Falsa email su violazione di copyright nasconde attacco phishing

Una nuova campagna di phishing sta diffondendo il malware tramite false email di violazione del copyright, colpendo organizzazioni in diversi paesi.

Avatar di Giulia Serena

a cura di Giulia Serena

Editor

Una nuova campagna di phishing sta diffondendo il malware Rhadamanthys tramite false email di violazione del copyright, colpendo organizzazioni in diversi paesi. Lo rivela una ricerca di Check Point, che ha analizzato questa minaccia informatica in corso da luglio.

Le email, inviate da account Gmail diversi ogni volta, si presentano come comunicazioni legali relative a presunte violazioni di copyright su pagine Facebook aziendali. In allegato contengono istruzioni per la rimozione dei contenuti in un archivio ZIP protetto da password.

Una volta estratto l'archivio, viene eseguito un file che installa il malware Rhadamanthys, progettato per rubare informazioni sensibili come credenziali, password e dati delle criptovalute. La campagna sfrutta il panico che può generare un'accusa di violazione legale per indurre le vittime ad aprire gli allegati malevoli.

Sergey Shykevich, threat intelligence group manager di Check Point Software, commenta: "Questa scoperta rivela non solo la crescente sofisticazione delle minacce informatiche, ma evidenzia anche come i criminali stiano sfruttando l'IA per scopi di marketing e automazione per aumentare la loro portata e scala operativa".

La versione 0.7 di Rhadamanthys include funzionalità di riconoscimento ottico dei caratteri (OCR) basate su intelligenza artificiale, anche se non particolarmente avanzate. Queste vengono utilizzate per generare gli account email e i contenuti dei messaggi di phishing, talvolta con errori che compromettono l'attacco.

I paesi presi di mira includono al momento Stati Uniti, Israele, Corea del Sud, Perù, Tailandia, Spagna, Svizzera e Polonia. Secondo Check Point, la natura indiscriminata degli attacchi e le motivazioni finanziarie suggeriscono che gli operatori siano criminali di basso livello piuttosto che gruppi sponsorizzati da stati come Russia o Iran.

Diverse società di sicurezza informatica hanno analizzato Rhadamanthys, rilevando funzionalità come:

  • Scansione di frasi seed per portafogli di criptovalute
  • Furto di credenziali, password e cookie
  • Utilizzo di file MSI per eludere i sistemi di difesa

Gli esperti consigliano soprattutto alle organizzazioni di rafforzare le proprie difese utilizzando gli indicatori di compromissione forniti nei rapporti tecnici e di prioritizzare l'automazione e l'IA nelle strategie di difesa per contrastare efficacemente queste campagne di phishing su larga scala.

Leggi altri articoli