#ISFB #LDR4 - url > .zip > .js > CobaltStrike

Interesting campaign this week purporting to be Hays Recruitment.

DocuSign lure that leads to a site that drops a zip file that contains a .js loader for #CobaltStrike

(1/3)👇IOC's continued

#UPSTYLE backdoor targeting GlobalProtect VPN devices via CVE-2024-3400 in 3 images/stages 🔥 #0day
[+] bazaar.abuse.ch/sample/3de2a43…

All technical details in the blogs of:
+ Volexity ( #UTA0218 ): volexity.com/blog/2024/04/1…
+ Unit 42 (Operation #MidnightEclipse ):…

2/70 - Low Detection #SolarMarker
#Signed #EV 'Heart Craft Brewery s. r. o.'

Ah yeah, my favorite craft breweries make the best binaries too.

MSI manual as decoy.

VT: virustotal.com/gui/file/47889…

MB: bazaar.abuse.ch/sample/fb85c97…

Backdoor: bazaar.abuse.ch/sample/7434cd0…
JAMESWT

Chiaramente, le credenziali inserite non serviranno per il legittimo accesso al servizio. Un’analisi del codice sorgente della pagina malevola rivela che uno script è programmato per inviarle direttamente a un bot di Telegram, facendole pervenire agli orchestratori della truffa👇

⚠️Attenzione! È in corso una truffa tramite #mail in cui si chiede di scaricare una falsa #App #INPS mobile.
➡️Scaricare l’App INPS mobile soltanto dagli store autorizzati o tramite il sito INPS.
📌rb.gy/8v7lmx
#InpsComunica #Alert #Truffe #Phishing Cert AgID

Sintesi riepilogativa delle campagne malevole nella settimana del 06 – 12 Aprile 2024

➡️ Malware #SpyNote -> #INPS
➡️ Furto #PEC -> #Telegram

💣 #IoC 227
🦠 #Malware 7 (famiglie)
🐟 #Phishing 8 (brand)

ℹ️ Ulteriori approfondimenti 👇

🔗 cert-agid.gov.it/news/sintesi-r…

Possible #MuddyWater #MSI sample with a well known signature and low detection rates. Uploaded from #Hungary
Sample: bazaar.abuse.ch/sample/a351667…
Mikhail Kasimov Simon Kenin any idea?

'In seguito all’articolo di qualche giorno fa a firma del commissario AGCOM Capitanio, ritengo doveroso fare alcune osservazioni a commento'.
Riassumendo: il PiracyShield è una enorme vaccata.

Stefano Stefano Zanero Zanero, 'anonimo utente ™ del web'.
agendadigitale.eu/sicurezza/pira…

🚨 Beware of Pikabot #malware ! This sneaky loader malware appeared in 2023 and keeps evolving. Now in its latest version as of February 2024, #Pikabot poses a serious threat with anti-analysis features and flexible capabilities.

Learn more 👇
any.run/malware-trends…

Il 4° giorno, se non erro.
Banca Sella, sicuri che il disservizio che causa 'rallentamenti' non sia altro?
⤵️ Avete notificato il #DataBreach al Garante Privacy? 🤔
garanteprivacy.it/data-breach

#Botasaurus : The All in One Framework to build Awesome Scrapers!

github.com/omkarcloud/bot…

#python #coding #scraping #development

🇮🇹 Campagna di phishing #PEC : Credenziali inoltrate ad un bot Telegram

⚠️ Phishing finalizzato all’appropriazione indebita delle credenziali per l’accesso a caselle di #PEC

🔑 Le credenziali smistate via #Telegram

ℹ️ Approfondimenti e #IoC 👇

🔗 cert-agid.gov.it/news/campagna-…

Addirittura

Another #Rhadamanthys #LNK sample from #SVK
bazaar.abuse.ch/sample/375ac09… abuse.ch
Drops(https): /care-onboard.com/app.txt

▪ 'start.vbs': e20928546b7af2360c63f60c7ad085d85b263dfeca1909c2f2b0183d38a9b51c

🔦 Code insights

The code creates a WshShell object and executes six commands using the Run method:

1. Runs the 'dekstop_files.bat' batch file.
2. Runs the 'start_2.bat' batch file.
3. Runs the…

Another #Botnet is coming? Now it's time for the #LG

CVE-2023-6317 - Attackers can bypass PIN verification and add a privileged user profile to the TV set without requiring user interaction.

CVE-2023-6318 - Elevate privileges and gain root access.

🔥87,734 devices exposed.

Unraveling Not AZORult but Koi Loader: A Precursor to Koi Stealer

Did some analysis on #KoiLoader which ultimately led to #KoiStealer . Warning ⚠️It is not AZORult.

The blog: esentire.com/blog/unravelin…

eSentire Threat Intel

Updated my debloat (github.com/Squiblydoo/deb…) tool to handle the inflation technique used in this sample.

Thanks, #SolarMarker , for pointing out that I missed this use case. It is now solved.

📈 Risulta particolarmente interessante notare come, recentemente, si sia intensificata la tendenza a sfruttare i 🤖 bot di #Telegram anche nelle campagne di #phishing

💣 Approfondimenti e #IoC 👇

🔗t.me/certagid/650

🎣 In questo scenario, i truffatori hanno architettato un inganno simulando la spedizione di un ordine inesistente e, nel momento in cui le vittime aprono l'allegato #HTML contraffatto, vengono indotte a 'verificare' il proprio #ID inserendo le credenziali #Microsoft in un form.