Chrome sotto attacco: Zero-day sfruttato da TaxOff per diffondere Trinper via phishing mirato

News
Visite: 65

Una grave vulnerabilità di sicurezza in Google Chrome, identificata come CVE-2025-2783, è stata sfruttata come zero-day da un gruppo di cyber criminali noto come TaxOff per distribuire il backdoor Trinper. Questa falla, ora corretta, è stata individuata per la prima volta a metà marzo 2025, quando Positive Technologies ha rilevato un attacco che sfruttava l’exploit tramite una tecnica di sandbox escape. L’attacco partiva da una email di phishing contenente un link dannoso: un semplice clic era sufficiente a innescare l’exploit e installare il malware Trinper sul sistema della vittima.

La campagna Operation ForumTroll

La campagna è stata soprannominata Operation ForumTroll ed era indirizzata principalmente a organizzazioni russe. Il messaggio di phishing si presentava come un invito a un forum legittimo, inducendo così l’utente a visitare un sito web falso che ospitava l’exploit. TaxOff è un gruppo criminale documentato per la prima volta nel novembre 2024, specializzato in attacchi contro enti governativi e aziende del settore legale e finanziario tramite email di phishing mirate.

Funzionalità del malware Trinper

Il malware Trinper, scritto in C++, sfrutta il multithreading per svolgere in parallelo diverse attività malevole senza destare sospetti. Tra le sue funzioni principali troviamo la raccolta di informazioni sul sistema infetto, la registrazione dei tasti digitati, la raccolta di file con estensioni specifiche come doc, xls, ppt, rtf e pdf, e l’apertura di una comunicazione con un server remoto per ricevere comandi e inviare i dati sottratti.

Capacità del server di comando e controllo

Il server di comando e controllo (C2) può impartire istruzioni per leggere o scrivere file, eseguire comandi tramite cmd.exe, lanciare una shell inversa, cambiare directory o persino disattivare il malware stesso. L’utilizzo del multithreading consente alla backdoor di rimanere nascosta e operare in modo efficiente, mantenendo la comunicazione costante con il server e permettendo l’installazione di moduli aggiuntivi.

Indagini e collegamenti con altri gruppi

Le indagini di Positive Technologies hanno portato alla scoperta di un attacco simile risalente a ottobre 2024, anch’esso innescato da un’email di phishing contenente un archivio ZIP e un collegamento che avviava uno script PowerShell. In alcuni casi, il caricatore Donut è stato sostituito dal tool Cobalt Strike, molto usato nei cyber attacchi avanzati.

Un ulteriore elemento di rilievo è la somiglianza tattica tra i metodi di TaxOff e quelli di un altro gruppo chiamato Team46, suggerendo che potrebbero essere collegati. Entrambi fanno ampio uso di exploit zero-day e malware sofisticati per mantenere accesso prolungato e persistenza nei sistemi compromessi, dimostrando una strategia di lungo termine nella cyber criminalità.

Pin It
, , ,

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.