Microsoft ha pubblicato una nuova ricerca su GigaWiper, una backdoor modulare scritta in Golang per Windows combina un accesso remoto affidabile con diverse modalità per distruggere in modo definitivo sistemi e dati.
GigaWiper è una Windows che Microsoft ha rilevato in una serie di attacchi a partire dall'ottobre 2025. Piuttosto che essere uno strumento di cancellazione dei dati con un unico scopo, si tratta di una piattaforma operativa che integra in un unico malware funzionalità di comando e controllo (C2), distruzione dei dati e accesso remoto.
Ciò che colpisce è che GigaWiper sembra essere stato realizzato utilizzando strumenti precedentemente separati, come il ransomware Crucio e il programma di cancellazione dei dati FlockWiper, integrati in un unico framework.
Considerate le caratteristiche del malware, che includono funzionalità di spionaggio (cattura dello schermo, controllo remoto simile a VNC, inventario del sistema) e diverse modalità per distruggere irreversibilmente i dati, esso corrisponde al profilo di un aggressore che mira a ottenere un accesso a lungo termine, ma si riserva anche la possibilità di cancellare i sistemi qualora lo ritenga opportuno.
GigaWiper implementa circa 20 comandi, che si possono suddividere in tre grandi categorie: distruzione, accesso/monitoraggio remoto e gestione del sistema. Alcuni esempi includono:
- Strumento di cancellazione del disco grezzo che sovrascrive il contenuto del disco grezzo in blocchi di grandi dimensioni prima di forzare un riavvio immediato.
- Falso ransomware (basato su Crucio) che agisce come un wiper e si maschera da ransomware. Anziché richiedere un riscatto, crittografa i file e poi elimina la chiave di crittografia, rendendo impossibile il recupero.
- Strumento di cancellazione sicuraWindows che agisce sull'unità Windows ed esegue sovrascritture a più passaggi utilizzando diversi modelli di byte.
- Cattura e registrazione dello schermo, comprese le schermate singole di ciascun monitor e la registrazione continua mentre l'utente è attivo.
- Controllo remoto tramite un server TCP (Transmission Control Protocol) che trasmette in streaming il desktop e consente l'utilizzo di tastiera e mouse dopo aver creato le proprie eccezioni Windows .
GigaWiper imposta inoltre un'attività pianificata denominata “OneDrive Update” che viene eseguita ogni minuto e all'avvio del sistema per garantire la persistenza.
Sono stati individuati server di comando e controllo presso 185.182.193[.]21 e 212.8.248[.]104.

Le sue utilità di gestione includono gestori di processi, servizi e registro di sistema in grado di creare, elencare o terminare processi, gestire Windows , nonché navigare tra le chiavi di registro e modificarle. Inoltre, raccoglie informazioni di sistema, tra cui dettagli relativi all'hardware, al sistema operativo, alla rete, al firmware, all'utente e all'antivirus.
Come stare al sicuro
Poiché GigaWiper viene installato dopo che gli hacker hanno già compromesso un sistema, la migliore difesa consiste nel prevenire l'intrusione iniziale e nell'individuare le attività dannose prima che possano essere eseguiti comandi distruttivi.
Malwarebytes i componenti di GigaWiper con i nomi di rilevamento Trojan.FlockWiper e Backdoor.GigaWiper.
- Se viene rilevato GigaWiper, scollegare immediatamente il computer interessato dalla rete per impedire agli autori dell'attacco di eseguire comandi dannosi.
- Attiva la protezione antimanomissione (o la funzione equivalente nel tuo software di sicurezza) in modo che gli amministratori locali e il malware non possano disattivare in modo invisibile l'anti-malware o altri strumenti di sicurezza.
- Monitorare le connessioni ai server C2 noti, la creazione dell'attività pianificata “OneDrive Update” e i tentativi non autorizzati di disabilitare Windows .
- Infine, aggiornare le credenziali, in particolare per gli account che potrebbero essere stati compromessi, ed esaminare i log alla ricerca di escalation di privilegi o movimenti laterali, per determinare se anche altri sistemi siano stati colpiti.
Non ci limitiamo a segnalare le minacce, ma le eliminiamo.
I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi scaricando Malwarebytes oggi stesso.




