Trojan

Il Trojan bancario TrickMo è un sofisticato malware che prende di mira i dispositivi Android, principalmente a scopo di frode finanziaria. È stato inizialmente identificato nel settembre 2019 e da allora si è evoluto con funzionalità migliorate, inclusa la possibilità di rubare contenuto dello schermo, scaricare moduli runtime e utilizzare tecniche di overlay injection. TrickMo è una variante Android del trojan bancario TrickBot, identificato per la prima volta nel 2016. TrickBot era originariamente progettato come trojan bancario per rubare dati finanziari. Nel corso del tempo, si è evoluto in un malware multifase altamente modulare che fornisce ai suoi operatori una suite completa di strumenti per condurre una miriade di attività informatiche illegali. TrickMo è altamente adattabile e sofisticato, con diverse funzionalità. Il suo scopo principale è impegnarsi in frodi finanziarie rubando informazioni bancarie e credenziali sensibili agli utenti. Ciò include l'utilizzo di tecniche come attacchi overlay, furto di contenuti sullo schermo e altro ancora.

Trojan:O97M/DPLink.A è un tipo di malware cavallo di Troia che prende di mira i documenti di Microsoft Office. Si tratta di una pericolosa minaccia informatica che può eseguire una serie di azioni dannose sul tuo computer, tra cui il tracciamento degli utenti, la truffa di informazioni personali, la connessione a server C&C remoti e l'installazione di altro malware nel sistema. È noto per la sua capacità di eludere il rilevamento da parte dei software antivirus, poiché utilizza varie tecniche di offuscamento per nascondere il proprio codice dannoso. Rimuovere Trojan:O97M/DPLink.A può essere un processo complesso a causa della sua capacità di nascondere i file in varie posizioni sul disco e di apportare modifiche al registro, alle configurazioni di rete e ai criteri di gruppo. Pertanto, si consiglia di utilizzare uno strumento anti-malware specializzato a questo scopo. Ecco una guida passo passo per rimuovere Trojan:O97M/DPLink.A.

GoPIX è un software dannoso progettato specificamente per compromettere la piattaforma di pagamento istantaneo Pix. Questo malware funziona come un clipper, reindirizzando le transazioni condotte attraverso la piattaforma Pix. Inoltre, funziona come un clipper convenzionale, estendendo la sua portata per includere le transazioni di criptovaluta. GoPIX è in circolazione almeno da dicembre 2022. Dato che Pix è una piattaforma di pagamento istituita e supervisionata dalla Banca Centrale del Brasile (BCB), la sua base di utenti comprende prevalentemente cittadini brasiliani. Di conseguenza, le attività di GoPIX sono principalmente limitate al panorama brasiliano. Il malware GoPIX è un tipico ladro di appunti che ruba le "transazioni" Pix utilizzate per identificare le richieste di pagamento e le sostituisce con una dannosa (controllata dall'aggressore) che viene recuperata dal C2. Il malware supporta anche la sostituzione degli indirizzi dei portafogli Bitcoin ed Ethereum. Tuttavia, questi sono codificati nel malware e non vengono recuperati dal C2. GoPIX può anche ricevere comandi C2, ma questi sono relativi solo alla rimozione del malware dalla macchina.

StripedFly è una piattaforma malware multipiattaforma altamente sofisticata che ha infettato oltre un milione di sistemi Windows e Linux nell'arco di cinque anni. Inizialmente è stato erroneamente classificato come minatore di criptovaluta Monero, ma ulteriori indagini hanno rivelato la sua vera natura di malware APT (Advanced Persistent Threat). StripedFly è un framework modulare che può essere utilizzato sia per sistemi Windows che Linux. Dispone di un tunnel di rete Tor integrato per la comunicazione con il suo server di comando e controllo (C&C) e utilizza servizi affidabili come Bitbucket, GitLab e GitHub per meccanismi di aggiornamento e consegna. Il malware funziona come un eseguibile binario monolitico con moduli collegabili, conferendogli versatilità operativa spesso associata alle operazioni APT. Questi moduli includono archiviazione della configurazione, aggiornamento/disinstallazione, proxy inverso, gestore di comandi vari, raccoglitore di credenziali, attività ripetibili, modulo di ricognizione, infetto SSH, infetto SMBv1 e un modulo di mining Monero. La presenza del crypto miner Monero è considerata un tentativo di diversione, poiché gli obiettivi primari degli autori della minaccia sono il furto di dati e lo sfruttamento del sistema facilitato dagli altri moduli.

Lumar Stealer è un malware leggero di tipo stealer scritto nel linguaggio di programmazione C. È progettato per rubare informazioni come cookie Internet, password memorizzate e portafogli di criptovaluta. Lumar è stato notato per la prima volta promosso sui forum degli hacker nel luglio del 2023. Il malware si infiltra nei sistemi e inizia a raccogliere dati rilevanti sul dispositivo come nome del dispositivo, CPU, RAM e layout della tastiera. Si rivolge principalmente alle informazioni memorizzate sui browser, estraendo cookie Internet e credenziali di accesso (nomi utente, ID, indirizzi e-mail, password, passphrase, ecc.). Prende di mira anche le sessioni di Telegram Messenger e raccoglie informazioni relative ai portafogli di criptovaluta. Lumar ha funzionalità di cattura, il che significa che può scaricare file dai desktop delle vittime. I formati di interesse includono DOC, TXT, XLS, RDP e JPG. Se sospetti che il tuo computer sia infetto da Lumar Stealer, ti consigliamo vivamente di utilizzare un software antivirus affidabile per eseguire scansioni regolari del sistema e rimuovere minacce e problemi rilevati.

AIRAVAT RAT (Remote Access Trojan) è un malware Android multifunzionale che prende di mira i dispositivi Android, consentendo agli aggressori di accedere e controllare in remoto il dispositivo della vittima. È progettato con un pannello Web basato su GUI che non richiede il port forwarding. Alcune delle sue funzionalità includono: lettura di tutti i file della memoria interna, download di contenuti multimediali dal dispositivo della vittima, recupero di informazioni di sistema, applicazioni installate, SMS, registri delle chiamate e contatti, invio di SMS e accesso a notifiche, keylogging, acquisizione di autorizzazioni di amministratore, visualizzazione di pagine di phishing rubare credenziali tramite notifiche. AIRAVAT RAT opera in background, rendendone difficile il rilevamento. Si avvia automaticamente al riavvio del dispositivo e alla ricezione di una nuova notifica.

Phoenix Backdoor è un tipo di malware progettato specificamente per prendere di mira gli utenti Android. Si tratta di un software dannoso che ottiene segretamente l'accesso al dispositivo di un utente, compromettendone potenzialmente la sicurezza e la privacy. L'obiettivo principale di Phoenix Backdoor è infiltrarsi e controllare di nascosto i dispositivi infetti, consentendo ai criminali informatici di eseguire varie attività nefaste. Una volta che Phoenix Backdoor ha infettato un dispositivo, può eseguire una serie di funzioni dannose, come: copiare messaggi inviati o ricevuti, raccogliere foto e altri dati personali, registrare telefonate, filmare segretamente gli utenti attraverso la fotocamera del dispositivo, attivare il microfono per registrare conversazioni.

CraxsRAT è un Trojan di accesso remoto (RAT) Android altamente pericoloso che consente a un autore di minacce di controllare in remoto un dispositivo infetto da un computer Windows. Il malware è altamente personalizzabile e versatile, con diverse versioni disponibili, e può infiltrarsi nei sistemi con autorizzazioni minime, destando pochi sospetti. CraxsRAT può monitorare i siti Web a cui si accede e forzare l'apertura di pagine specifiche, causando catene di infezione scaricando ed eseguendo payload o inducendo le vittime a farlo da sole tramite siti ingannevoli ad apertura forzata. Il malware può analizzare i registri delle chiamate, leggere, rimuovere e aggiungere contatti e monitorare i siti Web a cui si accede. CraxsRAT può anche bypassare la protezione di Google Play, la visualizzazione dello schermo live e dispone di una shell per l'esecuzione dei comandi. Il malware viene generato utilizzando un builder, che include opzioni per personalizzare e offuscare il payload, scegliere un'icona, il nome dell'app e le funzionalità e le autorizzazioni che devono essere attivate una volta installata sullo smartphone. Il malware può causare catene di infezione scaricando ed eseguendo payload o inducendo le vittime a farlo da sole tramite siti ingannevoli ad apertura forzata.