Vai al contenuto
  • Master e post laurea
  • Formazione continua
  • Personale della scuola
  • Corsi di laurea
  • Concorsi
  • Servizi aziendali
  • Blog

  • Su UniD Professional
  • Chi siamo
  • Lavora con noi
  • Assistenza clienti

  • Contattaci
logo prof2019
logo prof2019

Master e corsi di alta formazione

numero servizio clienti
logo prof2019logo arancio mobile
Sotto l'header
  • Master e post laurea
  • Formazione continua
  • Personale della scuola
  • Corsi di laurea
  • Concorsi
  • Servizi aziendali
  • Blog

La nuova campagna malspam AsyncRAT che usa la steganografia

La nuova campagna malspam AsyncRAT che usa la steganografia

AsyncRAT - la campagna malspam che usa la steganografia
  • Alessia Seminara
  • 29 Luglio 2025
  • Criminologia
  • 5 minuti

AsyncRAT, malspam che usa la steganografia

Una nuova minaccia online sta interessando anche il nostro Paese: si tratta del malware AsyncRAT. Questa recente campagna malspam sta mietendo numerose vittime grazie a un meccanismo semplice, ma efficace.
Il malware, infatti, viene diffuso grazie alla steganografia. Il virus, in sostanza, viene nascosto dentro alcuni file che, all’apparenza, potrebbero sembrare innocui. In realtà, però, i file nascondono delle insidie e dei pericoli. Ci sono diversi modi per difendersi dalla minaccia.

In questa guida analizzeremo il malspam AsyncRAT nei dettagli per poterci difendere al meglio dagli attacchi di malware di questo tipo.

Indice
Master in DPO
Specializzati nella protezione dei dati
Scopri di più

La campagna malware AsyncRAT

La campagna malspam AsyncRAT sta minacciando anche l’Italia. Lo ha confermato CERT-AgID, il ramo dell’Agenzia per l’Italia Digitale che si occupa di sicurezza informatica.

L’Agenzia ha segnalato che il nostro Paese è stato recentemente coinvolto in una campagna malware AsyncRAT. La campagna mira a diffondere questo particolare tipo di malware anche nella nostra penisola.

Purtroppo, l’uso della già citata steganografia non permette, a prima vista, di individuare il malware. È proprio questa particolarità a rendere tanto pericoloso il virus: il codice malevolo è bene nascosto e il rischio di diventare vittime è veramente alto.

Come funziona la nuova campagna malspam

Il Cert-AgID ha individuato il meccanismo di diffusione dell’AsyncRAT. Secondo quanto riportato dall’Agenzia, il funzionamento è abbastanza semplice.

La potenziale vittima riceve innanzitutto un’email, di solito in inglese, contenente una potenziale proposta commerciale. Di solito, l’email in questione proviene da una specifica azienda fittizia, la Arabian Construction Co.

Il messaggio contiene una richiesta di preventivo: l’azienda scrive di essere alla ricerca di fornitori in Italia. L’email non contiene allegati, ma un link che indirizzerà la vittima al download di un archivio formato .tar.
Purtroppo, il link indirizza a una piattaforma legittima spesso usata per la gestione dei contenuti in cloud. Questo dettaglio potrebbe indurre le vittime in inganno.

Cos’è la steganografia

La diffusione del malware AsyncRAT si basa, come anticipato, sulla steganografia.

Con questo termine, ben noto in informatica e cybersecurity, si indica la pratica di nascondere, all’interno di un messaggio o un file, determinate informazioni. In questo modo, vengono occultati dati e contenuti digitali di varia natura.
Una volta scaricati, però, vengono poi estratti a destinazione, andando a infettare i dispositivi delle vittime.

Spesso la steganografia viene confusa con la crittografia, ma si tratta di due concetti molto diversi.
La crittografia, infatti, prevede la codifica di dati attraverso una chiave. La steganografia, invece, non prevede alcuna codifica.
Anche se, per lungo tempo, questa pratica è stata utilizzata per inviare comunicazioni private, ad oggi è utilizzata soprattutto dai cybercriminali. Con questa pratica, infatti, si possono diffondere agevolmente ransomware e malware come l’AsyncRAT.

Il Remote Access Trojan occultato in JavaScript

Il Remote Access Trojan dell’AsyncRAT viene occultato mediante un file JavaScript.
È questo JavaScript offuscato che funge da vettore iniziale. Al momento dell’esecuzione, avvia uno script PowerShell che innesca una seconda fase dell’attacco. Viene infatti prelevato un file da un servizio di storage associato a un account email Aruba. In questo secondo passaggio si fa uso della già citata steganografia.

Dall’analisi dello script PowerShell emerge che il file “rlb6iho2_400.gif”, salvato nella variabile $picle, contiene al suo interno dati nascosti codificati in Base64.
Questi dati sono delimitati da marcatori testuali specifici, identificati come sudo_png e sudo_odt. Una volta decifrato il contenuto tra questi tag, è stato possibile individuare una DLL dannosa che lo script si appresta a eseguire, passando anche una serie di parametri.

Tra questi c’è una URL conservata nella variabile $gangbusters, scritta al contrario per eludere i controlli statici, e utilizzata per scaricare il payload conclusivo.
La DLL stessa incorpora una funzione per rilevare ambienti virtualizzati (anti-VM), e dopo il controllo procede con il recupero e l’avvio di AsyncRAT.

Trattandosi di un Remote Access Trojan, il malware consente il controllo remoto del sistema infetto. I cybercriminali avranno in questo modo anche accesso a dati sensibili dell’utente.

Caratteristiche dei malware RAT

Secondo quanto riportato da Cert-AgID, la stessa GIF utilizzata per veicolare AsyncRAT è stata già utilizzata. Ha infatti permesso di veicolare malware come Remcos, Formbook, Avemaria e MassLogger.
Attualmente, è utilizzata per la campagna malspam AsyncRAT, un virus di tipo RAT.

Come abbiamo già visto, si tratta dell’acronimo di Remote Access Trojan, un malware dalle enormi potenzialità. Questa tipologia di virus viene utilizzato dai cybercriminali per diversi scopi.
Quello principale è legato al pieno controllo del dispositivo infetto. Gli hacker, tramite i RAT, hanno accesso a computer, componenti hardware e file del dispositivo. L’accesso non è limitato alla consultazione, in quanto i cybercriminali possono estrarre, ma anche modificare e distruggere, i file del dispositivo infetto.

Oltre a colpire dispositivi come i pc, i RAT possono infettare, in alcuni casi, anche i dispositivi mobili.

Come difendersi da AsyncRAT

In base a quanto detto fino ad ora, è facile capire che la campagna malspam AsyncRAT è pericolosa e può avere gravi conseguenze.

Il Cert-AgID ha rassicurato gli utenti, dato che ha comunicato che, anche grazie alla collaborazione con Aruba, il pericolo è già stato arginato. Tuttavia, non è detto che la minaccia rappresentata da AsyncRAT sia del tutto sparita.
L’Agenzia ha invitato gli utenti alla prudenza, soprattutto quando si ricevono comunicazioni contenenti non solo allegati, ma anche link e collegamenti.

Il consiglio di Cert-AgID, quando si hanno dubbi anche minimi, è quello di inoltrare email e comunicazioni all’indirizzo ufficiale dell’agenzia. Inviare le email sospette all’indirizzo di posta malware@cert-agid.gov si potrà infatti richiedere un controllo.

Ricordiamo che la difesa è la miglior arma di protezione contro AsyncRAT e gli altri malware di tipo RAT. Infatti, una volta insidiatosi nel dispositivo della vittima, questo tipo di malware è difficilmente rilevabile e identificabile. Inoltre, se non identificato tempestivamente, un malware del genere espone le vittime a rischi elevatissimi, quali la diffusione di credenziali e dati privati, il furto di identità digitale e la perdita completa di accesso ai propri fondi.

Scopri altri corsi di Laurea, i nostri Master e corsi di alta formazione
Master in Cyber Criminologia
Scopri il Master online riconosciuto MIUR
Scopri di più
Esperto in Bullismo e Cyberbullismo
Scopri il Master online riconosciuto Miur
Scopri di più
Condividi su
Facebook
LinkedIn
Email
WhatsApp
Scritto da
Picture of Alessia Seminara
Alessia Seminara
Copywriter e web editor. Dopo la formazione universitaria, ho deciso di intraprendere vari percorsi formativi che mi hanno consentito di iniziare a lavorare per il web. Collaboro con diverse testate giornalistiche online e mi occupo di copy e scrittura per vari siti web.
Categorie
Categorie
  • Concorsi (90)
  • Criminologia (179)
  • Diritto informatico (83)
  • Guide (221)
  • News (214)
  • Notizie giuridiche (172)
  • Professioni (234)
  • Scuola e università (193)
  • Uncategorized (1)
Iscriviti alla newsletter

Ricevi i nostri migliori articoli, contenuti gratuiti, offerte riservate e tanto altro!

google news

Ricevi le nostre notizie da Google News

Seguici
Master e corsi di alta formazione
UNID PROFESSIONAL
  • Master e post laurea
  • Formazione continua
  • Formazione docenti
  • Corsi di laurea
  • Concorsi
  • Servizi aziendali
  • Termini e Condizioni
CONTATTI

Via degli Aceri, 14
47890 Gualdicciolo (RSM)
0549.980007
info@unidprofessional.com
Chi siamo | Sedi | Contatti
Lavora con noi | Redazione

CONSIGLIA AD UN AMICO

Iscriviti alla Newsletter

Sicurezza negli acquisti online
Paga da 3 fino a 36 rate con: PayPal, Alma, HeyLight. Paga in unica soluzione con: Carta di Credito, Apple Pay, Google Pay o Bonifico Bancario.

pagamenti accettati
© Copyright 2025 - UNID S.r.l. - Codice Operatore Economico: SM22747 - Via degli Aceri, 14 - 47890 Gualdicciolo (RSM)
logo prof2019logo arancio mobile
Gestisci la tua privacy
Utilizziamo tecnologie come i cookie per memorizzare e/o accedere alle informazioni del dispositivo. Lo facciamo per migliorare l'esperienza di navigazione e per mostrare annunci (non) personalizzati. Il consenso a queste tecnologie ci consentirà di elaborare dati quali il comportamento di navigazione o gli ID univoci su questo sito. Il mancato consenso o la revoca del consenso possono influire negativamente su alcune caratteristiche e funzioni.
Funzionale Sempre attivo
L'archiviazione tecnica o l'accesso sono strettamente necessari al fine legittimo di consentire l'uso di un servizio specifico esplicitamente richiesto dall'abbonato o dall'utente, o al solo scopo di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistiche
The technical storage or access that is used exclusively for statistical purposes. L'archiviazione tecnica o l'accesso utilizzato esclusivamente per scopi statistici anonimi. Senza un mandato di comparizione, un'adesione volontaria da parte del tuo fornitore di servizi Internet o registrazioni aggiuntive da parte di terzi, le informazioni archiviate o recuperate solo per questo scopo di solito non possono essere utilizzate per identificarti.
Marketing
L'archiviazione tecnica o l'accesso sono necessari per creare profili di utenti per inviare pubblicità, o per tracciare l'utente su un sito web o su diversi siti web per scopi di marketing simili.
Gestisci opzioni Gestisci servizi Gestisci {vendor_count} fornitori Per saperne di più su questi scopi
Gestisci opzioni
{title} {title} {title}
Torna in alto

Sei appassionato di Criminologia?

Iscriviti alla newsletter per accedere alla Community e partecipare ai nostri eventi gratuiti con Criminologi professionisti.