Arriva YiBackdoor: cosa c’è da sapere e come difendere la reteIn un nuovo report, Zscaler ThreatLabz ha rivelato i dettagli di una nuova famiglia di malware chiamata YiBackdoor, osservata per la prima volta nel giugno 2025
Senza categoria
1
Post
1
Autori
0
Visualizzazioni
-
Arriva YiBackdoor: cosa c’è da sapere e come difendere la rete
In un nuovo report, Zscaler ThreatLabz ha rivelato i dettagli di una nuova famiglia di malware chiamata YiBackdoor, osservata per la prima volta nel giugno 2025.
Fin dall’inizio, l’analisi ha evidenziato corrispondenze significative del codice sorgente con i downloader IcedID e Latrodectus, ed è proprio questa connessione che Zscaler indica come fondamentale per comprendere la possibile origine e il ruolo del nuovo campione negli attacchi.
Il malware è una libreria DLL modulare con un set base di funzioni di controllo remoto dell’host e un meccanismo di estensione basato su plugin. Di default, le funzionalità sono limitate, ma gli aggressori possono caricare moduli aggiuntivi per espanderne le capacità.
Il programma si copia in una cartella appena creata con un nome casuale, ottiene la persistenza tramite il tasto Esegui di Windows e avvia regsvr32.exe con un percorso dannoso.
Il nome della voce di registro viene generato utilizzando un algoritmo pseudo-casuale. Il modulo primario si autodistrugge, complicando le misure di risposta e l’analisi forense. La logica dannosa viene eseguita tramite una configurazione crittografata incorporata, da cui viene estratto l’indirizzo del server di comando e controllo, e la comunicazione con il C2 avviene tramite risposte HTTP contenenti comandi.
Le funzionalità di YiBackdoor includono la raccolta di metadati di sistema, l’acquisizione di screenshot e l’esecuzione di comandi shell tramite cmd.exe e PowerShell, nonché il caricamento e l’inizializzazione di plugin crittografati in Base64. I comandi chiave identificati nel meccanismo di controllo sono elencati di seguito: Systeminfo, screen, CMD, PWS, plugin e task. La tecnica di iniezione di codice prevede l’iniezione nel processo svchost.exe e le tecniche di anti-analisi integrate sono focalizzate sul rilevamento di macchine virtuali e sandbox, riducendo la probabilità di rilevamento durante l’analisi in un ambiente protetto.
Gli analisti di Zscaler notano diverse somiglianze con IcedID e Latrodectus: un metodo di iniezione simile, formato e lunghezza identici della chiave di decrittazione della configurazione e algoritmi simili per la decrittazione dei blocchi di configurazione e dei plugin. Date queste somiglianze e l’architettura osservata, i dipendenti dell’azienda valutano con un livello di sicurezza da moderato ad alto che YiBackdoor possa essere opera degli stessi sviluppatori responsabili dei precedenti downloader. Tuttavia, le implementazioni attuali sono limitate, il che indica una fase di sviluppo o test e il potenziale ruolo del campione come precursore di successive fasi di sfruttamento, inclusa la preparazione dell’accesso iniziale per il ransomware.
L’organizzazione sottolinea l’importanza di monitorare le richieste HTTP in uscita e le modifiche al registro, nonché di implementare regole di rilevamento incentrate su indicatori comportamentali di iniezioni di svchost.exe e anomalie associate all’avvio di regsvr32.exe da percorsi casuali. Questi indicatori consentono il rilevamento tempestivo dei tentativi di iniezione di YiBackdoor e la prevenzione di ulteriori attività da parte degli aggressori.
L'articolo Arriva YiBackdoor: cosa c’è da sapere e come difendere la rete proviene da il blog della sicurezza informatica.
Gli ultimi otto messaggi ricevuti dalla Federazione
-
throwing pikmin at my inbox and running to the other end of the map and hoping they read and answer all my emails
-
@globalistIT
SI, assolutamente e decisamente SI.
-
Sono giunto -da molto tempo- alla conclusione che c'è moltissima gente che riesce a "ragionare" solo in senso binario: a favore oppure contro, questa tecnologia oppure quella, o di qua o di là. Capisco che serva a ridurre l'ansia e alle menti semplici ma, credetemi, così non andate da nessuna parte.
-
Diario di bordo – Il dominio delle frequenze 📡⚔️
Non sempre le battaglie si combattono con spade o scudi,
La missione 🎯Analisi con Kismet: mappa del caos etereo.Individuato il campo libero: il canale 6, silenzioso come una radura incontaminata.Decisione presa: bloccare lì il 2.4 GHz, stabile e ordinato.Riattivato il 5 GHz, lasciato al band steering, come cavalleria veloce e imprevedibile.
a volte si vincono scegliendo il canale giusto. 😉Obiettivo?
La prova ⚡Router in console, parametri da domare.2.4 GHz fissato sul 6, immune a interferenze di vicini rumorosi.5 GHz liberato, canali automatici, pronto a far correre chi sa volare più alto.Band steering attivato: il router come stratega invisibile che decide le mosse.
Domare il rumore, bilanciare gli eserciti, dare a ogni device la sua strada.Successo? 🎉
Morale 🧙
La rete canta più armoniosa, i pacchetti scorrono come cavalieri in parata.Ogni guerra di segnali è fatta di scelte sagge,
e a volte basta un click per trasformare il caos in armonia.SUCCESS?
Sì.
Conquista: Stabilità +1, Velocità +1. 🏅🙏
-
L'idea di clonare nuovamente il badge del lavoro e di metterlo nell'orologio c'è ormai da mesi, ma non ci ho ancora provato nell'orologio, dovrei ribobinare il tag #NFC
-
@DigiDavidex librewolf
-
Pitt Rivers Museum (@pittriversmuseum.bsky.social)
https://bsky.app/profile/pittriversmuseum.bsky.social/post/3lzql4in5j227
> Maori scholar, Makereti Papakura writing at her desk c.1910. The room is decorated with a mix of Maori & European mementoes whilst the rafters are painted with traditional kowhaiwhai patterns. Makereti will be awarded a posthumous degree in Oxford tomorrow, almost a century after she died in 1930.
-
@bbacc sono d'accordo, io riguardo ad altri periodi di crisi simili ricordo anche persone che a me pareva fingessero molto, credo anche con sé stesse.
