione per una famiglia di file JavaScript dannosi che rappresentano una minaccia significativa per i sistemi informatici. Questi trojan sono noti per la loro versatilità nel fornire payload, rubare dati e facilitare l'accesso non autorizzato ai sistemi infetti. Comprendere la natura del Trojan JS/Agent, i suoi meccanismi di infezione e le strategie di rimozione efficaci è fondamentale per mantenere la sicurezza informatica. La rimozione di un trojan JS/Agent da un sistema infetto richiede un approccio completo, poiché questi trojan possono scaricare malware aggiuntivo e modificare le impostazioni del sistema per evitare il rilevamento.

Glorysprout Stealer è un tipo di malware, in particolare un ladro, che prende di mira un'ampia gamma di informazioni sensibili tra cui portafogli di criptovaluta, credenziali di accesso, numeri di carte di credito e altro ancora. Scritto in C++, è basato sul ladro Taurus fuori produzione, con il sospetto che il codice sorgente di Taurus fosse stato venduto, portando allo sviluppo di Glorysprout. Nonostante i materiali promozionali suggeriscano una varietà di funzionalità, gli analisti della sicurezza informatica hanno notato alcune discrepanze tra le capacità pubblicizzate e quelle osservate. Glorysprout è compatibile con le versioni del sistema operativo Windows dalla 7 alla 11 e supporta diverse architetture di sistema. È commercializzato come software personalizzabile con presunte capacità di rilevamento di macchine virtuali, sebbene questa funzionalità non sia stata confermata dagli analisti. Dopo l'infiltrazione riuscita, Glorysprout raccoglie numerosi dati del dispositivo, inclusi dettagli su CPU, GPU, RAM, dimensioni dello schermo, nome del dispositivo, nome utente, indirizzo IP e geolocalizzazione. Si rivolge a una varietà di software tra cui browser, portafogli crittografici, autenticatori, VPN, FTP, software di streaming, messaggistica, client di posta elettronica e applicazioni relative ai giochi. Dai browser, può estrarre cronologie di navigazione, segnalibri, cookie Internet, compilazioni automatiche, password, numeri di carte di credito e altri dati vulnerabili. Inoltre, può acquisire screenshot. Anche se pubblicizza le capacità di grabber (file stealer) e keylogging (registrazione della sequenza di tasti), queste funzionalità erano assenti nelle versioni conosciute di Glorysprout.

Remcos RAT (Remote Control and Surveillance) è un trojan di accesso remoto che è stato utilizzato attivamente dai criminali informatici sin dalla sua prima apparizione nel 2016. Commercializzato come strumento legittimo per l'amministrazione remota dal suo sviluppatore, Breaking Security, Remcos è stato ampiamente utilizzato per scopi dannosi. Consente agli aggressori di ottenere un accesso backdoor a un sistema infetto, consentendo loro di eseguire una serie di azioni all'insaputa o al consenso dell'utente. Remcos RAT è un malware potente e furtivo che comporta rischi significativi per i sistemi infetti. La sua capacità di eludere il rilevamento e mantenere la persistenza lo rende una minaccia formidabile. Tuttavia, seguendo le migliori pratiche di prevenzione e impiegando un approccio completo alla rimozione, le organizzazioni e gli individui possono mitigare i rischi associati a Remcos e proteggere i propri sistemi dalla compromissione.