giovedì, 13 Marzo 2025
spot_imgspot_imgspot_imgspot_img
HomeInformaticaCyber SecurityOltre 4,000 IP di ISP presi di mira in attacchi brute-force per...

Oltre 4,000 IP di ISP presi di mira in attacchi brute-force per distribuire info stealer e cryptominer

I fornitori di servizi internet (ISP) in Cina e sulla costa occidentale degli Stati Uniti sono stati presi di mira da una campagna di sfruttamento di massa che ha distribuito ladri di informazioni e minatori di criptovaluta su host compromessi. Questa attività è stata analizzata dal Splunk Threat Research Team, che ha evidenziato come siano stati utilizzati vari binari per facilitare l’esfiltrazione dei dati e stabilire la persistenza sui sistemi.

Gli attacchi sono stati condotti da attori di minacce non identificati, che hanno eseguito operazioni invasive minime per evitare il rilevamento, ad eccezione degli artefatti creati da account già compromessi. Questi attacchi hanno sfruttato attacchi di forza bruta utilizzando credenziali deboli, provenienti da indirizzi IP associati all’Europa orientale. Sono stati presi di mira specificamente oltre 4.000 indirizzi IP di fornitori di ISP.

Dopo aver ottenuto l’accesso iniziale agli ambienti di destinazione, gli attacchi hanno utilizzato PowerShell per distribuire diversi eseguibili, condurre la scansione di rete, rubare informazioni e sfruttare le risorse computazionali della vittima per l’estrazione di criptovaluta XMRig. Prima dell’esecuzione del carico utile, è stata eseguita una fase preparatoria che prevedeva la disattivazione delle funzionalità di sicurezza e la chiusura dei servizi associati al rilevamento di criptominer.

Il malware ladro, oltre a catturare screenshot, funge da malware clipper progettato per rubare contenuti di clipboard, cercando indirizzi di portafogli per criptovalute come Bitcoin (BTC), Ethereum (ETH), Binance Chain BEP2 (HBETEP2), Litecoin (LTC) e TRONX. Inoltre, nella macchina infetta è presente un binario che lancia ulteriori carichi utili, progettato per scaricare un elenco di password.

Gli attacchi hanno utilizzato script in linguaggi come Bash, Python e PowerShell, consentendo agli attori di operare in ambienti limitati e utilizzare chiamate API, come Telegram, per le operazioni di comando e controllo (C2).

 

Fonte: The Hackers News

articolo originale

Ricevi le ultime attualità sul mondo tech!

Julie Maddaloni
Julie Maddaloni
Ciao! Sono una blogger appassionata di tecnologia e delle news dei mondi Apple e Android. Amo scoprire le ultime novità del settore e condividere storie e consigli utili con chi, come me, è sempre alla ricerca delle ultime novità. Quando non sono immersa tra recensioni e aggiornamenti tech, mi rilasso con una buona pizza e una maratona di serie TV! 🍕📱💙
RELATED ARTICLES

Ultimi articoli