Benvenuti al vostro podcast quotidiano sulla cybersecurity.
Pornhub allerta gli abbonati Premium in seguito a un’esposizione di dati l’8 novembre 2025 tramite il fornitore di analytics Mixpanel. I cybercriminali minacciano di contattare direttamente gli utenti interessati via email. Mixpanel contesta che i dati provengano dal suo incidente di sicurezza dell’8 novembre, indicando nessuna prova di esfiltrazione dai suoi sistemi. Pornhub conferma che password, dettagli di pagamento e informazioni finanziarie non sono compromessi, con l’esposizione limitata a un insieme ristretto di eventi analitici. Gli attaccanti sfruttano questi dati per campagne di sextortion mirate specificatamente agli utenti Premium identificati.
Intezer documenta una campagna del gruppo Goffee che mira al personale militare russo e alle organizzazioni di difesa. L’attacco iniziale identificato a ottobre utilizza un file XLL dannoso caricato dall’Ucraina poi dalla Russia su VirusTotal, intitolato “enemy’s planned targets”. Il file distribuisce il backdoor EchoGather per raccogliere informazioni di sistema, eseguire comandi ed esfiltrare file verso un server C2 mascherato da sito di consegna cibo. Le esche di phishing includono falso invito a concerto per ufficiali militari superiori e lettera che imita il Ministero dell’Industria e Commercio russo richiedendo documenti di giustificazione tariffaria per contratti difesa.
CISA e NIST pubblicano la bozza dell’Interagency Report 8597 sulla protezione di token e assertion di identità contro falsificazione, furto e uso malevolo. Il documento affronta incidenti recenti presso fornitori cloud maggiori miranti a furto, modifica o falsificazione di token d’identità per accedere a risorse protette. Il report copre controlli IAM per sistemi che utilizzano assertion e token firmati digitalmente nelle decisioni di accesso. NIST richiede ai CSP di applicare principi Secure by Design, prioritizzando trasparenza, configurabilità e interoperabilità. Le agenzie federali devono comprendere architettura e modelli di deployment dei loro CSP per allineare postura di rischio e ambiente di minaccia.
Check Point Research ha documentato GachiLoader, un loader malware Node.js fortemente offuscato distribuito tramite YouTube Ghost Network. La campagna sfrutta 39 account compromessi che diffondono oltre 100 video mirati agli utenti di cheat per videogiochi, accumulando 220.000 visualizzazioni da dicembre 2024. Il malware implementa verifiche anti-analisi che includono RAM minima di 4 GB, 2 core CPU e blacklist per username, hostname e processi in esecuzione. GachiLoader disabilita Windows Defender e aggiunge esclusioni per C:\Users, C:\ProgramData, C:\Windows e l’estensione .sys. Sono state osservate due varianti: la prima scarica Rhadamanthys da server C2, mentre la seconda distribuisce Kidkadi.node utilizzando tecnica Vectored Overloading per intercettare chiamate di sistema e caricare PE dannoso.
Fonti:
- Pornhub sextortion: https://www.malwarebytes.com/blog/news/2025/12/pornhub-tells-users-to-expect-sextortion-emails-after-data-exposure
- Goffee APT: https://therecord.media/cyber-spies-fake-new-year-concert-russian-phishing
- NIST/CISA token: https://www.cisa.gov/news-events/alerts/2025/12/22/nist-and-cisa-release-draft-interagency-report-protecting-tokens-and-assertions-tampering-theft-and
- GachiLoader: https://research.checkpoint.com/2025/gachiloader-node-js-malware-with-api-tracing/
Non si riflette, si patcha!
I vostri commenti sono benvenuti.
Email: radiocsirt@gmail.com
Sito web: https://www.radiocsirt.com
Newsletter settimanale: https://radiocsirtitalianedition.substack.com/