Domenica 05 Luglio 2026 19:34:42 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Malware & Botnet

Quando il malware commodity inizia ad accumularsi, i difensori dovrebbero fare attenzione

Pubblicato: 01 Giugno 2026 16:07Categoria: Malware & BotnetAutore: NEXUSGUARDIAN

Un picco settimanale di telemetria intorno ad AsyncRAT, DCRat e agli stealer è meno la storia di una singola violazione e più un avvertimento su quanto rapidamente il malware di controllo remoto e il furto di credenziali possano convergere.

Un aumento dei caricamenti di analisi malware può sembrare rumore finché il pattern non si stabilizza. Qui il segnale è familiare: i trojan di accesso remoto per Windows e il malware per il furto di credenziali sono ancora molto diffusi, con AsyncRAT in testa al gruppo e DCRat anch'esso ben presente. Ciò non prova una singola campagna o un'ondata di infezioni universale, ma mostra quali toolset stanno tenendo occupati gli analisti.

Fatti rapidi

  • AsyncRAT è stata la principale famiglia di malware nel tracker settimanale, con 824 caricamenti.
  • DCRat figurava anch'essa tra le famiglie più rilevanti nello stesso campione di caricamenti.
  • I dati riflettono invii a sandbox, non un censimento completo delle infezioni su Internet.
  • AsyncRAT e DCRat sono RAT per Windows associati a comportamento di controllo remoto e di elusione delle difese.
  • Il malware stealer spesso prende di mira credenziali del browser, cookie e dati di sessione che possono favorire il takeover dell'account.

Perché è importante

Il dettaglio importante non è solo il volume. I RAT consentono all'operatore un controllo diretto dopo una compromissione iniziale, mentre gli stealer sono progettati per raccogliere i materiali di accesso che rendono più facile un accesso successivo. In altre parole, le due classi di malware possono completarsi nella stessa catena di intrusione: una per il controllo, l'altra per le credenziali.

È questa sovrapposizione che mantiene famiglie come AsyncRAT rilevanti. MITRE ATT&CK la descrive come uno strumento di accesso remoto per Windows usato in attività malevole con capacità come keylogging, cattura dello schermo, persistenza tramite attività pianificate e controlli per verificare ambienti sandbox o virtualizzati. DCRat, che MITRE considera una variante di AsyncRAT, aggiunge comportamenti di patching di AMSI e può usare il command-and-control basato su certificati. Dal punto di vista di un difensore, questa combinazione è importante perché indica sia esecuzione sia elusione.

Gli stealer introducono un rischio distinto. I cookie e le credenziali memorizzati nel browser spesso valgono più della sola password, perché possono consentire a un attaccante di riutilizzare una sessione prima della sua scadenza. Questo può rendere il compromesso dell'identità più difficile da individuare rispetto a un rumoroso evento ransomware, soprattutto quando il malware arriva su un endpoint non gestito o su un dispositivo utente che si confonde con il traffico normale.

I dati del tracker forniti mostrano un picco di invii, ma da soli non stabiliscono la portata completa nel mondo reale né la causa del trend. Si tratta di un segnale di priorità, non della prova di una singola ondata.

Lezioni difensive

La risposta pratica è trattare RAT e stealer allo stesso tempo come un problema di identità e di endpoint. Il filtraggio delle email, il controllo degli allegati e la formazione degli utenti restano importanti perché il phishing è un canale di distribuzione comune per queste famiglie. Sugli host Windows, i difensori dovrebbero monitorare la creazione sospetta di attività pianificate, accessi anomali ai database del browser, segnali di manomissione di AMSI e connessioni in uscita insolitamente persistenti.

Altrettanto importante, i team dovrebbero corroborare la telemetria della sandbox con dati di endpoint, identità, proxy ed email prima di decidere se stanno affrontando una campagna ampia o un insieme di invii ripetuti. Questa distinzione cambia il modo in cui si fa hunting, il modo in cui si generano gli alert e la rapidità con cui si passa dall'indagine al contenimento.

Conclusione

La lezione è semplice: il malware commodity continua a guadagnarsi spazio perché è flessibile, riutilizzabile e abbastanza efficace da sopravvivere nel mondo reale. Quando i grafici dei tracker si riempiono di RAT e stealer, il vero avvertimento è che gli attaccanti stanno ancora puntando sulla stessa vecchia combinazione di accesso remoto, furto di credenziali e furtività - e continua a funzionare abbastanza spesso da non poter essere ignorata dai difensori.

TECHCROOK

chiave di sicurezza hardware: Una chiave di autenticazione fisica può aggiungere un secondo fattore solido per email, password manager e altri account sensibili. Per articoli sul malware che coinvolgono furto di credenziali e hijacking di sessione, è un promemoria pratico per usare, ove possibile, accessi resistenti al phishing, soprattutto sugli account amministrativi e di alto valore.

Scheda Techcrook: chiave di sicurezza hardware

WIKICROOK

  • Trojan di accesso remoto (RAT): Malware che consente a un attaccante di controllare un dispositivo da remoto e spesso di osservare l'attività dell'utente.
  • Malware stealer: Malware progettato per raccogliere credenziali, cookie e altri dati di autenticazione dai sistemi infetti.
  • AMSI: Windows Antimalware Scan Interface, un livello di sicurezza usato per ispezionare script e contenuti malevoli in fase di esecuzione.
  • Command-and-control (C2): L'infrastruttura che il malware usa per ricevere istruzioni e inviare dati a un operatore.
  • Telemetria della sandbox: Dati di analisi malware raccolti da ambienti controllati usati per osservare file e comportamenti sospetti.