Il Bluetooth è di nuovo al centro di una grave vulnerabilità che permette agli attaccanti di assumere il controllo degli smartphone o tablet connessi e che colpisce cuffie, auricolari True Wireless Stereo (TWS) ed altri dispositivi audio consumer basati su chipset Bluetooth prodotti da Airoha Systems. In realtà, si tratta di una serie di vulnerabilità […]

L’articolo Grave vulnerabilità nei chip Bluetooth Airoha: molti i marchi colpiti proviene da Securityinfo.it.

https://www.securityinfo.it/2026/01/05/grave-vulnerabilita-nei-chip-bluetooth-airoha-molti-i-marchi-colpiti/?utm_source=rss&utm_medium=rss&utm_campaign=grave-vulnerabilita-nei-chip-bluetooth-airoha-molti-i-marchi-colpiti

Dic 22, 2025 Stefano Silvestri Approfondimenti, Attacchi, Campagne malware, Hacking, In evidenza, Leaks, Malware, Mercato e Statistiche, Minacce, News, Prodotto, Scenario, Software, Tecnologia, Vulnerabilità 0

---

Nel 2025 la pressione cyber sul settore finanziario è stata ragguardevole.

Come ha spiegato Noushin Shabab, Lead Security Researcher del team GReAT di Kaspersky, quello che emerge è un ecosistema criminale sempre più strutturato, capace di colpire banche, sistemi di pagamento e infrastrutture finanziarie.

E in grado di colpire con modalità ibride, in cui criminalità informatica e organizzata tradizionale finiscono per sovrapporsi.

I numeri del Kaspersky Security Bulletin confermano questa tendenza. Nel corso del 2025, l’8,15% degli utenti del settore finanziario è stato colpito da minacce online, mentre il 15,81% ha subito minacce ‘locali’, legate a malware introdotto attraverso file, software o accessi già presenti sui sistemi, e non direttamente via Internet.

Guardando invece alle organizzazioni del settore finanziario, il ransomware ha colpito il 12,8% delle realtà B2B, con un aumento del 35,7% degli utenti unici coinvolti rispetto al 2023.

Quando cybercrime e criminalità organizzata lavorano insieme

Uno degli elementi più rilevanti osservati nel 2025 è la convergenza sempre più evidente tra gruppi di cyber criminali e reti di criminalità organizzata.

Shabab ha citato il caso degli attacchi contro il sistema Pix, l’infrastruttura di pagamenti istantanei gestita dalla banca centrale brasiliana e utilizzata quotidianamente da milioni di persone.

Le indagini hanno mostrato come l’operazione non fosse riconducibile a un singolo gruppo tecnico ma a una collaborazione tra attori digitali e gruppi criminali tradizionali.

L’obiettivo era di infiltrare il sistema, mantenere un accesso persistente e sottrarre fondi a più istituti bancari.

Un modello operativo che punta alla monetizzazione diretta e che segna un salto di qualità rispetto alle campagne cyber puramente opportunistiche.

Supply chain software e nuovi canali di distribuzione

Nel corso del 2025 è cresciuta in modo significativo anche la pressione sulla supply chain software.

Secondo i dati presentati da Kaspersky, si è registrato un aumento del 48% dei pacchetti malevoli all’interno di repository e framework ampiamente utilizzati dagli sviluppatori, come le librerie JavaScript distribuite tramite NPM.

L’inserimento di componenti compromessi all’interno di software legittimi consente agli attaccanti di colpire indirettamente utenti e organizzazioni, aggirando i controlli tradizionali.

A questo si è aggiunto l’uso di nuovi canali di distribuzione: piattaforme di messaggistica e strumenti di collaborazione, nati per facilitare il lavoro, vengono sempre più spesso sfruttati per veicolare malware già noto, adattato a contesti diversi e meno monitorati.

Intelligenza artificiale, phishing mirato e infrastrutture resilienti

L’intelligenza artificiale ha avuto nel 2025 un ruolo sempre più rilevante anche nelle attività offensive.

Le previsioni formulate da Kaspersky a fine 2024 si sono rivelate allineate alla realtà: modelli linguistici e sistemi automatizzati vengono utilizzati per analizzare gli ambienti bersaglio, generare campagne di phishing altamente personalizzate e sviluppare malware più adattivo.

Parallelamente, i ricercatori hanno osservato un’evoluzione delle infrastrutture di comando e controllo.

In un caso analizzato nel 2025, i server di una botnet erano implementati tramite smart contract su blockchain, rendendo estremamente complesso il loro smantellamento e aumentando la resilienza dell’intera operazione criminale.

Come ha osservato Fabio Assolini, ricercatore del team GReAT di Kaspersky, i gruppi criminali stanno combinando sempre più spesso strumenti digitali, intelligenza artificiale e infrastrutture decentralizzate per ampliare la portata e la durata delle loro campagne.

Mobile banking, NFC e frodi automatizzate

Il settore finanziario ha visto crescere anche gli attacchi contro il mobile banking e i sistemi di pagamento contactless.

Nel 2025 Kaspersky ha rilevato oltre 1,3 milioni di attacchi basati su trojan bancari, molti dei quali mirati a dispositivi Android.

Particolarmente rilevante è l’uso di malware dotati di funzionalità di Automated Transfer System, in grado di intercettare e modificare in tempo reale le transazioni, alterando importi e destinatari senza che l’utente se ne accorga.

La diffusione dei pagamenti NFC ha ampliato ulteriormente la superficie d’attacco, offrendo ai criminali nuovi vettori per frodi rapide e difficili da rilevare.

Dispositivi già compromessi e minacce “out of the box”

Un ulteriore elemento emerso nel 2025 riguarda la presenza sul mercato di dispositivi già infetti al momento dell’acquisto.

Smartphone Android non ufficiali, smart TV e altri dispositivi connessi possono includere malware preinstallati, come il trojan Triada, capaci di sottrarre credenziali bancarie e informazioni sensibili fin dal primo avvio.

Questa dinamica riduce drasticamente la capacità di difesa dell’utente finale e rappresenta un rischio diretto anche per gli istituti finanziari, che si trovano a gestire transazioni e accessi provenienti da dispositivi compromessi all’origine.

Dal declino di alcune famiglie malware alle previsioni per il 2026

Non tutte le minacce osservate nel settore finanziario sono in crescita. Shabab ha evidenziato come alcune famiglie di malware bancario, attive sin dall’inizio del 2023, stiano mostrando un progressivo declino, anche grazie alla collaborazione tra gruppi di ricerca e forze dell’ordine.

Arresti mirati e operazioni di contrasto hanno portato allo smantellamento di diverse reti criminali, spingendo i membri rimanenti verso nuovi progetti malevoli.

Guardando al 2026, tuttavia, le previsioni indicano un’ulteriore evoluzione del panorama delle minacce.

I trojan bancari potrebbero essere riscritti per sfruttare piattaforme di messaggistica come WhatsApp, mentre l’uso di deepfake e servizi di intelligenza artificiale per il social engineering è destinato a crescere, con un impatto diretto sui sistemi di autenticazione biometrica.

Sul piano geografico, l’attenzione degli attaccanti potrebbe spostarsi verso aree come Asia, Medio Oriente e America Latina, dove la rapida crescita dei servizi finanziari non sempre è accompagnata da un livello di protezione omogeneo.

Sul fronte tecnologico, infine, continuerà la corsa verso attacchi sempre più automatizzati, regionalizzati e difficili da attribuire.

---

---

---

https://www.securityinfo.it/2025/12/22/kaspersky-lancia-lallarme-il-cybercrime-finanziario-ha-alza-il-livello-nel-2025/?utm_source=rss&utm_medium=rss&utm_campaign=kaspersky-lancia-lallarme-il-cybercrime-finanziario-ha-alza-il-livello-nel-2025

Dic 22, 2025 Stefano Silvestri Attacchi, Hacking, In evidenza, Leaks, Malware, Minacce, News, Phishing, Tecnologia, Vulnerabilità 0

---

Nel corso della settimana appena analizzata, il CERT-AGID ha rilevato 82 campagne malevole.

Di queste, 46 hanno avuto obiettivi specificamente italiani, mentre 36 campagne di natura generica hanno comunque interessato utenti e organizzazioni nel Paese.

Agli enti accreditati sono stati messi a disposizione 966 indicatori di compromissione (IoC). 

I temi della settimana

Sono 23 i temi sfruttati per veicolare campagne di phishing e malware, con una concentrazione significativa su banking, multe, pagamenti e verifiche.

Il tema Banking è stato utilizzato in sei campagne di phishing, cinque delle quali italiane, che hanno preso di mira clienti di Wise, Nexi, Crédit Agricole, Intesa Sanpaolo e ING.

Lo stesso è stato sfruttato anche per cinque campagne malware, orientate alla diffusione di Copybara, AgentTesla, FormBook, NexusRoute e Frogblight, con una particolare attenzione ai dispositivi mobili.

Il tema Multe continua a rappresentare uno dei vettori più efficaci per il phishing, con undici campagne tutte italiane basate su finte comunicazioni PagoPA.

Le email simulano notifiche di sanzioni stradali non pagate e spingono gli utenti a fornire dati personali e bancari attraverso link malevoli.

Il tema Pagamenti è stato impiegato in quattro campagne di phishing, di cui una generica, che hanno abusato dei nomi di Disney+, Autostrade per l’Italia, cPanel e DHL.

In parallelo sono state osservate quattro campagne malware che hanno diffuso AgentTesla, FormBook, PureLogs e PhantomStealer, confermando la centralità di questo tema per la distribuzione di payload malevoli.

Il tema Verifica è comparso in sette campagne di phishing, quattro delle quali italiane, che hanno abusato, tra gli altri, dei nomi di INPS e Ar24, facendo leva su richieste di controllo o aggiornamento dei dati per sottrarre credenziali.

Tra gli eventi di particolare interesse, il CERT-AGID segnala la pubblicazione di un nuovo paper di ricerca dedicato ai meccanismi interni dei Large Language Model (LLM).

Il documento analizza come nascano rifiuti, bias, allucinazioni e segnali di sicurezza all’interno dei modelli e mostra come, intervenendo sulle attivazioni tramite tecniche di activation engineering o steering, sia possibile alterare tali segnali fino ad aggirare le barriere di sicurezza.

Sul fronte operativo, è stato invece rilevato un nuovo caso di smishing ai danni di utenti INPS, in cui gli attaccanti mirano a raccogliere un ampio set di dati personali.

Oltre alle generalità, a un selfie e all’IBAN, alle vittime viene richiesto il caricamento di immagini di carta di identità, tessera sanitaria, patente e delle ultime tre buste paga.

Malware della settimana

Nel periodo analizzato sono state individuate 14 famiglie di malware attive in Italia.

AgentTesla si conferma tra i più diffusi, con otto campagne italiane a tema “Pagamenti”, “Fattura” e “Banking” che sfruttano allegati ZIP, TAR e UUE, oltre a quattro campagne generiche a tema “Ordine”, “Documenti” e “Preventivo” che utilizzano come vettore iniziale file XLSX e 7Z.

FormBook è stato osservato in due campagne italiane a tema “Ordine” e “Banking”, diffuse tramite file 7Z e Z, e in quattro campagne generiche legate a “Aggiornamenti”, “Ordine”, “Documenti” e “Pagamenti”, veicolate con allegati DOCX e RAR.

Sono state inoltre rilevate due campagne generiche di AsyncRAT veicolate tramire file ZIP a tema “Booking” e “Documenti”, insieme a due campagne di Remcos legate ai temi “Prezzi” e “Aggiornamenti” che hanno sfruttato i file ZIP e 7Z.

Una campagna italiana di MintLoader ha sfruttato caselle PEC compromesse per distribuire file ZIP, mentre Amadey è comparso in una campagna generica a tema “Contratti” veicolata tramite file MSI.

Particolarmente rilevante anche l’attività malware su dispositivi Android, con campagne sia italiane che generiche che hanno diffuso Copybara, Frogblight e NexusRoute tramite SMS contenenti link a file APK dannosi, tutte riconducibili al tema Banking.

Completano il quadro una campagna generica di Grandoreiro a tema “Legale” che allega ISO, una campagna di PhantomStealer a tema “Pagamenti” veicolata con file RAR, una campagna di PureLogs distribuita tramite allegati GZ e una campagna di StrRat a tema “Prezzi”.

Infine, il CERT-AGID segnala l’esposizione di un repository accessibile tramite un sottodominio trycloudflare.com, che mostrava una open directory contenente file riconducibili alle famiglie malware XWorm, AsyncRAT e PureHVNC.

Phishing della settimana

Sono 30 i brand coinvolti nelle campagne di phishing rilevate nel periodo.

Per numerosità spiccano le operazioni che sfruttano il nome di PagoPA e iCloud, insieme alle sempre frequenti campagne di webmail non brandizzate, orientate al furto di dati personali e credenziali di accesso.

Formati e canali di diffusione

Gli archivi compressi restano lo strumento principale per la diffusione dei contenuti malevoli.

Nel periodo osservato sono state individuate 17 tipologie di file, con ZIP al primo posto (8 utilizzi), seguito da 7Z (4) e da APK e RAR (3).

Con due utilizzi figurano TAR e DOCX, mentre con un solo impiego compaiono GZ, MSI, ISO, JS, BAT, TXT, XLSX, HTML, EXE, UUE e Z.

Per quanto riguarda i canali di distribuzione, la posta elettronica rimane dominante con 75 campagne, seguita da sei campagne via SMS e una tramite PEC.

---

---

---

https://www.securityinfo.it/2025/12/22/cert-agid-13-19-dicembre-phishing-pagopa-e-smishing-inps/?utm_source=rss&utm_medium=rss&utm_campaign=cert-agid-13-19-dicembre-phishing-pagopa-e-smishing-inps

Dic 19, 2025 Marina Londei Attacchi, In evidenza, Minacce, News, RSS, Vulnerabilità 0

---

Una vecchia vulnerabilità di ASUS Live Update è ancora tutt’altro che “morta”: pochi giorni fa la CISA ha aggiunto il bug al catalogo delle vulnerabilità sfruttate attivamente, rivelando che il rischio è tutt’altro che risolto.

Come riporta MalwareBytes, il caso è scoppiato nel 2019 con l’operazione ShadowHammer a opera del gruppo APT41. I cybercriminali riuscirono a iniettare codice malevolo nell’utility ASUS Live Update sfruttando questa falla e compromettendo i server di aggiornamento.

Il file malevolo era firmato con certificati digitali autentici ASUS, il che lo rendeva invisibile alla maggior parte degli antivirus. L’aggiornamento malevolo è stato inviato sui server ufficiali di ASUS, rendendo l’infezione indistinguibile da un normale aggiornamento di sistema.

Quello che sembrava un incubo ormai concluso è invece tornato prepotentemente alla carica con l’aggiornamento del catalogo CISA. La vulnerabilità, ora tracciata come CVE-2025-59374, viene ancora sfruttata attivamente dagli attaccanti dopo sette anni dalla sua individuazione.

Il problema principale sta nella longevità dell’hardware: molti laptop e PC ASUS vecchi sono ancora in funzione in ambienti domestici o uffici meno aggiornati. Poiché l’utility ASUS Live Update è stata ufficialmente dichiarata End-of-Support il 4 dicembre 2025, non riceverà più patch di sicurezza, lasciando chiunque utilizzi versioni precedenti alla 3.6.8 (o l’ultima 3.6.15) esposto a potenziali attacchi.

L’inclusione nel catalogo della CISA implica che le agenzie governative americane (e per riflesso molte aziende europee che seguono gli stessi standard) sono obbligate a rimuovere o aggiornare il software entro tempi molto brevi. La minaccia non è più limitata a ShadowHammer e APT41, ma è altamente probabile che altri gruppi continuino a sfruttare la stessa falla per distribuire ransomware o sottrarre dati sensibili.

Per proteggersi occorre innanzitutto verificare la versione di ASUS Live Update installata, controllando che sia almeno alla 3.6.8. Considerando che si tratta di un software a fine vita, il consiglio migliore è, se possibile, di disinstallare l’utility e passare a MyASUS, il tool più moderno e supportato dall’azienda per la gestione dei driver.

---

---

---

https://www.securityinfo.it/2025/12/19/una-vulnerabilita-di-asus-live-update-di-sette-anni-fa-viene-ancora-sfruttata/?utm_source=rss&utm_medium=rss&utm_campaign=una-vulnerabilita-di-asus-live-update-di-sette-anni-fa-viene-ancora-sfruttata

Dic 18, 2025 Marina Londei Approfondimenti, Campagne malware, In evidenza, Minacce, RSS 0

---

Se c’è una cosa su cui tutti concordano è che l’intelligenza artificiale sta ormai diventando onnipresente nelle cyberminacce grazie alla sua capacità di sviluppare velocemente nuovi malware e automatizzare le campagne. Anche Dmitry Volkov, CEO di Group-IB, condivide questa visione, invitando le aziende a ripensare a fondo le strategie di sicurezza.

Tra le previsioni più preoccupanti per il 2026 condivise dal CEO di Group-IB c’è la rapida diffusione di una nuova categoria di malware auto-propagante grazie all’integrazione con l’IA.

I malware tradizionali di questo tipo esistono da tempo: WannaCry, NoyPetya e Mirai sono tra i nomi più conosciuti e temuti, considerando l’ingente danno economico che hanno provocato in pochi giorni. Con la diffusione dell’ntelligenza artificiale, si prevede un peggioramento significativo: integrando questa tecnologia “questi ceppi di malware si diffonderanno più velocemente, diventeranno adattivi verso obiettivi specifici, ne sfrutteranno le debolezze mirate e sfuggiranno meglio al rilevamento” spiega Volkov.

Gli agenti di IA saranno inoltre in grado di gestire l’intera kill chain, a partire dall’individuazione delle vulnerabilità fino a orchestrare l’attacco su scala. Secondo Volkov, ci sarà una vera e propria “epidemia di worm” basata sull’intelligenza artificiale.

Anche il mondo dei ransomware subirà un’evoluzione importante: Volkov prevede che a partire dal 2026 i gruppi ransomware cominceranno ad adottare agenti IA per accelerare gli attacchi una volta ottenuto l’accesso ai sistemi. Questi agenti diventeranno parte delle offerte RaaS e anche gli affiliati con minori competenze tecniche accederanno ad elevati livelli di automazione.

L’intelligenza artificiale sarà utilizzata anche negli attacchi Adversary-in-the-Middle (AiTM), in particolare per automatizzare il dirottamento delle sessioni e raccogliere credenziali su larga scala. “Ciò renderà inefficaci i nostri sistemi di verifica, poiché le operazioni AiTM gestite dall’IA saranno più adattive delle difese attuali” avverte Volkov.

Con l’adozione da parte delle banche di crypto e stablecoin per transazioni più veloci e trasparenti, aumenteranno anche i rischi legati a nuovi schemi di frode. I truffatori investiranno maggiormente in automazione, layering e offuscamento; Volkov prevede che i sistemi DeFi, kit di exploit per smart contract e l’uso di bot IA per il riciclaggio diventeranno fenomeni comuni.

Nel 2026 gli attacchi gestiti dall’IA prenderanno sempre più di mira anche le API, in particolare nelle infrastrutture cloud. “Poiché il cloud è controllato dal codice (permessi, storage, impostazioni di rete sono definiti tramite API), esso è “leggibile dalle macchine”, il che significa che l’IA può comprendere e modificare le configurazioni cloud tramite le API stesse” specifica Volkov. Gli attaccanti sfrutteranno la logica di automazione per causare interruzioni di servizio e manomettere le configurazioni.

Infine, non mancheranno i rischi legati all’uso dell’IA per lo sviluppo del codice: poiché molti team si affidano totalmente a questi sistemi e trascurano le revisioni, aumenterà il rischio di attacchi alla supply chain; nel dettaglio, gli attaccanti punteranno a inserire backdoor in software legittimi su larga scala manipolando i tool di IA più diffusi.

Non solo intelligenza artificiale

L’intelligenza artificiale, seppur prominente, non sarà l’unica cosa da cui guardarsi nel mondo della cyberminacce. Volkov prevede che i cyberattaccanti continueranno a fare affidamento a tecniche di manipolazione psicologica per spingere le vittime a cedere alla truffa. In alcuni casi, le frodi non si limitano a chiedere i dati della carta o i codici OTP alla vittima, ma la spingono a contrarre prestiti o a vendere proprietà.

Volkov anticipa inoltre un trend piuttosto pericoloso riguardante le misure di localizzazione dei dati adottate da diverse regioni, ovvero la conservazione delle informazioni entro i propri confini. “Questo rallenterà inavvertitamente la collaborazione globale e la condivisione di informazioni sulle minacce” avverte il CEO di Group-IB. “Gli attaccanti operano a livello globale, ma i difensori limitano la loro visibilità a livello regionale“.

Le tendenze della cybersecurity secondo Group-IB

Se le cyberminacce evolvono, dall’altra parte gli esperti di sicurezza non rimangono a guardare. Volkov afferma che anche i SOC stanno investendo nell’IA per rispondere agli attacchi, superando i limiti dei centri di controllo tradizionali. “Il futuro è dei Cyber Fraud Fusion Centers: team ibridi che condividono intelligence in tempo reale tra i domini cyber e frode, utilizzando modelli automatizzati centralizzati per correlare i dati e agire istantaneamente” afferma Volkov.

Il CEO di Group-IB insiste anche sulla necessità di passare all’Explainable IA (XAI) per garantire alle organizzazioni trasparenza sui dati di addestramento, sulle logiche decisionali e sui processi di validazione dei risultati.

Infine, Volkov anticipa un confine sempre più sfumato tra “cybersecurity” e “antifrode”: poiché il fine ultimo delle tecniche di attacco è la monetizzazione tramite frode, sarà necessario considerare i due concetti come un unico campo d’azione per avere visibilità completa sull’intera catena di attacco.

---

---

---

https://www.securityinfo.it/2025/12/18/il-cybercrime-si-evolve-velocemente-e-lia-diventa-protagonista-le-previsioni-di-group-ib-per-il-2026/?utm_source=rss&utm_medium=rss&utm_campaign=il-cybercrime-si-evolve-velocemente-e-lia-diventa-protagonista-le-previsioni-di-group-ib-per-il-2026

Dic 17, 2025 Stefano Silvestri Attacchi, Hacking, In evidenza, Intrusione, Leaks, Malware, Minacce, News, Phishing, Tecnologia 0

---

Mezzo milione di nuovi file malevoli al giorno. È questo il “numero dell’anno” indicato da Cesare D’Angelo, General Manager Italia, Francia e Mediterraneo di Kaspersky, per raccontare il 2025 della cybersicurezza.

Un dato che fotografa meglio di qualsiasi slogan la trasformazione del malware in un fenomeno industriale, continuo e automatizzato.

Non si tratta di un picco isolato: il numero medio giornaliero di file dannosi individuati da Kaspersky è cresciuto infatti in modo costante negli ultimi cinque anni, passando da circa 380 mila nel 2021 ai 500 mila del 2025.

Una progressione lineare che racconta un ecosistema criminale ormai strutturato, capace di produrre minacce su scala industriale e di adattarsi rapidamente alle contromisure difensive.

A rendere possibile questa crescita non è solo l’aumento del numero di gruppi criminali, ma anche un uso sempre più esteso di strumenti automatizzati.

Tecniche di analisi, generazione e adattamento del codice, sempre più spesso assistite dall’intelligenza artificiale, consentono oggi di abbassare drasticamente costi e tempi di produzione del malware.

Il risultato è un cybercrime meno artigianale e sempre più vicino a un modello industriale.

Italia nel mirino: le PMI come obiettivo prioritario

In questo scenario mondiale già complesso, l’Italia emerge come uno dei Paesi più esposti.

I dati mostrano infatti che il 25% degli attacchi alle PMI rilevati in Europa ha colpito aziende italiane, spesso sotto forma di PUA, le cosiddette Potentially Unwanted Applications, ossia applicazioni apparentemente legittime che imitano brand conosciuti e vengono sfruttate come vettori di compromissione.

“Le PMI non sono solo nel radar dei cyber criminali, sono tra i loro obiettivi principali”, ha spiegato Cesare D’Angelo.

Una vulnerabilità che s’intreccia con la struttura stessa del tessuto produttivo italiano, fatto di imprese medio-piccole con risorse limitate e una superficie digitale in costante espansione.

Credenziali rubate e accessi silenziosi

Il dato forse più indicativo riguarda la tipologia delle minacce. Nel 2025 si è registrata una forte crescita di password stealer, spyware e backdoor, con un aumento particolarmente marcato in Italia rispetto alla media globale.

È il segnale di un cambio di paradigma: l’obiettivo non è più solo infettare, ma entrare senza farsi notare. “In diversi casi che abbiamo analizzato”, ha osservato D’Angelo, “ci siamo accorti che l’attaccante era rimasto all’interno dei sistemi per mesi, se non per anni, prima di essere individuato”.

Il furto di credenziali consente infatti di accedere con permessi legittimi, trasformando l’intrusione in una presenza silenziosa e persistente, difficile da individuare con strumenti di difesa tradizionali.

Strategie deboli e overload operativo

A rendere il quadro ancora più critico è la fotografia interna delle PMI. Solo il 25% dichiara di avere una strategia di cybersecurity solida, mentre il 68% ammette di affidarsi a piani formali che non si traducono in misure operative concrete.

Il problema non è solo tecnologico, ma organizzativo: il 33% delle aziende segnala di ricevere troppi alert, mentre il 30% considera il monitoraggio delle minacce un’attività che richiederebbe una risorsa dedicata a tempo pieno.

In un contesto in cui la sicurezza ricade spesso su team IT non specializzati, impegnati anche nella gestione quotidiana dei sistemi e del supporto agli utenti, il rischio è che gli avvisi vengano ignorati o sottovalutati.

A questo si aggiunge la carenza di competenze: il 17% delle PMI dichiara di non disporre di personale qualificato e, secondo il 25% degli intervistati, i vertici aziendali non riconoscono ancora pienamente la rilevanza strategica della cybersecurity.

Superficie d’attacco in crescita, difesa che fatica a tenere il passo

Nel complesso, i numeri raccontano una dinamica chiara: il volume, la complessità e l’automazione degli attacchi crescono più rapidamente della capacità di difesa delle aziende.

Windows resta il bersaglio principale, con il 48% degli utenti colpiti da diverse tipologie di minacce nel 2025, contro il 29% su macOS, a conferma che la diffusione resta un fattore determinante nelle scelte degli attaccanti.

Ma il punto centrale è un altro: la superficie d’attacco si espande più velocemente delle contromisure. “È per questo”, ha dichiarato D’Angelo, “che non basta più una difesa reattiva. Serve una visione di medio-lungo termine, capace di adattarsi all’evoluzione delle minacce e di guidare gli investimenti in modo coerente”.

Senza questo cambio di prospettiva, la scoperta dell’attacco rischia di arrivare quando è ormai troppo tardi.

Uno sguardo al 2026: attacchi più mirati e nuove superfici di rischio

Se il 2025 ha confermato la maturità industriale del cybercrime, le analisi di Kaspersky indicano che il 2026 potrebbe spingere questa evoluzione ancora oltre.

In particolare, è atteso un aumento di attacchi in grado di colpire in modo diretto supply chain e logistica globale, con un’attenzione crescente ai settori dell’energia e delle tecnologie avanzate.

Allo stesso tempo, gli attaccanti potrebbero rivolgersi sempre più spesso a obiettivi finora considerati “non classici”, come sistemi di trasporto intelligenti, smart building e infrastrutture satellitari, spesso meno protetti e regolamentati.

Sul piano geografico, l’attenzione potrebbe spostarsi progressivamente verso Asia, Medio Oriente e America Latina, aree in cui stanno crescendo investimenti industriali e digitalizzazione.

A fare da moltiplicatore, ancora una volta, sarà l’uso di tecniche sempre più automatizzate e assistite dall’intelligenza artificiale, capaci di rendere questi attacchi più adattivi, persistenti e difficili da intercettare.

---

---

---

https://www.securityinfo.it/2025/12/17/kaspersky-le-pmi-italiane-sono-un-bersaglio-strutturale-per-il-cybercrime/?utm_source=rss&utm_medium=rss&utm_campaign=kaspersky-le-pmi-italiane-sono-un-bersaglio-strutturale-per-il-cybercrime

Dic 17, 2025 Marina Londei Approfondimenti, Attacchi, Campagne malware, In evidenza, RSS, Scenario 0

---

Il secondo semestre del 2025 ha segnato un punto di svolta fondamentale nella sicurezza informatica: l’ultimo report di ESET relativo alle minacce della seconda metà dell’anno ha evidenziato che le previsioni sull’uso dell’intelligenza artificiale per scopi malevoli sono passate da ipotesi a realtà. Al contempo, minacce consolidate come i ransomware e gli infostealer hanno sviluppato una resilienza e una capacità di adattamento sorprendenti, ridefinendo i confini del rischio digitale.

“Il malware co-generato dall’IA è qui” avvertono i ricercatori di ESET: nel report il team porta l’esempio di PromptLock, il primo ransomware noto capace di utilizzare LLM per generare script dannosi “al volo”. “Ciò che distingue PromptLock rispetto alle precedenti scoperte sulle minacce dell’IA è l’uso di un modello OpenAI, tramite l’API Ollama per generare script dannosi dinamicamente e poi eseguirli“. 

Il sistema genera infatti script Lua dinamici per scansionare il file system, esfiltrare dati o crittografarli in base alle istruzioni ricevute dall’IA. Poiché ogni output dell’IA è unico e non deterministico, la rilevazione basata su firme diventa estremamente complessa. 

Oltre a PromptLock, nel report ESET ha sottolineato la presenza di altri malware basati su IA; tra i più significativi ci sono PromptFlux, il quale riscrive il proprio codice per mantenere la persistenza, e QuietVault che usa l’IA per cercare secret nei sistemi compromessi.

Ma quanto impatta effettivamente l’intelligenza artificiale sulla generazione di malware? Se è vero che ancora questa tecnologia viene usata principalmente per migliorare attacchi di phishing, scam e social engineering, i malware basati su IA individuati da ESET nel suo report indicano che le nuove minacce “autogenerative” sono pronte a diffondersi sempre più velocemente. 

La crescita delle minacce NFC

Nel report si approfondiscono anche le minacce NFC: ESET riporta che questi attacchi hanno registrato un incremento dell’87% nel secondo semestre del 2025, evolvendosi verso una complessità tecnica senza precedenti. Il malware NGate, pioniere in questo campo, è stato aggiornato con funzionalità di furto dei contatti, probabilmente in preparazione a futuri attacchi relay e social engineering. 

NGate si è diffuso in particolare in Brasile, dove è stata individuata la variante PhantomCard. Questo malware viene distribuito attraverso siti web che imitano il Google Play Store, offrendo app fraudolente di autenticazione per le principali banche locali.

Tra i nuovi arrivati c’è RatOn, un ibrido che unisce capacità RAT ad attacchi relay NFC e sistemi di trasferimento automatico (ATS). RatOn è in grado di disabilitare la verifica biometrica sugli smartphone, permettendo ai cybercriminali di catturare i codici PIN e svuotare i conti correnti o i wallet di criptovalute delle vittime.

Il mercato degli infostealer non si ferma: i dati del report ESET

Nonostante le massicce operazioni internazionali di smantellamento condotte dalle forze dell’ordine a maggio 2025, il mercato degli infostealer ha dimostrato una notevole capacità di ripresa.

In particolare Lumma Stealer, pur avendo subito un duro colpo con la disattivazione dei suoi server C&C, è riuscito a riorganizzarsi due volte in soli sei mesi. I dati di telemetria raccolti da ESET indicano però che il suo periodo di massimo splendore potrebbe stare per finire: le rilevazioni sono crollate dell’86% nel secondo semestre rispetto ai primi sei mesi dell’anno.

Il “vuoto di potere” ha però permesso l’ascesa di infostealer concorrenti, tra i quali spicca Vidar. Secondo l’analisi della compagnia, il gruppo dietro il malware ha rilasciato un importante aggiornamento proprio per attirare nuovi affiliati in cerca di piattaforme più stabili. Parallelamente si è assistito all’esplosione di CloudEyE (noto anche come GuLoader), un downloader e cryptor la cui attività è aumentata di quasi trenta volte nel secondo semestre dell’anno. Distribuito principalmente tramite script PowerShell in campagne email che simulano fatture o ordini, CloudEyE si presenta come un apripista per ransomware o altri infostealer del calibro di Agent Tesla.

Truffe “Nomani” e deepfake

Un altro fenomeno di notevole interesse è quello delle truffe “HTML/Nomani”, scam di investimento che sfruttano profili falsi sui social media per ingannare le vittime a condividere dati personali e inviare denaro.

Già ampiamente diffuse nel 2024, queste truffe hanno raggiunto nuove vette di sofisticazione grazie a un massiccio impiego di deepfake ad alta risoluzione. Questi video utilizzano volti di personaggi famosi o politici per promuovere piattaforme di trading inesistenti; con gli ultimi miglioramenti tecnologici, i deepfake si presentano con movimenti più naturali e un audio perfettamente sincronizzato, rendendo quasi impossibile per l’utente medio distinguere il vero dal falso.

I cyberattaccanti, inoltre, hanno affinato le loro tattiche per aggirare i controlli delle piattaforme social, utilizzando campagne pubblicitarie lampo che durano solo poche ore e tecniche di cloaking per mostrare contenuti innocui ai revisori. In alcuni casi l’IA viene utilizzata per generare automaticamente il codice delle landing page. Nonostante un lieve calo delle rilevazioni verso la fine dell’anno, le truffe Nomani sono cresciute del 62% su base annua, confermando l’ingegneria sociale come uno dei campi di battaglia principali della difesa informatica moderna.

Report ESET: le vittime dei ransomware superano le cifre del 2024

Nel report di ESET c’è spazio anche per i ransomware: le campagne associate ai principali gruppi ransomware hanno incrementato il proprio numero di vittime, registrando una crescita annua del 40%.

Akira e Qilin dominano il mercato RaaS, mentre Warlock, un nuovo ransomware, sta utilizzando introduce tecniche di evasione che mettono sotto pressione i sistemi di difesa comportamentale. ESET ha inoltre individuato HybridPetya, un inedito derivato di Petya/NotPetya in grado di colpire sistemi UEFI-based moderni

Il report di ESET delinea un futuro in cui sia l’integrazione dell’IA nel cybercrime che l’evoluzione delle minacce “classiche” richiedono una difesa proattiva attraverso una sorveglianza tecnologica e umana costante.

---

---

---

https://www.securityinfo.it/2025/12/17/il-cybercrime-si-evolve-e-si-adatta-integrando-lia-nel-proprio-arsenale-il-report-di-eset/?utm_source=rss&utm_medium=rss&utm_campaign=il-cybercrime-si-evolve-e-si-adatta-integrando-lia-nel-proprio-arsenale-il-report-di-eset

Dic 15, 2025 Marina Londei Approfondimenti, In evidenza, Minacce, RSS, Scenario 0

---

Il 2025 sta giungendo al termine e nel mondo della cybersicurezza è tempo non solo di tirare le somme, ma anche di guardare al 2026 per prepararsi a una nuova evoluzione delle minacce. Elia Zaitsev, CTO di CrowdStrike, ha condiviso alcune previsioni di settore che evidenziano come l’IA sarà il perno attorno al quale dovranno ruotare le future strategie di cybersecurity, sia come alleata che come potenziale minaccia e punto d’accesso.

Secondo Zaitsev, gli esperti di sicurezza dovranno fare particolarmente attenzione alla prompt injection: “Gli avversari stanno incorporando istruzioni nascoste per bypassare le misure di sicurezza, dirottare gli agent, rubare dati e manipolare i modelli, trasformando il livello di interazione dell’intelligenza artificiale nella nuova superficie di attacco e facendo dei prompt un nuovo malware” ha spiegato.

A tal proposito, nel 2026 occorrerà prevedere delle capacità di AI Detection and Response: questi strumenti diventeranno essenziali per la cybersecurity come lo è già l’EDR, in modo che le aziende abbiano visibilità in tempo reale su prompt, risposte e azioni degli agenti di IA.

Zaitsev prevede anche che nel 2026 ci sarà un’evoluzione dai SOC legacy, semplici gestori di alert, a orchestratori dell’agentic SOC: un cambiamento che sarà necessario per contrastare i cyberattaccanti che incorporano l’IA nelle proprie campagne. Gli agenti di IA dovranno essere in grado di ragionare e individuare le azioni da intraprendere per tutto il ciclo di vita della sicurezza.

La diffusione degli agenti di IA richiederà inoltre una maggior attenzione nella gestione delle identità non umane: ogni agent infatti potrà operare negli ambienti con privilegi elevati e per questo ci sarà bisogno di garantire visibilità in tempo reale per tracciare ogni azione eseguita dall’agente. “Questa è l’era in cui sicurezza delle identità significa proteggere entità che non hanno un battito cardiaco” conclude Zaitsev.

Nell’analisi di Crowdstrike c’è spazio anche per la visione di Adam Meyers, SVP Counter Adversary Operations, il quale avverte di una potenziale esplosione di vulnerabilità zero-day guidate dall’IA. L’intelligenza artificiale non solo accelera e migliora la risposta dei SOC, ma può essere usata per trovare bug nel codice, analizzando i crash report e ottimizzando le metodologie di fuzzing.

I cyberattaccanti più esperti stanno già usando queste capacità dell’IA per individuare più facilmente e velocemente le vulnerabilità dei software, in modo da usarle come armi. “I difensori che avranno successo saranno quelli che utilizzeranno l’AI con la stessa velocità e precisione: rilevando, applicando patch e cercando proattivamente le vulnerabilità zero-day con la stessa rapidità con cui vengono identificate” sottolinea Meyers.

---

---

---

https://www.securityinfo.it/2025/12/15/ia-al-centro-delle-strategie-di-cybersecurity-future-le-previsioni-di-crowdstrike/?utm_source=rss&utm_medium=rss&utm_campaign=ia-al-centro-delle-strategie-di-cybersecurity-future-le-previsioni-di-crowdstrike

Dic 15, 2025 Stefano Silvestri Attacchi, Hacking, In evidenza, Intrusione, Leaks, Malware, Minacce, News, Phishing, Privacy, Scenario, Tecnologia, Vulnerabilità 0

---

Nel periodo compreso tra il 6 e il 12 dicembre, il CERT-AGID ha rilevato e analizzato 62 campagne malevole che hanno interessato il territorio italiano.

Di queste, 25 hanno avuto obiettivi specificamente italiani, mentre 37 campagne di natura generica hanno comunque coinvolto utenti e organizzazioni nel Paese.

Nel complesso, sono stati messi a disposizione degli enti accreditati 1.293 indicatori di compromissione (IoC).

I temi della settimana

Sono 22 i temi sfruttati per la diffusione di malware e phishing, con la consueta attenzione su temi quali banking, ordini, verifiche e pagamenti.

Il tema Banking è stato utilizzato in sette campagne malware generiche finalizzate alla diffusione di FvncBot, ClayRat, Anatsa, Albiriox, DroidLock e PhantomStealer, tutte mirate al furto di credenziali e informazioni finanziarie, in particolare su dispositivi mobili.

Parallelamente è stata osservata una campagna di phishing italiana ai danni di Intesa Sanpaolo, che conferma l’attenzione costante verso i clienti bancari.

Il tema Ordine ha interessato cinque campagne, sia italiane che internazionali, tutte orientate alla distribuzione di malware come AgentTesla, FormBook, PhantomStealer, XWorm e Remcos.

Lo stesso tema è stato sfruttato anche in due operazioni di phishing rivolte a utenti OneDrive e a servizi di webmail generici, sfruttando la consueta leva degli acquisti e delle spedizioni.

Il tema Verifica è comparso in cinque campagne di phishing, due delle quali italiane, che hanno abusato del nome di American Express, Roundcube, Nexi e cPanel, simulando richieste di controllo o aggiornamento degli account per indurre le vittime a inserire le proprie credenziali.

Il tema Pagamenti, osservato in quattro campagne di phishing, ha preso di mira DocuSign, Autostrade per l’Italia e InfoCert. Una campagna generica parallela ha invece diffuso il malware DarkCloud.

Tra gli eventi di particolare interesse, il CERT-AGID segnala una campagna di phishing che sfrutta nome e logo della Polizia di Stato per sottrarre credenziali email.

L’operazione si distingue per l’uso di un endpoint API di Webflow, utilizzato dagli attaccanti per ottenere in modo automatico i dati inseriti dalle vittime.

È stata inoltre rilevata una campagna mirata contro studenti e personale di atenei italiani, che utilizza come esca una mail con oggetto “R: Urgente – Elenco dei borsisti”.

Il link presente nel messaggio conduce a una pagina che replica il logo del Ministero dell’Università e della Ricerca (MUR) e successivamente reindirizza verso un falso portale di login Microsoft, dove avviene il furto delle credenziali istituzionali.

Infine, a partire dall’8 dicembre, è in corso una campagna che sfrutta account email compromessi della Pubblica Amministrazione per colpire in modo massivo altri destinatari appartenenti alla PA, mediante invii in CCN.

I messaggi contengono allegati PDF con link a risorse ospitate su Figma, sfruttando la fiducia nella filiera istituzionale per sottrarre credenziali o diffondere ulteriori payload malevoli.

Malware della settimana

Nel corso della settimana sono state individuate 14 famiglie di malware attive in Italia.

AgentTesla è stato osservato in una campagna italiana a tema “Fattura” e in quattro campagne generiche legate a “Ordine”, “Fattura”, “Contratti” e “Prezzi”, veicolate tramite allegati TAR, RAR e LZH.

FormBook ha colpito attraverso una campagna italiana a tema “Ordine” con allegato DOCX e due campagne generiche “Prezzi” distribuite tramite RAR e XLSX.

Remcos è stato utilizzato in una campagna italiana e in due generiche a tema “Booking” e “Fattura”, veicolate con allegati DOCX e 7Z.

DarkCloud compare in due campagne generiche a tema “Prezzi” e “Pagamenti”, mentre Guloader è stato osservato in una campagna italiana “Contratti” e in una generica “Delivery”.

PhantomStealer è stato individuato in due campagne generiche che hanno sfruttato i temi “Banking” e “Ordine”. In entrambi i casi il malware è stato distribuito tramite email contenenti allegati RAR.

Rilevante anche la presenza di numerose campagne malware per dispositivi Android, che diffondono Albiriox, Anatsa, ClayRat, DroidLock e FvncBot tramite SMS con link a file APK dannosi, tutte concentrate sul tema Banking.

Completano il quadro alcune campagne generiche che hanno diffuso Grandoreiro, Obj3ctivity e XWorm, utilizzando allegati XLAM, JS e ISO inviati via email.

Phishing della settimana

Sono 22 i brand coinvolti nelle campagne di phishing analizzate.

Per numerosità spiccano le operazioni che sfruttano i nomi di cPanel e PagoPA, insieme alle sempre presenti campagne di webmail non brandizzate, ancora largamente utilizzate per il furto di credenziali.

Formati e canali di diffusione

Gli archivi compressi restano lo strumento principale per la diffusione dei contenuti malevoli.

Nel periodo osservato sono state individuate 13 tipologie di file, con APK al primo posto (7 utilizzi), seguiti da RAR e TAR (4).

Seguono DOCX (3) e 7Z, ZIP e JS (2). Con un solo utilizzo figurano ISO, XLSX, XLS, LZH, PDF e XLAM.

---

---

---

https://www.securityinfo.it/2025/12/15/cert-agid-6-12-dicembre-figma-webflow-phishing/?utm_source=rss&utm_medium=rss&utm_campaign=cert-agid-6-12-dicembre-figma-webflow-phishing

Dic 12, 2025 Redazione Attacchi, In evidenza, News, Vulnerabilità 0

---

Apple ha rilasciato degli aggiornamenti di sicurezza straordinari per correggere due vulnerabilità zero-day che, secondo quanto confermato dall’azienda, risultano essere state sfruttate in attacchi reali ad elevata sofisticazione. Il fatto che Apple parli esplicitamente di attacchi mirati contro individui specifici è particolarmente significativa in quanto già in passato si è dimostrata coerente con campagne di sorveglianza avanzata e operazioni di compromissione ad alto valore.

L’intervento fuori ciclo rafforza l’idea che l’ecosistema Apple sia ormai un obiettivo stabile per gruppi capaci di sviluppare exploit complessi e catene di attacco mirate, spesso utilizzate prima che le vulnerabilità vengano individuate e corrette pubblicamente.

Vulnerabilità a livello di motore web e gestione della memoria

Entrambe le falle corrette da Apple ricadono nell’ambito della gestione della memoria all’interno di WebKit, il motore di rendering utilizzato da Safari e obbligatorio per tutti i browser su iOS e iPadOS. La prima vulnerabilità riguarda una condizione di tipo use-after-free, una classe di bug particolarmente critica perché consente a un attaccante di manipolare aree di memoria già liberate, aprendo la strada all’esecuzione di codice arbitrario. La seconda vulnerabilità è invece riconducibile a un problema di corruzione della memoria, anch’esso attivabile attraverso la visualizzazione di contenuti web appositamente costruiti.

Prodotti Apple effettivamente coinvolti

Le vulnerabilità interessano un insieme ben definito di prodotti Apple attualmente supportati. Sul fronte mobile, risultano coinvolti iPhone a partire da iPhone XS e successivi, oltre a numerosi modelli di iPad, inclusi iPad Pro da 13 pollici, iPad Pro da 12,9 pollici dalla terza generazione in poi, iPad Pro da 11 pollici dalla prima generazione, iPad Air dalla terza generazione, iPad dalla settima generazione e iPad mini dalla quinta generazione.

Per quanto riguarda l’ambiente desktop, le correzioni riguardano macOS nelle versioni supportate, inclusi i rami Sonoma, Ventura e Monterey, oltre al browser Safari su macOS. La presenza di WebKit come componente condivisa rende trasversale l’impatto delle vulnerabilità, indipendentemente dal fatto che l’utente utilizzi Safari o un browser di terze parti.

Aggiornamenti di sicurezza e mitigazioni introdotte

Apple ha distribuito le patch attraverso aggiornamenti dedicati di iOS e iPadOS, aggiornamenti correttivi per macOS e un update specifico per Safari. Dal punto di vista tecnico, le mitigazioni introdotte puntano a migliorare la gestione della memoria e a rafforzare i controlli interni per prevenire condizioni di utilizzo improprio delle aree di memoria.

Come da prassi in presenza di zero-day sfruttati attivamente, i dettagli tecnici forniti restano volutamente limitati. Questa scelta riduce il rischio che le informazioni pubbliche possano essere utilizzate per sviluppare exploit affidabili prima che una quota significativa di dispositivi venga aggiornata.

Implicazioni operative per organizzazioni e utenti

Dal punto di vista operativo, l’episodio conferma la necessità di trattare gli aggiornamenti di sicurezza Apple con la stessa priorità riservata alle patch critiche in ambienti enterprise tradizionali. La diffusione di dispositivi iOS e macOS in contesti aziendali rende essenziale disporre di processi di aggiornamento rapidi, in grado di ridurre al minimo la finestra di esposizione.

Per gli utenti ad alto profilo e per le organizzazioni che operano in settori sensibili, l’applicazione tempestiva degli aggiornamenti resta una delle poche contromisure realmente efficaci contro attacchi basati su zero-day. L’ennesima correzione di vulnerabilità già sfruttate in the wild ribadisce che la sicurezza delle piattaforme Apple non può essere considerata implicitamente garantita, ma va gestita con un approccio strutturato e continuo, allineato alle dinamiche delle minacce più avanzate.

---

• Apple patch sicurezza, Apple sicurezza, Attacchi mirati, cybersecurity Apple, exploit browser, iOS sicurezza, iPadOS vulnerabilità, macOS sicurezza, Safari exploit, spyware iOS, vulnerabilità zero-day, webkit

---

---

https://www.securityinfo.it/2025/12/12/apple-interviene-su-due-zero-day-sfruttati-attivamente-in-attacchi-mirati/?utm_source=rss&utm_medium=rss&utm_campaign=apple-interviene-su-due-zero-day-sfruttati-attivamente-in-attacchi-mirati