La catena malware segnalata prende di mira il flusso OAuth di Google, mostrando come una sessione browser attiva possa diventare il vero obiettivo in una compromissione della posta elettronica.
Una catena di malware costruita sull'abuso di ScreenConnect e su installatori falsi mostra come gli aggressori possano trasformare le normali abitudini di gestione remota in un percorso silenzioso verso AsyncRAT.
Una nuova ondata di ValleyRAT usa esche sotto forma di installer e email ingannevoli in lingua giapponese per trasformare le normali decisioni di fiducia di Windows in un rischio di controllo remoto.
Una presunta operazione ToddyCat indica una forma più silenziosa di abuso degli account: sideloading su Windows, debug remoto del browser e flusso di token OAuth invece del furto diretto delle credenziali.
Una campagna soprannominata Boss Scam combina impersonificazione, sideloading di DLL su Windows e furto di sessioni di WhatsApp Web, mostrando come i criminali possano concatenare strumenti aziendali di uso quotidiano in un percorso di frode.
Un'ondata di spionaggio di giugno collegata a Mustang Panda ha usato la distribuzione basata su archivi, il DLL sideloading e l'abuso di servizi cloud per confondere il confine tra traffico d'ufficio e traffico dell'operatore.
Una nuova backdoor per Windows si nasconderebbe dietro un nome di componente in stile Microsoft, usando il sideloading di DLL e un comportamento di auto-pulizia per rendere più difficile la risposta agli incidenti.
Backdoor.Mistic ricorda che alcune intrusioni non sono costruite per fare danni rumorosi, ma per una rivendita silenziosa: l'esecuzione in memoria, il DLL sideloading e l'autoeliminazione possono rendere un punto d'appoggio molto più prezioso per i criminali rispetto a un rapido colpo e fuga.
Una nuova famiglia di malware sta attirando l’attenzione non per una distruzione rumorosa, ma per il modo in cui combina ingegneria sociale, persistenza furtiva e flessibilità post-compromissione.
Mistic assomiglia meno a un colpo rapido da prima pagina e più al tipo di punto d'appoggio che può essere scambiato, riutilizzato o passato di mano all'interno dell'economia del ransomware.
Una campagna basata su esche legate alle candidature mostra come un file .LNK dall'aspetto innocuo possa diventare il primo passo di una catena di esecuzione furtiva su Windows.
Un loader basato sul DLL sideloading viene usato per distribuire più infostealer, e una caccia storica con YARA suggerisce che la campagna abbia lasciato una traccia più ampia di quanto mostrerebbe un singolo campione.
I ricercatori descrivono un pacchetto malware da 250 dollari al mese costruito attorno a un ampio targeting delle applicazioni e a familiari tecniche di elusione di Windows, un promemoria del fatto che il furto di massa sta diventando tecnicamente più disciplinato.
Un binario Windows firmato può sembrare innocuo in superficie, ma può comunque diventare il veicolo di consegna per un loader furtivo quando gli aggressori collocano la DLL giusta accanto ad esso.
Un cluster di minaccia in rapida evoluzione sta attirando l'attenzione per il modo in cui combina loader, RAT e strumenti legittimi, rendendo le difese statiche sempre più fragili.
Una scorciatoia di Windows, una shell di scripting e un binario fidato possono essere concatenati in un percorso furtivo per malware di accesso remoto.
Una catena di abuso .NET riportata mostra come i difensori possano perdere visibilità prima che un'applicazione si assesti completamente, soprattutto quando la manipolazione dell'avvio si combina con il sideloading di DLL e esche a tema reclutamento.
Un implant Windows appena identificato, collegato a Screening Serpens, mostra come i percorsi di comando ospitati nel cloud e l'abuso del flusso di esecuzione possano rendere il traffico di spionaggio più difficile da distinguere dalla normale attività aziendale.
Una campagna di spear phishing a tema campus abbina un avviso universitario credibile a un camuffamento in cartelle e a un'esecuzione in più fasi per rendere il malware più difficile da individuare.
Una campagna di spionaggio collegata alla Cina evidenzia come strumenti legittimi, DLL sideloading e una backdoor personalizzata possano fondere attività malevole nel normale comportamento di Windows.