Nuova serie: Malware Brief

Argomenti:

24 giu 2025

Questo post è il primo di una nuova serie per il Barracuda Blog. Ciascuno dei nostri post sui Malware Brief metterà in evidenza alcune diverse minacce malware di tendenza. Tratteremo i dettagli tecnici e le loro posizioni nella tassonomia dei tipi di minacce, e vedremo come ciascuna di esse può potenzialmente attaccare e danneggiare la vostra organizzazione.

Una risorsa utile per chiunque cerchi di monitorare quali minacce stanno dominando il panorama è il Any Run Malware Trends Tracker. E inizieremo con il malware in cima a quella lista in questo momento, Tycoon 2FA.

Tycoon 2FA

Tipo: kit di phishing (Phishing-as-a-Service)

Sottotipo: Adversary in the Middle (AiTM)

Distribuzione: canali Telegram, a $120 per 10 giorni

Bersagli comuni: Gmail, account Microsoft 365

Operatori Telegram noti: Tycoon Group, SaaadFridi e Mr_XaaD

Tycoon 2FA è una piattaforma Phishing-as-a-Service (PHaaS) individuata per la prima volta ad agosto 2023. È stata mantenuta e aggiornata regolarmente, almeno fino all'inizio del 2025.

Come suggerisce il nome di questa versione, i suoi aggiornamenti più recenti le consentono di eludere le strategie di autenticazione a due fattori. Una dettagliata analisi tecnica di Tycoon 2FA è disponibile in questo post sul blog Threat Spotlight.

Una caratteristica fondamentale di Tycoon 2FA è la sua estrema facilità d'uso. Anche individui senza molte competenze tecniche possono usarlo facilmente per creare ed eseguire attacchi di phishing mirati. Utilizzando URL e codici QR, gli obiettivi vengono indirizzati a pagine web false dove le credenziali vengono raccolte.

Tycoon 2FA può quindi essere utilizzato per distribuire malware, condurre ricognizioni estese e altro. Elude l'MFA agendo come un uomo nel mezzo, catturando e riutilizzando i cookie di sessione. Questi possono continuare a essere riutilizzati anche dopo che le credenziali sono state aggiornate, offrendo all'utente un accesso prolungato alle reti mirate.

Come indicato sopra, l'operatore dietro Tycoon 2FA vende licenze di 10 giorni per $120 tramite Telegram.

Lumma

Tipo: Infostealer

Distribuzione: Malware-as-a-Service

AKA: LummaC, LummaC2

Sistemi target: Windows 7 – 11

L'infostealer Lumma è emerso per la prima volta ad agosto 2022. È facilmente accessibile e offerto in vendita come servizio, con diversi piani disponibili a prezzi differenti.

Una volta che ottiene l'accesso a un sistema — tramite una campagna di phishing riuscita, nascosto in software falso o tramite messaggistica diretta su Discord — Lumma è molto efficace. Trova, raccoglie ed esfiltra un'ampia gamma di dati sensibili. Viene tipicamente utilizzato per prendere di mira portafogli di criptovalute, credenziali di accesso e altri dati sensibili.

Il malware può raccogliere registri dei dati da endpoint compromessi e può anche agire come loader, installando altri tipi di malware.

In particolare, a maggio 2025 Microsoft e Europol hanno annunciato un'operazione per porre fine a Lumma chiudendo la “struttura di comando centrale” del ladro, abbattendo più di 1.300 domini e chiudendo il principale marketplace per la vendita del malware e dei dati rubati. (Un'altra operazione di Europol nello stesso periodo ha smantellato le infrastrutture per molti altri tipi di malware.)

Tuttavia, molti migliaia di sistemi continuano a essere infettati, e Lumma mantiene il 4° posto nella lista globale di Any Run dei malware attivi.

Quasar RAT

Tipo: Trojan di accesso remoto (RAT)

Sistemi target: Windows, tutte le versioni

Autore: Sconosciuto

Distribuzione: Campagne di email spam

Quasar RAT è un tipo di malware che consente ai criminali di prendere il controllo dei sistemi infetti. È ampiamente disponibile come progetto open-source, il che lo rende molto popolare. Il suo autore originale non è noto. Anche se inizialmente potrebbe essere stato concepito come uno strumento di accesso remoto legittimo, ha guadagnato grande popolarità come arma di minaccia informatica.

Quasar è stato rivisto e aggiornato ripetutamente, aumentando la gamma di azioni potenziali che può eseguire o consentire ai suoi utenti di eseguire. Gli utenti possono accedere a un'interfaccia grafica sul componente lato server del malware e personalizzare il malware lato client per soddisfare le loro esigenze.

La funzionalità include la gestione remota dei file sulla macchina infetta, le alterazioni del registro, la registrazione delle azioni di una vittima, l'istituzione di connessioni desktop remote e altro ancora.

Una caratteristica degna di nota è la sua capacità di funzionare "silenziosamente", permettendo di passare inosservato per lunghi periodi di tempo mentre gli attaccanti controllano il PC infetto.

Come altri RAT, Quasar viene distribuito principalmente tramite campagne di spam e-mail che consegnano il malware o il suo loader mascherato da documento.

Attualmente Quasar RAT è elencato al n. 9 nella lista globale di Any Run, con un recente aumento dell'attività segnalato.

Iscriviti al blog di Barracuda

Tony Burgess

Tony Burgess è un veterano di vent'anni dell'industria della sicurezza informatica ed è Senior Copywriter per i contenuti e il marketing clienti di Barracuda. In questo ruolo, ricerca argomenti tecnici complessi e traduce i risultati in prosa chiara, utile e leggibile.

Puoi connetterti con Tony su LinkedIn qui.

Cerca nel blog

The Ransomware Insights Report 2025

Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale

Scarica il report

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice

Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare

GUARDA IL WEBINAR