Il malware noto come Latrodectus è diventato l’ultimo advert abbracciare la tecnica di ingegneria sociale ampiamente usata ClickFix come vettore di distribuzione.
“IL Tecnica ClickFix è particolarmente rischioso perché consente al malware di eseguire in memoria piuttosto che essere scritto su disco “, ha detto Expel in un rapporto condiviso con le notizie di Hacker.” Ciò rimuove molte opportunità per i browser o gli strumenti di sicurezza per rilevare o bloccare il malware “.
Latrodectus, che si ritiene sia un successore di Icedid, è il nome dato a un malware che funge da downloader per altri carichi utili, come il ransomware. È stato documentato per la prima volta da Proofpoint e Group Cymru nell’aprile 2024.
Per inciso, il malware è uno dei tanti software program dannosi a subire una battuta d’arresto operativa come parte dell’operazione Endgame, che abbattuto 300 server in tutto il mondo e neutralizzati 650 domini relativi a Bumblebee, Lactrodectus, Qakbot, Hijackloader, Danabot, Trickbot e Warmcookie tra il 19 e il 22 maggio 2025.
Nell’ultimo set di attacchi di Latrodectus osservati da Expel nel maggio 2025, gli utenti ignari sono indotti a copiare ed eseguire un comando PowerShell da un sito Internet infetto, una tattica che è diventata un metodo prevalente per distribuire una vasta gamma di malware.
“Se eseguiti da un utente, questi comandi tenteranno di installare un file situato nell’URL remoto utilizzando MSIEXEC e quindi eseguirlo in memoria”, ha detto Expel. “Ciò impedisce all’attaccante di dover scrivere il file al pc e rischiare di essere rilevato dal browser o da un antivirus che potrebbe rilevarlo sul disco.”
Il programma di installazione MSI contiene un’applicazione legittima di Nvidia, che viene utilizzata per scendere una DLL dannosa, che quindi utilizza Curl per scaricare il payload principale.
Per mitigare gli attacchi di questo tipo, si consiglia di disabilitare il programma Home windows Esegui utilizzando gli oggetti politici di gruppo (GPO) o disattivare la chiave scorching “Home windows + R” tramite una modifica del registro di Home windows.
Da clickfix a tiktok
La divulgazione arriva quando Pattern Micro ha rivelato i dettagli di una nuova campagna di ingegneria che invece di fare affidamento su false pagine Captcha impiega video di Tiktok probabilmente generati utilizzando strumenti di intelligenza artificiale (AI) per consegnare il vidar e gli furti di informazioni sugli utenti istruendo gli utenti a gestire i comandi dannosi per attivare Home windows, Microsoft Workplace, Capcut e Spotify.
Questi video sono stati pubblicati da vari account tiktok come @gitAllowed, @zane.houghton, @Allaivo2, @sysglow.wow, @alexfixpc e @digitaldreams771. Questi account non sono più attivi. Uno dei video che dichiarano di fornire istruzioni su come “aumentare istantaneamente la tua esperienza Spotify” ha accumulato quasi 500.000 visualizzazioni, con oltre 20.000 Mi piace e oltre 100 commenti.
La campagna segna una nuova escalation di ClickFix in quanto gli utenti che cercano modi per attivare le app piratate sono guidati verbalmente e visivamente per aprire la finestra di dialogo Home windows Esect premendo la chiave scorching “Home windows + R”, lancio PowerShell ed eseguire il comando evidenziato nel video, alla tremendous compromettendo i propri sistemi.
“Gli attori delle minacce stanno ora utilizzando video tiktok che sono potenzialmente generati utilizzando strumenti alimentati dall’intelligenza artificiale per progettare gli utenti socialmente nell’esecuzione dei comandi PowerShell con il pretesto di guidarli per attivare software program legittimi o sbloccare le funzionalità premium” disse.
“Questa campagna evidenzia come gli aggressori sono pronti advert armare qualsiasi piattaforma di social media sia attualmente popolare per distribuire malware”.
App di contabilità false usate per rubare le frasi di semi degli utenti Mac
I risultati seguono anche la scoperta di quattro various campagne di malware che sfruttano una versione clonata dell’app di Legger Dwell per rubare dati sensibili, comprese le frasi di semi, con l’obiettivo di drenare i portafogli di criptovaluta delle vittime. L’attività è stata in corso Dall’agosto 2024.
Gli attacchi utilizzano i file DMG dannosi che, una volta lanciati, lanciano AppleScript per exfiltrate password e dati Apple Notes e quindi scaricano una versione trojanizzata di Leddy Dwell. Una volta aperta l’app, avverte gli utenti di un presunto problema dell’account e che richiede la loro frase di seme per il recupero. La frase di semi immessa viene inviata a un server controllato dagli attaccanti.
Moonlock Lab, che ha fatto luce sulla campagna, ha affermato che le app cantine fanno uso di malware per il furto di macos come Atomic MacOS Stealer (AMOS) e Odyssey, quest’ultimo dei quali ha introdotto il nuovo schema di phishing nei binari impovestati di marzo. rivelato di Jamf questo mese.
“Nei discussion board Darkish Internet, le chiacchiere attorno agli schemi anti-ledger stanno crescendo. La prossima ondata sta già prendendo forma”, la divisione di sicurezza informatica di MacPaw notato. “Gli hacker continueranno a sfruttare il posto dei proprietari di criptovalute Belief in Ledger Dwell.”
