Gen 16, 2026 Marina Londei Approfondimenti, Attacchi, Gestione dati, Gestione dati, In evidenza, Minacce, News, RSS 0

---

Dall’ultima ricerca di Reflectiz, “The State of Web Exposure 2026“, emerge una questione allarmante: secondo il report, il 64% delle app di terze parti accede a dati sensibili senza una vera necessità tecnica o aziendale. Si tratta di un aumento importante rispetto al 51% registrato nel 2024 che evidenzia come la “Web exposure”, ovvero la superficie di esposizione web stia sfuggendo di mano ai team di sicurezza.

Nel dettaglio, il termine “Web exposure”, così come definito da Gartner, comprende i rischi provenienti da applicazioni di terze parti quali analytics, pixel di marketing, widget social, CDN e strumenti di analisi, tutte componenti che spesso operano nel browser dell’utente finale al di fuori della protezione dei firewall e dei sistemi di monitoraggio lato server.

L’analisi di Reflectiz, la quale ha coinvolte oltre 4.700 siti web leader in 10 settori diversi, evidenzia che nonostante ci sia stata una lieve riduzione della quantità totale di dipendenze esterne, la qualità della sicurezza è peggiorata. La maggior parte delle app esterne sta raccogliendo dati sensibili che non servono al loro funzionamento.

Tra i colpevoli ricorrenti di queste dinamiche il report identifica Facebook Pixel, presente sul 53% dei siti web, Google Tag Manager, coinvolto nell’8% delle violazioni rilevate, e Shopify, responsabile del 5% degli accessi non autorizzati ai dati sensibili.

Secondo l’analisi, il 43% della superficie di rischio è generata dai dipartimenti marketing e digital, un numero enorme soprattutto se comparato con il 18% relativo all’IT. I team di questi due reparti inseriscono script e tracker per scopi di business senza passare per i controlli di sicurezza. I tracker “abbandonati” perché non più utilizzati non vengono eliminati, ma continuano a essere eseguiti e possono diventare pericolosi vettori d’attacco.

Sebbene l’81% dei responsabili di sicurezza veda gli attacchi web come una priorità da gestire, soltanto il 39% di essi afferma di avere strumenti adeguati per mitigare i rischi derivanti da terze parti.

La situazione per settore e gli indicatori di pericolo

Il report evidenzia una polarizzazione netta nella postura di sicurezza tra i diversi comparti industriali. Il settore delle assicurazioni appare il più virtuoso essendo riuscito a ridurre l’attività malevola del 60%; al contrario, quello dell’istruzione è il settore più a rischio: rispetto al 2024, l’attività malevola è quadruplicata e in media 1 sito su 7 è compromesso.

Anche la pubblica amministrazione ha registrato un’impennata di attività malevole, passando dal 2% al 12,9% dal 2024, mentre il settore degli acquisti online è riuscito a ridurre l’accesso ai dati sensibili del 17%. Per quanto riguarda la sanità, la situazione rimane stagnante, senza miglioramenti significativi nei parametri di rischio.

Reflectiz ha inoltre isolato i segnali tecnici che precedono un attacco o una violazione; tra questi c’è l’età dei domini: i siti che interagiscono con domini registrati negli ultimi 6 mesi hanno una probabilità 3,8 volte superiore di essere coinvolti in attività malevole.

Per misurare il livello di rischio bisogna inoltre tenere in considerazione la configurazione dei siti web: i portali leader, classificati come più sicuri, contano meno di 8 applicazioni esterne, meno di 3 tracket e meno di 18 domini collegati. Tra i fattori di rischio principali ci sono inoltre le CDN esterne non monitorare, identificate come vettore primario per gli attacchi alla supply chain.

Proteggere i dati sensibili

Il messaggio è chiaro: ora più che mai è necessario prendere dei provvedimenti per proteggere i dati sensibili e rendere la navigazione sul web più sicura. Le sole policy, sia le normative che i regolamenti interni alle aziende, hanno evidentemente fallito nel controllo del rischio.

I ricercatori di Reflectiz consigliano innanzitutto di implementare flussi di governance automatizzati per bloccare gli accessi ingiustificati, direttamente a livello tecnico, di ridurre il numero di applicazioni che rimangono in esecuzione nelle pagine di pagamento  e di eliminare i tracker non più utilizzati.

È inoltre fondamentale implementare sistemi per rilevare in tempo reale se un pixel (come quello di Facebook) cambia comportamento o inizia a raccogliere dati diversi da quelli dichiarati e integrare le decisioni del marketing nel framework di sicurezza dell’IT.

“Il costo dell’inazione – violazione dei dati dei clienti, sanzioni normative e perdita di fiducia – supera di gran lunga l’investimento necessario per una governance sistematica. Il tuo sito web è la tua vetrina digitale, la tua piattaforma di transazione e il tuo centro di relazione con i clienti. Proteggerlo non è una sfida tecnica, è un imperativo aziendale. La domanda per il 2026 non è se investire nella gestione dell’esposizione web, ma se puoi permetterti di non farlo” conclude il report.

---

---

---

https://www.securityinfo.it/2026/01/16/il-64-delle-app-di-terze-parti-accede-a-dati-sensibili-senza-un-motivo-valido-la-ricerca-di-reflectiz/?utm_source=rss&utm_medium=rss&utm_campaign=il-64-delle-app-di-terze-parti-accede-a-dati-sensibili-senza-un-motivo-valido-la-ricerca-di-reflectiz

Gen 15, 2026 Marina Londei Approfondimenti, Attacchi, Campagne malware, In evidenza, Minacce, News, RSS 0

---

Microsoft ha annunciato di aver smantellato RedVDS, una rete cybercrime-as-a-service che ha alimentato frodi multimilionarie in tutto il mondo. “Questi sforzi fanno parte di un’operazione congiunta più ampia con le forze dell’ordine internazionali, tra cui le autorità tedesche e l’Europol, che ha permesso a Microsoft e ai suoi partner di sequestrare infrastrutture dannose chiave e chiudere il marketplace di RedVDS, un passo importante verso lo smantellamento della rete dietro le frodi basate sull’intelligenza artificiale, come le truffe immobiliari” si legge nell’annuncio di Microsoft.

RedVDS operava come fornitore di server virtuali dedicati (VDS) a basso costo: per 24 dollari al mese (circa 20 euro), i cybercriminali potevano affittare macchine virtuali pre-configurate con software Windows senza licenza. Usando questi server, gli attaccanti potevano eseguire attacchi su scala globale con pochi dollari e rimanere nell’anonimato. Gli utenti che acquistavano il servizio ottenevano privilegi di amministratore completi grazie ai quali potevano installare qualsiasi kit di phishing e tool per l’intrusione.

I cybercriminali usavano l’infrastruttura di RedVDS per vari tipi di attività malevole, compresi l’hosting di infrastrutture scam e l’invio di grandi volumi di email di phishing. “In un solo mese, più di 2.600 macchine RedVDS distinte hanno inviato in media un milione di messaggi di phishing al giorno, solo ai clienti Microsoft” specifica Steven Masada, Assistant General Counsel della Digital Crimes Unit di Microsoft.

I ricercatori della compagnia hanno inoltre individuato un uso significativo dell’intelligenza artificiale, in particolare per tecniche di face swapping, manipolazione di video e clonazione di voci per impersonare dirigenti o partner commerciali e ingannare le vittime.

Una delle modalità di attacco più comuni abilitate da RedVDS era la business email compromise (BEC) nella quale gli attaccanti accedevano ad account email e monitoravano le conversazioni per individuare il momento propizio per colpire, per esempio la richiesta di un pagamento; a quel punto, impersonavano terze parti legittime e deviavano i fondi verso conti controllati da loro.

L’impatto di RedVDS

Dall’inizio del monitoraggio a marzo 2025, le attività facilitate da RedVDS hanno causato circa 40 milioni di dollari di perdite solo negli Stati Uniti. Tuttavia, Microsoft stima che il danno reale sia molto superiore, dato che molte frodi non vengono denunciate.

Per quanto riguarda l’Italia, Microsoft riporta che tra settembre 2025 e gennaio 2026 gli attacchi hanno compromesso circa 2480 account email di clienti nel nostro Paese. Il settore dei beni di consumo è stato il più colpito in termini di numero di account compromessi nello stesso periodo.

Tra le oltre 191.000 organizzazioni compromesse in tutto il mondo, spiccano due casi emblematici che si sono uniti a Microsoft come co-querelanti nell’azione legale: H2-Pharma, un’azienda farmaceutica dell’Alabama che ha perso oltre 7,3 milioni di dollari, e Gatehouse Dock Condominium Association, un’associazione condominiale in Florida truffata per quasi 500.000 dollari.

La collaborazione tra Microsoft e le autorità ha permesso non solo di mettere offline l’intera infrastruttura, ma anche di raccogliere prove cruciali per identificare le figure chiave dietro l’organizzazione.

Il successo dell’operazione non deve far abbassare la guardia, sottolinea Microsoft: nuovi servizi come questo, probabilmente ancora più strutturati, emergeranno in futuro. Per rendere più efficaci le difese, la compagnia consiglia innanzitutto di mettere sempre in discussione l’urgenza delle comunicazioni, contattare i partner commerciali su canali già noti prima di effettuare transazioni e fare attenzione a possibili piccole modifiche negli indirizzi email, spesso l’unico segnale di attacchi in corso. Contro il furto di account, inoltre, l’arma più efficace rimane la MFA.

---

---

---

https://www.securityinfo.it/2026/01/15/microsoft-smantella-redvds-rete-globale-di-cybercrime-as-a-service/?utm_source=rss&utm_medium=rss&utm_campaign=microsoft-smantella-redvds-rete-globale-di-cybercrime-as-a-service

Gen 14, 2026 Marina Londei Attacchi, In evidenza, Minacce, News, Phishing, RSS 0

---

I ricercatori di Check Point Research hanno individuato una nuova forma di frode finanziaria che non si limita a creare pagine di phishing, ma genera una realtà sintetica alimentata dall’IA per ingannare le vittime. Nella truffa OPCOPRO, nota anche come “Truman Show”, gli attaccanti combinano personaggi generati dall’IA, comunità di investimento fittizie, app distribuite negli store ufficiali e una forte presenza mediatica per creare l’illusione di un programma di trading.

“Questo caso segna una svolta. La frode si sta evolvendo da truffe isolate a sistemi scalabili basati sull’intelligenza artificiale che industrializzano la creazione di fiducia e il furto di identità” ha commentato David Gubiani, Regional Director Security Engineering, EMEA Southern e Israele per Check Point Software Technologies.

La truffa “Truman Show” inizia con un primo contatto con la vittima tramite SMS, app di messaggistica o annunci tramite i quali gli attaccanti si fingono istituzioni finanziarie e propongono rendimenti elevati. Se la vittima si dice interessata, la conversazione si sposta su gruppi WhatsApp o Telegram generati dall’IA in cui membri fittizi interagiscono per simulare un ambiente di trading attivo, condividendo commenti sugli investimenti e sul mercato.

Agli utenti viene poi richiesto di installare l’app OPCOPRO da store legittimi. L’applicazione è però solo una shell WebView che non contiene alcuna logica di trading e mostra saldi e operazioni false. Le vittime, ingannate dall’apparente veridicità della comunità, verificano la propria identità tramite KYC e cominciano a depositare fondi. Il risultato è che gli utenti non solo perdono i fondi, ma consegnano anche foto personali e documenti d’identità ai cyberattaccanti. 

L’IA amplifica l’efficacia della frode perché permette di creare conversazioni multilingua velocemente e gestire personaggi fittizi in grado di manipolare emotivamente gli utenti. Il team di Check Point sottolinea che, sebbene la tecnologia lasci ancora delle “tracce” rilevabili, il miglioramento dei modelli di IA potrebbe presto eliminare del tutto questi ostacoli.

L’impatto della truffa può estendersi anche alle aziende: impersonando i dirigenti aziendali, gli attaccanti possono trarre in inganno i dipendenti per eludere i controlli e accedere alla rete dell’organizzazione, aprendo la strada alla violazione di dati.

Per proteggersi da questo nuovo tipo di frodi, gli utenti devono essere innanzitutto consapevoli delle capacità dell’IA nel creare comunità fittizie ben strutturate. È fondamentale inoltre diffidare di proposte di investimento condivise tramite chat, verificare sempre la veridicità delle istituzioni finanziarie che offrono queste opportunità e non caricare documenti di identità o altri dati personali su piattaforme non ufficiali.

Dall’altra parte, le aziende devono applicare controlli più rigorosi alle app finanziarie WebView e tracciare il clustering dei domini legati agli ecosistemi delle app; inoltre, dovrebbero occuparsi di segnalare i funnel che spostano gli utenti dalla chat al deposito, passando per la verifica KYC e creare percorsi di approfondimento e supporto per l’esposizione alle truffe.

---

---

---

https://www.securityinfo.it/2026/01/14/truman-show-la-truffa-finanziaria-che-crea-una-realta-sintetica-per-ingannare-le-vittime/?utm_source=rss&utm_medium=rss&utm_campaign=truman-show-la-truffa-finanziaria-che-crea-una-realta-sintetica-per-ingannare-le-vittime

Gen 13, 2026 Marina Londei Approfondimenti, Gestione dati, Gestione dati, In evidenza, Minacce, Minacce, News, RSS 0

---

Gli utenti aziendali utilizzano ancora password deboli, tanto che il 40% di esse è violabile in meno di un’ora: è quanto emerge dati condivisi da Errevi System, azienda ICT italiana, raccolti tramite PassBuster, una soluzione per la valutazione della robustezza delle credenziali.

L’analisi rivela anche che quasi una password su due ha un livello di violabilità elevato, indipendentemente dalla dimensione dell’azienda o dal ruolo degli utenti nelle gerarchie aziendali: dai C-level alle figure junior, il problema delle credenziali deboli appare sistemico. I settori più vulnerabili sono quello alimentare e quello dell’agricoltura, probabilmente a causa di una minore diffusione della cultura della sicurezza informatica, ma anche da un uso limitato di soluzioni tecnologiche avanzate.

Le password degli utenti spesso si basano su schemi semplici e prevedibili e in molti casi le credenziali vengono riutilizzate su più account; ciò amplifica l’impatto delle compromissioni.

“Quello che osserviamo ogni giorno è che molte aziende non hanno una reale percezione di quanto siano esposte sul fronte delle identità digitali. Le password vengono considerate un dettaglio, finché non diventano il punto di ingresso di un incidente” ha dichiarato Francesco Cristofori, Head of Data Protection & Cyber Security di Errevi System. “Finché la sicurezza delle credenziali resta percepita come un tema secondario, il rischio continuerà a crescere. Rafforzare le password non è soltanto una questione tecnologica o di infrastruttura digitale, ma richiede anche un cambiamento culturale: è fondamentale investire nella formazione e nella sensibilizzazione dei dipendenti, affinché comprendano il valore delle proprie credenziali e il ruolo che giocano nella protezione dell’intera organizzazione“.

Considerando il trend fortemente in crescita del cybercrimine, è necessario prendere provvedimenti per ridurre il rischio di incidenti. Nel caso specifico delle password, si consiglia come sempre di utilizzare credenziali robuste e di utilizzarne di diverse per ogni servizio.

L’uso di credential manager è fortemente consigliato per generare password robuste ed eterogenee, memorizzandole con facilità.

Quando possibile è inoltre sempre opportuno abilitare l’autenticazione multi-fattore.

---

---

---

https://www.securityinfo.it/2026/01/13/allarme-password-aziendali-deboli-piu-del-40-e-violabile-in-meno-di-unora/?utm_source=rss&utm_medium=rss&utm_campaign=allarme-password-aziendali-deboli-piu-del-40-e-violabile-in-meno-di-unora

Gen 12, 2026 Marina Londei In evidenza, Minacce, News, RSS 0

---

La Polizia Nazionale spagnola, in collaborazione con la polizia dello Stato di Baviera e con il supporto dell’Europol, ha arrestato trentaquattro persone, tra cui i leader del gruppo, legate a Black Axe, un’organizzazione cybercriminale responsabile di numerose attività illecite in diversi Paesi d’Europa.

Il gruppo si è fatto conoscere per le sue truffe milionarie effettuato usando la tecnica del “Man-in-the-middle”. La tipologia di attacco più comune rilevata nel gruppo era la Business Email Compromise. Per mascherare le proprie attività ed eludere le indagini delle autorità, la cybergang utilizzava una vasta rete di “muli” e prestanome diffusa in tutta Europa: queste persone si occupavano di ricevere, trasferire e prelevare i fondi sottratti alle vittime.

Oltre alle frodi informatiche, il gruppo è noto anche per il traffico illecito di veicoli. I membri della gang acquistavano auto a nome di società di facciata e prestanome con l’intenzione di non ripagare il debito, per poi rivenderle, noleggiarle o utilizzarle per scopi personali.

L’operazione, iniziata nel settembre 2023, si è conclusa con l’arresto di oltre trenta individui legati a Black Axe in diverse città spagnole: ventotto a Siviglia, tre a Madrid, due a Malaga e uno a Barcellona. “A seguito delle indagini, i leader dell’organizzazione sono stati identificati e arrestati a Siviglia, Malaga e Barcellona. Il Tribunale Istruttorio numero 18 di Siviglia ha autorizzato perquisizioni per abitazioni situate nei quartieri di Torreblanca (Siviglia), Los Molares, Montequinto, La Palmilla (Malaga) e Barcellona, ​​oltre agli arresti effettuati a Madrid” si legge nel comunicato della Polizia Nazionale.

Le perquisizioni hanno portato al sequestro di dispositivi mobile ed elettronici, documentazione di reti aziendali e bancarie, oltre 66.000 euro in contanti e altri 119.000 su conti bancari. 

“Gli agenti hanno dimostrato che l’organizzazione criminale, con oltre 15 anni di attività comprovata, sarebbe coinvolta in una frode per un totale di 5.937.589,70 euro, di cui 3.211.297,89 euro nell’ambito di questa operazione“. La Polizia Nazionale ha chiarito che l’indagine è ancora aperta e che non esclude ulteriori arresti.

---

---

---

https://www.securityinfo.it/2026/01/12/black-axe-arrestati-oltre-trenta-individui-legati-alla-cybergang/?utm_source=rss&utm_medium=rss&utm_campaign=black-axe-arrestati-oltre-trenta-individui-legati-alla-cybergang

Gen 12, 2026 Stefano Silvestri Attacchi, Hacking, In evidenza, Intrusione, Leaks, Malware, Minacce, News, Phishing, Privacy, Tecnologia, Vulnerabilità 0

---

Nel periodo compreso tra il 3 e il 9 gennaio, il CERT-AGID ha rilevato e analizzato 73 campagne malevole attive in Italia.

Di queste, 55 hanno avuto obiettivi specificamente italiani, mentre 18 campagne di natura generica hanno comunque interessato utenti e organizzazioni nel Paese.

Complessivamente, il CERT-AGID ha messo a disposizione degli enti accreditati 634 indicatori di compromissione (IoC).

I temi della settimana

Sono 20 i temi sfruttati per veicolare campagne di phishing e malware, con una netta prevalenza di operazioni legate a multe, banking, rinnovi di servizi e documentazione.

Il tema Multe domina la settimana con 17 campagne di phishing, tutte italiane e tutte veicolate tramite email.

Le comunicazioni, costruite come finte notifiche PagoPA relative a presunte sanzioni stradali non pagate, mirano a indurre le vittime a cliccare su link malevoli e a inserire dati personali e bancari.

Il tema Banking è stato utilizzato in tre campagne di phishing italiane rivolte ai clienti di Nexi, BNL e Inbank. Lo stesso ambito è stato inoltre sfruttato per cinque campagne malware, di cui due italiane, che hanno diffuso Copybara, QuasarRAT, RelayNFC e BTMob.

In questi casi la distribuzione è avvenuta sia tramite email con allegati malevoli sia, per le varianti mobile, tramite SMS contenenti link a file APK.

Il tema Rinnovo è comparso in otto campagne di phishing, quasi tutte italiane e tutte veicolate via email.

A eccezione di una campagna che ha abusato del nome del Ministero della Salute, le altre hanno simulato comunicazioni di servizi online e fornitori di hosting e gestore di domini come Aruba, Hostingsolution, Wix, Ergonet e Serverplan, facendo leva su presunte scadenze imminenti.

Il tema Documenti è stato sfruttato in sei campagne, due delle quali italiane, finalizzate alla diffusione di Purecrypter, PureLogs, Remcos e WarzoneRat tramite email con allegati compressi.

In alcuni casi sono stati inoltre abusati strumenti legittimi di controllo remoto, utilizzati come veicolo per l’esecuzione di codice malevolo sui sistemi compromessi.

Tra gli eventi di particolare interesse, il CERT-AGID segnala innanzitutto l’individuazione di una nuova vulnerabilità critica in n8n, soprannominata Ni8mare.

La falla, sfruttabile da remoto e senza autenticazione, consente la lettura di file locali, l’accesso a chiavi e configurazioni sensibili e può arrivare fino alla generazione di credenziali amministrative e alla possibile esecuzione di comandi. È stato raccomandato l’aggiornamento immediato a n8n 1.121.0 o versioni successive.

Sul fronte del phishing, è stata rilevata una campagna mirata contro studenti e personale dell’Università di Brescia, che indirizza le vittime verso una pagina fraudolenta replica del portale di login dell’Ateneo per sottrarre credenziali istituzionali.

Un’ulteriore campagna ha abusato dei loghi e dei nomi del Sistema Tessera Sanitaria e del Ministero della Salute, segnalando una presunta scadenza imminente della tessera e invitando le vittime a inserire dati personali su una falsa pagina di rinnovo.

Il CERT-AGID ha inoltre individuato un falso portale che sfrutta i loghi del Ministero dell’Interno, progettato per sottrarre informazioni utili a furti d’identità o frodi ai danni di cittadini stranieri.

Con il pretesto di verificare lo stato del permesso di soggiorno, la pagina richiede dati identificativi e dettagli relativi alla pratica, richiamando procedure reali per apparire più credibile.

Torna infine il phishing a tema “Dichiarazione Fiscale Criptovalute”, che abusa del nome e del logo dell’Agenzia delle Entrate. Oltre alla raccolta di dati personali, l’obiettivo principale è l’accesso ai wallet di criptovalute delle vittime.

A questo si aggiunge una nuova campagna di smishing ai danni di utenti INPS, veicolata tramite SMS che invitano ad “aggiornare” i propri dati per non perdere presunti benefici, con link accessibili solo da dispositivi mobili.

Malware della settimana

Nel corso della settimana sono state individuate 16 famiglie di malware attive in Italia.

FormBook è stato rilevato in una campagna italiana a tema “Ordine”, diffusa tramite email con allegato TAR, e in una campagna generica a tema “Contratti” veicolata con allegato ZIP.

PhantomStealer è comparso in una campagna italiana a tema “Ordine”, distribuita con allegato XZ, e in una campagna generica “Contratti” che ha sfruttato archivi RAR.

Copybara è stato utilizzato in due campagne italiane a tema “Banking”, veicolate tramite SMS contenenti link per il download di APK malevoli.

BTMob e RelayNFC sono stati osservati in due campagne generiche sempre a tema “Banking”, mirate all’infezione di dispositivi Android attraverso file APK.

Una campagna italiana ha abusato del software legittimo Remote.It, veicolato tramite un link a un finto captcha (ClickFix), per ottenere il controllo remoto dei dispositivi compromessi.

Action1 è stato rilevato in una campagna generica a tema “Documenti”, diffusa con allegato MSI, mentre AgentTesla è comparso in una campagna italiana a tema “Ordine” veicolata tramite email con allegato 7Z.

Purecrypter è stato individuato in una campagna italiana a tema “Documenti”, diffusa con allegato RAR.

Infine, sono state osservate diverse campagne generiche che hanno diffuso AsyncRAT, Guloader, LummaStealer, PureLogs, QuasarRAT, Remcos e WarzoneRat, sfruttando i temi “Documenti”, “Aggiornamenti”, “Prezzi” e “Banking” e utilizzando email con allegati ZIP, RAR, 7Z e TAR.

Phishing della settimana

Sono 25 i brand coinvolti nelle campagne di phishing osservate.

Per quantità spiccano le operazioni che sfruttano i nomi di PagoPA, PayPal e iCloud, insieme alle consuete campagne di webmail non brandizzate orientate al furto di credenziali.

Formati e canali di diffusione

Gli archivi compressi come sempre si confermano lo strumento principale per la diffusione dei contenuti malevoli.

Nel periodo osservato sono state individuate 9 tipologie di file, con APK al primo posto (4 utilizzi), seguiti da ZIP, RAR e 7Z (3).

Con due utilizzi compare il formato TAR, mentre HTML, XZ, MSI e JS sono stati osservati in un solo caso ciascuno.

Per quanto riguarda i canali di distribuzione, la posta elettronica rimane dominante con 66 campagne, seguita da sette campagne veicolate via SMS.

---

---

---

https://www.securityinfo.it/2026/01/12/cert-agid-3-9-gennaio-phishing-e-malware-aprono-il-2026/?utm_source=rss&utm_medium=rss&utm_campaign=cert-agid-3-9-gennaio-phishing-e-malware-aprono-il-2026

Gen 09, 2026 Marina Londei Attacchi, In evidenza, Minacce, News, Phishing, RSS 0

---

I ricercatori di Group-IB hanno individuato Ghost Tap, una serie di frodi a opera di attaccanti cinesi che sfruttano applicazioni Android malevole per abilitare transazioni tap-to-pay da remoto con le carte di credito delle vittime.

Tramite campagne di smishing e vishing, i cybercriminali portano gli utenti ignari a installare gli APK malevoli. Una volta installata l’applicazione, viene richiesto alle vittime di avvicinare le proprie carte bancarie al sensore NFC dello smartphone; stabilita la connessione, i dati di pagamento vengono inoltrati a un server C2 gestito dagli attaccanti che invia le informazioni a un dispositivo sotto il loro controllo.  Questo meccanismo di relay permette ai criminali di utilizzare terminali POS ottenuti illecitamente per incassare i fondi come se la carta fosse fisicamente presente.

Gli attacchi Ghost Tap fanno uso di due moduli principali: un “reader” installato sul dispositivo della vittima tramite l’APK compromesso e un “tapper”, ovvero il componente del device degli attaccanti che abilita transazioni e prelievi senza carta fisica.

Group-IB ha identificato oltre 54 campioni di APK malevoli, alcuni dei quali camuffati da applicazioni di realtà finanziarie legittime.

L’ecosistema di Ghost Tap

Gli APK vengono distribuiti da diversi vendor nella comunità del cybercrimine cinese; tra i fornitori principali spiccano TX-NFC, X-NFC e NFU Pay. TX-NFC è considerato uno dei vendor più strutturati, con un canale Telegram che contava oltre 21.000 iscritti al momento del rilevamento e uno staff di supporto che opera su turni e offre assistenza anche in lingua inglese. I prezzi per l’accesso a TX-NFC variano da 45 dollari per un solo giorno fino a 1.050 dollari per tre mesi.

NFU Pay offre invece licenze che vanno da 25 dollari giornalieri a 650 dollari per un accesso a vita. Gli amministratori di NFU Pay hanno rivelato a investigatori sotto copertura di poter fornire versioni personalizzate del malware, con varianti specifiche per l’Italia e il Brasile che rimuovono l’obbligo di login lato vittima.

L’attività di monetizzazione è supportata da canali affiliati; tra questi è di particolare rilevanza Oedipus, il quale si occupa della vendita di terminali POS provenienti da diverse aree geografiche, inclusi Medio Oriente, Africa e Asia. Secondo i dati raccolti da Group-IB, solo attraverso il canale Oedipus sono stati registrati circa 355.000 dollari in transazioni illegittime tra novembre 2024 e agosto 2025.

Oltre all’attacco diretto alle vittime, i criminali utilizzano anche reti di “muli” che caricano carte compromesse su portafogli mobili per effettuare acquisti di beni di lusso o carte regalo in negozi fisici in tutto il mondo.

La pericolosità del fenomeno Ghost Tap è confermata da numerosi incidenti e arresti globali: Group-IB cita, tra gli altri, gli arresti a Praga nel marzo 2024 di un individuo che prelevava contanti senza carta fisica e a Singapore nel novembre 2024 di cittadini malesi e cinesi che effettuavano pagamenti contactless sospetti.

I ricercatori della compagnia avvertono che quella dei malware tap-to-pay è una minaccia che si sta diffondendo in maniera preoccupante: da maggio 2024 a dicembre 2025 le segnalazioni sono aumentate costantemente.

Per proteggersi da questi attacchi, le raccomandazioni coinvolgono sia i singoli utenti finali che le istituzioni finanziarie: in primo luogo, gli utenti devono prestare la massima attenzione alle comunicazioni che ricevono ed essere consapevoli delle tecniche di vishing e smishing in uso; inoltre, dovrebbero installare solo applicazioni provenienti da fonti ufficiali e verificare le autorizzazioni richieste. Un altro consiglio fondamentale è quello di disattivare la funzione NFC quando non si devono effettuare pagamenti.

I fornitori di servizi di pagamento e le realtà del mondo finanziario dovrebbero invece investire in sistemi avanzati di monitoraggio delle frodi in grado di analizzare il comportamento degli utenti e di rilevare anomalie tecniche. Le banche dovrebbero inoltre investire in campagne di sensibilizzazione per i propri clienti, informandoli specificamente sulle nuove modalità di attacco tramite NFC e sull’importanza di non avvicinare mai la carta al telefono su indicazione di terzi.

Infine, adottare protocolli autenticazione forte e implementare la verifica dell’integrità del dispositivo tramite attestazioni hardware offrono un ulteriore livello di sicurezza.

---

---

---

https://www.securityinfo.it/2026/01/09/ghost-tap-scoperte-frodi-tap-to-pay-che-sfruttano-lnfc-per-abilitare-pagamenti-da-remoto/?utm_source=rss&utm_medium=rss&utm_campaign=ghost-tap-scoperte-frodi-tap-to-pay-che-sfruttano-lnfc-per-abilitare-pagamenti-da-remoto

Gen 08, 2026 Marina Londei Attacchi, In evidenza, Malware, News, RSS 0

---

I ricercatori di Check Point Research hanno individuato una nuova ondata di attacchi GoBruteforcer, una botnet modulare scritta in Go progettata per colpire server Linux esposti su internet.

Individuata per la prima volta nel 2023, nel corso del tempo la botnet si è evoluta specializzandosi in varianti sempre più sofisticate. Come suggerisce il nome, GoBruteforce sfrutta la tecnica brute-force per forzare l’accesso a servizi critici come FTP, MySQL, PostgreSQL e phpMyAdmin. Una volta preso il controllo, il server infetto viene arruolato nella botnet.

La nuova ondata di attacchi preoccupa i ricercatori per via dell’efficacia dei dizionari di password utilizzati: nell’ultima campagna gli attaccanti non si stanno limitando a usare vecchi elenchi provenienti da leak, ma stanno sfruttando anche la diffusione di configurazioni server generate da IA. 

Sempre più sistemisti si affidano infatti all’intelligenza artificiale per generare script di deployment o file Docker Compose; questi script condividono spesso username standard (come “appuser”, “myuser” o “dbadmin”) e password deboli di default che non vengono cambiate. “I modelli linguistici di grandi dimensioni (LLM) vengono addestrati sulla stessa documentazione pubblica e sugli stessi codici di esempio. Non sorprende quindi che spesso riproducano gli stessi esempi di configurazione con nomi utente predefiniti popolari come appuser e myuser” spiega il team di Check Point Research.

Se da una parte l’intelligenza artificiale abbassa la barriera d’accesso permettendo anche a persone con poca esperienza operativa di creare un database in pochi minuti, usare gli script generati a occhi chiusi comporta un uso più esteso di configurazioni standard e quindi una proliferazione di username e password comuni. Secondo i ricercatori della compagnia, è molto probabile che questa tendenza renda più efficaci gli attacchi GoBruteforcer.

Un altro punto critico evidenziato da Check Point è la persistenza di stack tecnologici datati come XAMPP su server Linux: questi pacchetti “tutto in uno” spesso espongono interfacce di amministrazione e server FTP con configurazioni di sicurezza minime o assenti, rendendoli bersagli ideali per l’automazione della botnet.

La nuova campagna GoBruteforcer

Se in passato la botnet era usata in maniera generica, dall’ultima campagna osservata emerge una chiara motivazione finanziaria. Su uno dei server compromessi i ricercatori hanno trovato un kit di strumenti specializzati in criptovalute: uno scanner di bilancio per la rete TRON, alcune utility di “token-sweeping” per TRON e Binance Smart Chain usate per svuotare automaticamente i wallet non appena rilevano fondi e un database contenente circa 23.000 indirizzi TRON. L’analisi delle transazioni on-chain ha confermato che diversi attacchi hanno avuto successo.

L’accesso iniziale avviene sfruttando vulnerabilità in applicazioni web o credenziali deboli; in seguito, il malware installa un bot IRC offuscato che consente agli attaccanti di inviare comandi e ricevere aggiornamenti sullo stato del server. Gli attaccanti possono controllare i bot nella rete sia tramite web shell che tramite il bot IRC.

Il malware è in grado di sopravvivere al riavvio del serve e per il mascheramento utilizza tecniche di process-masking per nascondersi tra i processi di sistema legittimi. Terminato il setup, il server compromesso inizia a scansionare blocchi di indirizzi IP per tentare l’accesso ad altri server e propagare l’infezione.

“GoBruteforcer è un esempio perfetto di come gli autori delle minacce utilizzino “bersagli facili” come tattiche apparentemente poco sofisticate (attacchi con password deboli, indirizzi IP casuali) per compromettere un gran numero di sistemi connessi a Internet con uno sforzo relativamente minimo” sottolineano i ricercatori.

Il ritorno della botnet è un reminder importante del fatto che la sicurezza non passa solo per le patch dei software, ma anche per l’igiene delle configurazioni. Nel caso si utilizzi l’IA per generare script di configurazione, è fondamentale cambiare immediatamente ogni username e password suggeriti. È importante inoltre disabilitare l’accesso remoto root per i database e utilizzate l’autenticazione a due fattori o chiavi SSH ovunque possibile.

---

---

---

https://www.securityinfo.it/2026/01/08/nuova-ondata-di-attacchi-gobruteforcer-lia-sfruttata-per-il-brute-force/?utm_source=rss&utm_medium=rss&utm_campaign=nuova-ondata-di-attacchi-gobruteforcer-lia-sfruttata-per-il-brute-force

Gen 07, 2026 Marina Londei Attacchi, In evidenza, Malware, News, RSS 0

---

I ricercatori di OX Security hanno individuato due estensioni Chrome in grado di OX Security ha individuato due estensioni Chrome in grado di esfiltrare dati dalle chat di ChatGPT e DeepSeek.

Le due estensioni (Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI e AI Sidebar with Deepseek, ChatGPT, Claude and more) contano complessivamente oltre 900.000 download. La prima aveva anche ottenuto il badge “Featured” da Chrome, dettaglio che ha portato migliaia di utenti a scaricarla senza porsi troppi dubbi.

Gli attaccanti hanno pubblicato le estensioni dietro il nome “AITOPIA”, una compagnia fittizia. L’azienda possiede anche un sito web piuttosto curato, con descrizioni dettagliate dei prodotti che offre agli utenti. Nel dettaglio, le estensioni incriminate aggiungono una sidebar in ogni sito web per consentire all’utente di chattare con l’IA in qualsiasi momento.

Una volta installate, le due estensioni richiedono il permesso di “leggere e modificare tutti i dati sui siti web visitati” per monitorare in tempo reale l’URL della scheda attiva. Se l’URL contiene parole chiave come “chatgpt” o “deepseek”, l’estensione entra in modalità “furto”. A questo punto il codice malevolo si occupa di intercettare il traffico di rete e analizzare il DOM per ottenere tutto ciò che è visibile in pagina, sia i prompt che le risposte fornite dall’IA. Le estensioni Chrome raccolgono i dati dalle chat e li inviano al server C2 ogni 30 minuti, codificandoli in Base64.

L’impatto potenziale è significativo: oltre a dati personali condivisi, nel caso di utenti aziendali potrebbero essere stati sottratti strategie di business, segreti aziendali, codice proprietario e comunicazioni interne alle organizzazioni, esponendo le aziende alla minaccia dello spionaggio industriale. Oltre al contenuto delle chat, le estensioni sono in grado di raccogliere i token di sessione presenti negli URL, ID degli utenti e altri dati di autenticazione.

Gli utenti che hanno installato una o entrambe delle estensioni malevole devono disinstallarle immediatamente. È fondamentale fare attenzione alle estensioni che si installano e verificare il proprietario del plug-in, anche quando è presente il badge “Featured”.

---

---

---

https://www.securityinfo.it/2026/01/07/due-estensioni-chrome-hanno-compromesso-le-chat-di-chatgpt-e-deepseek/?utm_source=rss&utm_medium=rss&utm_campaign=due-estensioni-chrome-hanno-compromesso-le-chat-di-chatgpt-e-deepseek

Il mondo della cybersecurity si appresta a vivere un 2026 di profonda trasformazione: secondo le previsioni di sicurezza di ClearSkies, nei prossimi mesi comincerà il passaggio definitivo gli attacchi autonomi AI-driven, rendendo le minacce sempre più rapide e precise. Anche le aziende italiane devono prepararsi ad affrontare questa nuova sfida e per farlo è necessario […]

L’articolo Nel 2026 sempre più attacchi autonomi AI-driven e deepfake: le previsioni di sicurezza di ClearSkies proviene da Securityinfo.it.

https://www.securityinfo.it/2026/01/05/nel-2026-sempre-piu-attacchi-autonomi-ai-driven-e-deepfake-le-previsioni-di-sicurezza-di-clearskies/?utm_source=rss&utm_medium=rss&utm_campaign=nel-2026-sempre-piu-attacchi-autonomi-ai-driven-e-deepfake-le-previsioni-di-sicurezza-di-clearskies