Il malware Muck Stealer utilizzato insieme al phishing in nuove ondate di attacchi
Un nuovo rapporto di Cofense rivela che i criminali informatici stanno combinando phishing e malware, tra cui Muck Stealer, Info Stealer, ConnectWise RAT e SimpleHelp RAT, in attacchi a doppia minaccia, rendendo più difficile difendersi.
Secondo i ricercatori di sicurezza informatica di Cofense, un'azienda di intelligence sulle minacce informatiche, gli autori delle minacce hanno iniziato a combinare phishing delle credenziali e malware. Questo approccio a doppia minaccia rende molto più difficile per le aziende difendersi da un singolo attacco.
Un'e-mail, ad esempio, un tempo veniva considerata un tentativo di phishing delle credenziali o un software dannoso. Ora, tuttavia, i criminali stanno utilizzando una nuova strategia. Combinando entrambi i metodi, possono avere successo anche se un'azienda ha investito molto in un'area di protezione rispetto all'altra.
Il rapporto ha rivelato che gli aggressori utilizzano diversi metodi per lanciare questi attacchi combinati. In una campagna del dicembre 2024, gli aggressori hanno inizialmente utilizzato un downloader dannoso che ha installato il malware Muck Stealer sul computer di una vittima. Il malware ha poi lanciato una falsa pagina di accesso per raccogliere informazioni aggiuntive. Secondo i ricercatori, questo file HTML è servito anche come "metodo per mascherare le attività di Muck Stealer".
In un'altra campagna del gennaio 2025, l'approccio è stato invertito. Le vittime sono state inizialmente indirizzate a una pagina di phishing delle credenziali, dove è stato chiesto loro di inserire i propri dati di accesso. Non appena hanno inserito le informazioni, un Information Stealer personalizzato è stato scaricato e installato sul loro computer. I ricercatori hanno notato che i criminali stavano deliberatamente "raddoppiando e prendendo di mira in modo molto specifico le credenziali di Microsoft Office delle vittime".
In un'altra campagna degna di nota, gli autori della minaccia hanno falsificato l'American Social Security Agency. Queste email a tema benefit contenevano un link incorporato che, una volta cliccato, scaricava prima ConnectWise RAT e poi indirizzava la vittima a una pagina di phishing completa. Questa pagina raccoglieva poi dati personali specifici che il malware non era in grado di recuperare, tra cui il numero di previdenza sociale della vittima, il nome da nubile della madre e il PIN dell'operatore telefonico.
Il rapporto descriveva anche un'interessante campagna di luglio 2025, in cui il payload del malware cambiava a seconda del dispositivo della vittima. Ad esempio, un link da un computer Windows conduceva a una falsa pagina del Microsoft Store che scaricava SimpleHelp RAT (un tipo di software che consente a un aggressore di controllare il computer), mentre lo stesso link su un telefono Android inviava un diverso tipo di malware progettato specificamente per quel sistema.
Un elemento comune a molte di queste campagne è l'utilizzo di ConnectWise RAT. Il rapporto , condiviso con Hackread.com, conclude che disporre di più metodi di attacco consente ai criminali di raccogliere più informazioni e di aggirare i sistemi di sicurezza progettati per intercettare un solo tipo di minaccia, segnando un cambiamento significativo nel modo di operare dei criminali informatici.
HackRead
