Un nuovo pericoloso Remote Access Trojan (RAT) altamente sofisticato, denominato StilachiRAT, sta circolando con l’obiettivo di sottrarre credenziali, dati sensibili e criptovalute. Questo malware utilizza tecniche avanzate di evasione per rimanere inosservato, garantire la persistenza e permettere ai cybercriminali di operare indisturbati.

Un RAT su misura per lo spionaggio e il furto

Scoperto a novembre 2024 dai ricercatori di Microsoft Incident Response, StilachiRAT si distingue per la sua capacità di infiltrarsi nei sistemi target senza destare sospetti.

Tra le sue principali funzioni troviamo:

• Furto di credenziali: estrae informazioni sensibili salvate nei browser, inclusi i dati delle criptovalute.
• Monitoraggio dell’attività utente: raccoglie dati di sistema, rileva la presenza di telecamere, analizza sessioni RDP attive e le applicazioni in esecuzione.
• Attacco alle criptovalute: scansiona la configurazione di oltre 20 wallet digitali, tra cui Coinbase Wallet, Metamask e Trust Wallet.
• Persistenza e movimento laterale: sfrutta Windows Service Control Manager per rimanere attivo e persiste anche dopo tentativi di rimozione.

Attacco silenzioso e pericoloso

StilachiRAT non si limita a raccogliere informazioni, ma implementa anche funzionalità avanzate per evitare il rilevamento:

• Cancellazione dei log di sistema: elimina tracce dell’attacco per impedire indagini forensi.
• Evasione da sandbox: utilizza chiamate API offuscate per rendere l’analisi più complessa.
• Manipolazione delle finestre di sistema: monitora l’attività dell’utente per carpire password e dati sensibili direttamente dallo schermo.

Una volta insediato, StilachiRAT permette ai criminali di controllare il dispositivo infetto tramite comandi da un server C2. Questi comandi includono:

• Esecuzione di applicazioni malevole;
• Riavvio o sospensione del sistema;
• Modifica di chiavi di registro di Windows;
• Creazione di proxy per camuffare il traffico malevolo.

Difendersi è possibile

Sebbene Microsoft non abbia ancora attribuito StilachiRAT a un gruppo specifico, la sua pericolosità è evidente. Per ridurre il rischio di infezione, è essenziale adottare alcune contromisure:

• Scaricare software esclusivamente da fonti ufficiali;
• Utilizzare soluzioni di sicurezza avanzate che blocchino domini e allegati sospetti;
• Monitorare le sessioni RDP e implementare autenticazione a più fattori;
• Effettuare controlli di sicurezza regolari per individuare attività anomale.

Conclusione

Il panorama delle minacce informatiche non mostra segni di rallentamento e StilachiRAT ne è l’ennesima dimostrazione. Questo malware rappresenta un rischio concreto per aziende e utenti, con il suo focus su credenziali, criptovalute e accessi remoti. La difesa efficace passa attraverso la consapevolezza e l’adozione di misure di sicurezza mirate. L’informazione e la prevenzione sono le armi più potenti contro queste minacce in continua evoluzione.

L'articolo StilachiRAT: il malware fantasma che ruba credenziali e criptovalute senza lasciare traccia! proviene da il blog della sicurezza informatica.

Il team di threat hunting di Trend Zero Day Initiative™ (ZDI) ha identificato casi significativi di sfruttamento di un bug di sicurezza in una serie di campagne risalenti al 2017. L’analisi ha rivelato che 11 gruppi sponsorizzati da stati provenienti da Corea del Nord, Iran, Russia e Cina hanno impiegato il bug monitorato con il codice ZDI-CAN-25373 in operazioni motivate principalmente da cyber spionaggio e furto di dati.

Trendmicro ha scoperto quasi mille campioni Shell Link (.lnk) che sfruttano ZDI-CAN-25373; tuttavia, è probabile che il numero totale di tentativi di sfruttamento sia molto più alto. Successivamente, i ricercatori hanno inviato un exploit proof-of-concept tramite il programma bug bounty di Trend ZDI a Microsoft, che ha rifiutato di risolvere questa vulnerabilità con una patch di sicurezza.
Numero di campioni da gruppi APT che sfruttano ZDI-CAN-25373 (fonte TrendMicro)
La vulnerabilità, identificata come ZDI-CAN-25373, consente agli aggressori di eseguire comandi dannosi nascosti sui computer delle vittime sfruttando file di collegamento di Windows (.lnk) appositamente creati. Questa falla di sicurezza influisce sul modo in cui Windows visualizza il contenuto dei file di collegamento tramite la sua interfaccia utente. Quando gli utenti esaminano un file .lnk compromesso, Windows non riesce a visualizzare i comandi dannosi nascosti al suo interno, nascondendo di fatto il vero pericolo del file.

Ad oggi sono stati scoperti quasi 1.000 artefatti del file .LNK che sfruttano ZDI-CAN-25373, la maggior parte dei quali è collegata a Evil Corp (Water Asena), Kimsuky (Earth Kumiho), Konni (Earth Imp), Bitter (Earth Anansi) e ScarCruft (Earth Manticore).

Degli 11 attori di minacce sponsorizzati dallo stato che sono stati scoperti ad abusare della falla, quasi la metà di loro proviene dalla Corea del Nord. Oltre a sfruttare la falla in vari momenti, la scoperta serve come indicazione di collaborazione incrociata tra i diversi cluster di minacce che operano all’interno dell’apparato informatico di Pyongyang.
Paesi di origine APT che hanno sfruttato ZDI-CAN-25373 (fonte TrendMicro)
Nello specifico, il bug comporta l’aggiunta degli argomenti con i caratteri di spazio (0x20), tabulazione orizzontale (0x09), avanzamento riga (0x0A), tabulazione verticale (\x0B), avanzamento pagina (\x0C) e ritorno a capo (0x0D) per eludere il rilevamento.

I dati di telemetria indicano che governi, enti privati, organizzazioni finanziarie, think tank, fornitori di servizi di telecomunicazione e agenzie militari/difesa situate negli Stati Uniti, in Canada, Russia, Corea del Sud, Vietnam e Brasile sono diventati i principali obiettivi degli attacchi che sfruttano questa vulnerabilità.

Negli attacchi analizzati da ZDI, i file .LNK fungono da veicolo di distribuzione per famiglie di malware note come Lumma Stealer, GuLoader e Remcos RAT, tra gli altri. Tra queste campagne, degna di nota è lo sfruttamento di ZDI-CAN-25373 da parte di Evil Corp.

Vale la pena notare che .LNK è tra le estensioni di file pericolose bloccate nei prodotti microsoft come Outlook, Word, Excel, PowerPoint e OneNote. Di conseguenza, il tentativo di aprire tali file scaricati dal Web avvia automaticamente un avviso di sicurezza che consiglia agli utenti di non aprire file da fonti sconosciute.

L'articolo 8 Anni di Sfruttamento! Il Bug 0day su Microsoft Windows Che Ha Alimentato 11 Gruppi APT proviene da il blog della sicurezza informatica.

Il panorama delle minacce ransomware è in costante evoluzione, con gruppi sempre più strutturati che adottano strategie sofisticate per massimizzare il profitto. VanHelsing è un nuovo attore che si sta posizionando nel mercato del Ransomware-as-a-Service (RaaS), un modello che consente anche a cybercriminali con competenze limitate di condurre attacchi avanzati grazie a una piattaforma automatizzata.

Dopo l’annuncio del 23 febbraio 2025 sul forum underground riguardante il programma di affiliazione VanHelsing RaaS, il gruppo ransomware ha ufficialmente pubblicato la prima possbile vittima sul proprio Data Leak Site (DLS).

A meno di un mese dal lancio, la comparsa della prima organizzazione colpita conferma che il gruppo ha iniziato ad operare attivamente. Sebbene il DLS sia ancora scarno, il debutto di una vittima suggerisce che gli affiliati stiano già distribuendo il ransomware e che il numero di attacchi potrebbe aumentare rapidamente.

VanHelsing RaaS: Un Programma Strutturato per gli Affiliati

L’annuncio del 23 febbraio ha rivelato dettagli significativi sul funzionamento del programma VanHelsing RaaS, che si distingue per una strategia di reclutamento selettivo e strumenti avanzati.

Punti chiave del programma di affiliazione:

• Ingresso su invito: gli affiliati con una reputazione consolidata nel cybercrime possono aderire gratuitamente.
• Quota di ingresso per nuovi affiliati: chi non ha una reputazione pregressa deve pagare $5.000 per accedere alla piattaforma.
• Strumenti avanzati: accesso a un pannello web, un sistema di chat privato, un locker per chiavi di cifratura, strumenti di esfiltrazione dati e funzionalità di attacco ransomware automatizzate.
• Revenue sharing: gli affiliati trattengono l’80% del riscatto, mentre VanHelsing trattiene il 20%.
• Escrow su blockchain: i fondi vengono rilasciati dopo due conferme, riducendo i rischi di frode tra affiliati e sviluppatori.
• Crittografia avanzata: utilizzo di protocolli di cifratura di alto livello per rendere il ransomware resiliente alle contromisure.
• Automazione completa: il ransomware è interamente gestito tramite il pannello di controllo, eliminando errori operativi e riducendo la necessità di intervento manuale.

La Prima Possibile Vittima Pubblicata sul DLS

La prima possibile organizzazione colpita da VanHelsing RaaS opera nel settore pubblico, con funzioni amministrative Questo suggerisce che il gruppo potrebbe prendere di mira enti governativi, municipalità o servizi pubblici, categorie spesso vulnerabili a ransomware.

L’attacco sembra seguire una strategia di doppia estorsione, con un countdown di 10 giorni prima della pubblicazione dei dati esfiltrati. Questo lascia intendere che il gruppo stia negoziando un riscatto con l’ente colpito, cercando di massimizzare il profitto prima di rendere pubbliche eventuali informazioni sensibili.

Anatomia del DLS

Al momento, il DLS di VanHelsing contiene una sola possibile vittima, il che potrebbe indicare diverse possibilità:

1. Il gruppo sta testando l’infrastruttura prima di pubblicare attacchi su larga scala.
2. Ci sono altre vittime in fase di negoziazione, che non sono ancora state elencate nel DLS.
3. Gli affiliati stanno ancora adottando il ransomware, e il numero di attacchi potrebbe aumentare esponenzialmente nelle prossime settimane.

L’esperienza con altri gruppi RaaS dimostra che il numero di vittime può crescere rapidamente man mano che nuovi cybercriminali iniziano ad utilizzare il servizio.

VanHelsing Chat: La Piattaforma di Comunicazione Privata

Un altro elemento distintivo di VanHelsing è la presenza di un portale di chat privato, accessibile solo tramite un Session ID. Questa piattaforma suggerisce che il gruppo gestisce direttamente le negoziazioni con le vittime e le comunicazioni con gli affiliati, senza affidarsi a strumenti pubblici come Telegram o forum underground.

L’adozione di una chat privata offre diversi vantaggi operativi:

• Maggiore sicurezza → Riduce il rischio di infiltrazioni da parte delle forze dell’ordine o di ricercatori di cybersecurity.
• Gestione diretta delle richieste di riscatto → Le vittime possono comunicare direttamente con il team di VanHelsing o con l’affiliato responsabile dell’attacco.
• Coordinamento degli affiliati → I membri del programma RaaS possono ricevere supporto tecnico e aggiornamenti operativi in tempo reale.

Questa infrastruttura è indicativa di un gruppo ransomware che punta a una gestione centralizzata e professionale degli attacchi, un elemento distintivo rispetto a operatori meno organizzati.

Conclusioni

L’emergere di VanHelsing RaaS rappresenta un’ulteriore evoluzione del modello ransomware, con un’infrastruttura altamente scalabile e strumenti avanzati per affiliati. La loro attenzione all’automazione e alla sicurezza operativa suggerisce che potremmo assistere a un aumento degli attacchi nei prossimi mesi, con impatti significativi su aziende e infrastrutture critiche.

L'articolo VanHelsing RaaS: Un Nuovo Modello di Ransomware-as-a-Service in Espansione proviene da il blog della sicurezza informatica.

Incel, abbreviazione dell’espressione inglese involuntary celibates (“casti non per scelta”): è utilizzata per definire uomini eterosessuali che non hanno rapporti sessuali perché si sentono discriminati e rifiutati dalle donne, che incolpano di privarli di quello che reputano un loro diritto.

ilpost.it/2025/03/18/incel/.

Dal Rinascimento a oggi, il mecenatismo è stato un ponte tra potere, ricchezza e cultura. Oggi, dal report di Avant Arte, vediamo una trasformazione di questo fenomeno: una nuova generazione di collezionisti e mecenati non si limita più a sostenere economicamente musei e istituzioni, ma partecipa attivamente alla diffusione dell’arte. Questo cambiamento porta con sé una riflessione fondamentale: il mecenatismo contemporaneo deve solo promuovere o anche valorizzare?

Promuovere vs valorizzare: una distinzione cruciale

Spesso si usano questi termini come sinonimi, ma hanno significati profondamente diversi. Promuovere significa amplificare la visibilità di un'opera, un artista o un progetto attraverso strategie di comunicazione, marketing e diffusione. È un primo passo importante, ma da solo non garantisce la crescita culturale. Valorizzare, invece, è un processo più profondo: significa riconoscere e accrescere il valore di un’opera, mettendone in luce il significato, inserendola in un contesto che ne amplifichi la portata culturale e sociale.

Se il mecenatismo moderno vuole davvero lasciare un segno, non può limitarsi alla promozione. Deve creare connessioni, contesti e significati che permettano all’arte di avere un impatto duraturo nella società.

Il futuro del mecenatismo

Il modello che emerge dal report di Avant Arte suggerisce che i nuovi collezionisti vogliono essere più coinvolti nel processo creativo e culturale. Questa è una grande opportunità: il mecenatismo non è più solo un privilegio di pochi, ma può diventare un motore collettivo per sostenere e dare valore all’arte contemporanea.

Forse la vera sfida è questa: riusciremo a costruire un mecenatismo che non sia solo un investimento di mercato, ma un atto politico e culturale capace di generare un impatto reale?

@Arte e Cultura
@Cultura

artribune.com/professioni-e-pr…

#Arte #mecenatismo #collezionismo #cultura #artecontemporanea

Il report di Avant Arte sui nuovi collezionisti e mecenati dell'arte | Artribune

Secondo l'analisi prodotta annualmente dal marketplace l’88% di questi ha sia le risorse che il desiderio di donare di più ai musei e di sostenerli concretamente

^{Cristina Masturzo (Artribune)}

Via libera della Regione all'accesso degli animali da affezione nelle strutture sanitarie, per migliorare il benessere dei pazienti a lunga degenza

[...]

Per gli ospedali deve essere concordato con il servizio di accoglienza il percorso per raggiungere la saletta di uso comune dove si svolgerà la visita. In ciascuna struttura è consentita la presenza di un solo animale per volta e le visite saranno pianificate per non creare sovrapposizioni. Alcuni reparti sono interdetti: gli animali non potranno accedere al pronto soccorso, a neonatologia, alle aree ambulatoriali, di dialisi, di prelievo e di ristoro, nei day hospital e nelle sale operatorie.

agi.it/cronaca/news/2025-03-18…