Ricercatori di sicurezza hanno recentemente osservato una nuova campagna di diffusione malware denominata “ShadowV2”. Tale campagna è volta a sfruttare vulnerabilità note presenti in dispositivi IoT, al fine di ottenerne il controllo e integrarli in botnet, da utilizzare in successivi attacchi di tipoDistributed Denial of Service(DDoS).
Descrizione Proseguono le campagne di compromissione di pacchetti NPM largamente diffusi, al fine di distribuire codice malevolo.
Questo CSIRT ha recentemente analizzato i meccanismi di una sofisticata campagna di phishing, caratterizzata da codice offuscato progettato per sottrarre informazioni sensibili alle potenziali vittime, che interagisce attivamente con un server di comando e controllo (C2) al fine di aumentare la credibilità dell’attacco.
Descrizione e potenziali impatti È stata recentemente osservata una campagna malspam, con l’obiettivo di indurre la potenziale vittima ad aprire un archivio – scaricato automaticamente- utilizzato successivamente per raccogliere informazioni sensibili dagli host compromessi.
Proseguono le campagne di compromissione di pacchetti NPM largamente diffusi, al fine di distribuire codice malevolo. Ricercatori di sicurezza hanno rilevato la compromissione di numerosi pacchetti NPM Crowdstrike e affermano che tali attacchi sembrano essere una prosecuzione della campagna malevola denominata “Shai-Halud”, già nota in precedenti compromissioni ai danni di Tinycolor, libreria JavaScript leggera e potente per la manipolazione dei colori.
È stata recentemente rilevata la compromissione di numerosi pacchetti NPM largamente diffusi al fine di distribuire codice malevolo, a seguito dell’accesso non autorizzato all’account di un noto manutentore vittima di phishing.
È stata recentemente analizzata la vulnerabilitàCVE-2025-8671, nota col nome di “MadeYouReset”, che riguarda l’implementazione del protocollo HTTP/2 e potrebbe consentire attacchi di tipo “Denial of Service”.
È stata recentemente osservata una campagna malspam proveniente da un indirizzo mittente contraffatto che simula una mailing list legittima di un’organizzazione italiana. Le e-mail indirizzavano a domini typosquat riconducibili a una nota società europea, con l’obiettivo di rendere la comunicazione verosimile e indurre l’utente ad aprire allegati dannosi.
Questo CSIRT ha recentemente osservato attività malevole volte a sfruttare vulnerabilità note presenti in istanze datate e non adeguatamente aggiornate dei middleware JBoss e WildFly, con l’obiettivo di distribuire payload malevoli, quali Cobalt Strike e Mimikatz.
Questo CSIRT ha recentemente individuato una campagna di phishing finalizzata alla diffusione di malware RAT tramite falsi inviti Zoom che inducono la potenziale vittima a prelevare software, camuffato da client Zoom, il quale nasconde un agente ScreenConnect opportunamente predisposto per connettersi ad un server C2 sotto il controllo dell’attaccante.
Nell'ambito delle proprie attività, volte ad individuare fattori di rischio a cui è esposto lo spazio digitale nazionale, lo CSIRT Italia registra costantemente un alto numero di dispositivi e servizi eterogenei (ad esempio IoT, router industriali, telecamere IP e controllori e sistemi SCADA) esposti su Internet in maniera insicura. L’aumento della relativa superficie di esposizione è tipicamente riconducibile a configurazioni non adeguate, all’utilizzo di credenziali deboli o predefinite o all’assenza di meccanismi di autenticazione robusti (ad es. MFA). Tale scenario comporta l’aumento del rischio di compromissione dei sistemi target da parte di minacce informatiche sempre più evolute e persistenti non solo in contesti strutturati, quali ad esempio reti aziendali o industriali, ma anche in contesti domestici mettendo anche in questo caso a rischio la privacy degli utenti o fungendo da piattaforma per ulteriori attacchi verso terzi.
Descrizione e potenziali impatti Questo CSIRT ha effettuato un’analisi di un malware open source pubblicamente disponibile su GitHub, noto con la denominazione venom.
CSIRT Toscana