Domenica 05 Luglio 2026 10:07:31 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Malware e botnet

Windows Trust, Arma a Doppio Taglio: PureLogs, MSBuild e l'Arte Silenziosa del Process Hollowing

Pubblicato: 28 Maggio 2026 16:03Categoria: Malware e botnetArea: Nord America / USAAutore: IRONQUERY

Una campagna PureLogs segnalata combina allegati di phishing, un legittimo strumento di build Microsoft e tecniche di memory injection per puntare a credenziali e dati dei wallet.

La parte più inquietante di questa campagna non è solo il malware. È il modo in cui componenti familiari di Windows vengono trascinati nel ruolo di complici. Nella catena PureLogs segnalata, gli allegati malevoli vengono usati per avviare l'infezione, MSBuild.exe viene abusato come punto di avvio e il process hollowing viene usato per rendere il payload più difficile da individuare una volta eseguito.

Fatti Rapidi

  • PureLogs è descritto come una variante di infostealer mirata a credenziali e altri dati sensibili.
  • MSBuild.exe è una legittima utility di build Microsoft che può essere abusata per eseguire logica controllata dall'attaccante.
  • Il process hollowing è una tecnica di memory injection che può rendere più difficile rilevare attività malevole.
  • La campagna è collegata ad allegati malevoli in un contesto di phishing.
  • I dati presi di mira includono wallet di criptovalute, password del browser e informazioni di sistema.

Perché è importante

Dal punto di vista difensivo, si tratta di un classico problema di confine della fiducia. MSBuild è normalmente associato allo sviluppo software, ma MITRE classifica il suo abuso come Trusted Developer Utilities Proxy Execution. Questo significa che un attaccante può potenzialmente usare uno strumento legittimo e firmato per avviare codice malevolo senza aver bisogno, a prima vista, di un eseguibile autonomo ovviamente sospetto.

Il process hollowing aggiunge un ulteriore livello di occultamento. La tecnica di solito avvia un processo legittimo in stato sospeso, ne sostituisce l'immagine in memoria e poi ne riprende l'esecuzione. Il risultato non è l'invisibilità, ma la confusione: il nome del processo visibile può sembrare normale mentre il codice in esecuzione al suo interno non lo è. Questo rende la telemetria degli endpoint, le relazioni padre-figlio tra processi e le attività API sospette molto più importanti dei soli nomi dei file.

Il quadro più ampio di PureLogs si adatta anche a un modello da infostealer piuttosto che a un malware distruttivo. I bersagli segnalati - password del browser, dati dei wallet e informazioni di sistema - indicano rischio di account takeover e frodi successive. In termini pratici, anche un'infezione di breve durata può essere rilevante se sessioni del browser, credenziali salvate o file dei wallet vengono raccolti prima che l'utente noti qualcosa di anomalo.

C'è una cautela importante. Le informazioni pubbliche non stabiliscono in modo completo la catena di attacco, l'esatta ampiezza dei sistemi colpiti o se ogni risultato di furto dichiarato sia stato effettivamente raggiunto. Le informazioni disponibili supportano un'analisi del rischio, non una dichiarazione definitiva di compromissione universale.

I difensori dovrebbero trattare l'esecuzione inattesa di MSBuild come un'anomalia ad alto segnale al di fuori dei normali flussi di build, soprattutto quando è seguita da comportamenti di memory injection, processi figlio insoliti o connessioni in uscita che non corrispondono al ruolo dell'host. Il filtraggio degli allegati, il sandboxing e la telemetria dell'host devono lavorare insieme, perché qualsiasi singolo controllo può essere aggirato da una catena che mescola social engineering e strumenti fidati.

Conclusione

La lezione è semplice ma scomoda: gli attaccanti non hanno sempre bisogno di exploit esotici quando strumenti Windows affidabili possono essere riutilizzati come sistema di distribuzione. PureLogs mostra come phishing, abuso di MSBuild e process hollowing possano combinarsi in un pattern compatto di stealth-stealer. Per i difensori, il vero lavoro non è fidarsi del nome del processo, ma osservare il comportamento attorno a esso.

TECHCROOK

Chiave di sicurezza hardware: Una piccola chiave di sicurezza USB/NFC aggiunge un forte secondo fattore per gli accessi importanti, inclusi email, account cloud e gestori di password. È un modo pratico per alzare il livello di protezione dell'accesso agli account quando le password possono essere rubate o riutilizzate. Scegli un modello compatibile con i tuoi dispositivi e con i servizi che usi.

Scheda Techcrook: Chiave di sicurezza hardware

WIKICROOK

  • MSBuild.exe: Microsoft Build Engine, una legittima utility di Windows usata per compilare e automatizzare le build software.
  • Process hollowing: Una tecnica in cui un processo legittimo sospeso vede la propria memoria sostituita con codice malevolo prima della ripresa dell'esecuzione.
  • Infostealer: Malware progettato per raccogliere credenziali, file dei wallet e altre informazioni sensibili da un sistema infetto.
  • Allegato di phishing: Un file malevolo inviato tramite email o messaggistica che cerca di indurre un utente ad aprirlo.
  • Proxy execution: Una tattica che utilizza strumenti o binari fidati per avviare codice e ridurre l'apparenza di attività sospette.