Gen 12, 2026 Stefano Silvestri Attacchi, Hacking, In evidenza, Intrusione, Leaks, Malware, Minacce, News, Phishing, Privacy, Tecnologia, Vulnerabilità 0

---

Nel periodo compreso tra il 3 e il 9 gennaio, il CERT-AGID ha rilevato e analizzato 73 campagne malevole attive in Italia.

Di queste, 55 hanno avuto obiettivi specificamente italiani, mentre 18 campagne di natura generica hanno comunque interessato utenti e organizzazioni nel Paese.

Complessivamente, il CERT-AGID ha messo a disposizione degli enti accreditati 634 indicatori di compromissione (IoC).

I temi della settimana

Sono 20 i temi sfruttati per veicolare campagne di phishing e malware, con una netta prevalenza di operazioni legate a multe, banking, rinnovi di servizi e documentazione.

Il tema Multe domina la settimana con 17 campagne di phishing, tutte italiane e tutte veicolate tramite email.

Le comunicazioni, costruite come finte notifiche PagoPA relative a presunte sanzioni stradali non pagate, mirano a indurre le vittime a cliccare su link malevoli e a inserire dati personali e bancari.

Il tema Banking è stato utilizzato in tre campagne di phishing italiane rivolte ai clienti di Nexi, BNL e Inbank. Lo stesso ambito è stato inoltre sfruttato per cinque campagne malware, di cui due italiane, che hanno diffuso Copybara, QuasarRAT, RelayNFC e BTMob.

In questi casi la distribuzione è avvenuta sia tramite email con allegati malevoli sia, per le varianti mobile, tramite SMS contenenti link a file APK.

Il tema Rinnovo è comparso in otto campagne di phishing, quasi tutte italiane e tutte veicolate via email.

A eccezione di una campagna che ha abusato del nome del Ministero della Salute, le altre hanno simulato comunicazioni di servizi online e fornitori di hosting e gestore di domini come Aruba, Hostingsolution, Wix, Ergonet e Serverplan, facendo leva su presunte scadenze imminenti.

Il tema Documenti è stato sfruttato in sei campagne, due delle quali italiane, finalizzate alla diffusione di Purecrypter, PureLogs, Remcos e WarzoneRat tramite email con allegati compressi.

In alcuni casi sono stati inoltre abusati strumenti legittimi di controllo remoto, utilizzati come veicolo per l’esecuzione di codice malevolo sui sistemi compromessi.

Tra gli eventi di particolare interesse, il CERT-AGID segnala innanzitutto l’individuazione di una nuova vulnerabilità critica in n8n, soprannominata Ni8mare.

La falla, sfruttabile da remoto e senza autenticazione, consente la lettura di file locali, l’accesso a chiavi e configurazioni sensibili e può arrivare fino alla generazione di credenziali amministrative e alla possibile esecuzione di comandi. È stato raccomandato l’aggiornamento immediato a n8n 1.121.0 o versioni successive.

Sul fronte del phishing, è stata rilevata una campagna mirata contro studenti e personale dell’Università di Brescia, che indirizza le vittime verso una pagina fraudolenta replica del portale di login dell’Ateneo per sottrarre credenziali istituzionali.

Un’ulteriore campagna ha abusato dei loghi e dei nomi del Sistema Tessera Sanitaria e del Ministero della Salute, segnalando una presunta scadenza imminente della tessera e invitando le vittime a inserire dati personali su una falsa pagina di rinnovo.

Il CERT-AGID ha inoltre individuato un falso portale che sfrutta i loghi del Ministero dell’Interno, progettato per sottrarre informazioni utili a furti d’identità o frodi ai danni di cittadini stranieri.

Con il pretesto di verificare lo stato del permesso di soggiorno, la pagina richiede dati identificativi e dettagli relativi alla pratica, richiamando procedure reali per apparire più credibile.

Torna infine il phishing a tema “Dichiarazione Fiscale Criptovalute”, che abusa del nome e del logo dell’Agenzia delle Entrate. Oltre alla raccolta di dati personali, l’obiettivo principale è l’accesso ai wallet di criptovalute delle vittime.

A questo si aggiunge una nuova campagna di smishing ai danni di utenti INPS, veicolata tramite SMS che invitano ad “aggiornare” i propri dati per non perdere presunti benefici, con link accessibili solo da dispositivi mobili.

Malware della settimana

Nel corso della settimana sono state individuate 16 famiglie di malware attive in Italia.

FormBook è stato rilevato in una campagna italiana a tema “Ordine”, diffusa tramite email con allegato TAR, e in una campagna generica a tema “Contratti” veicolata con allegato ZIP.

PhantomStealer è comparso in una campagna italiana a tema “Ordine”, distribuita con allegato XZ, e in una campagna generica “Contratti” che ha sfruttato archivi RAR.

Copybara è stato utilizzato in due campagne italiane a tema “Banking”, veicolate tramite SMS contenenti link per il download di APK malevoli.

BTMob e RelayNFC sono stati osservati in due campagne generiche sempre a tema “Banking”, mirate all’infezione di dispositivi Android attraverso file APK.

Una campagna italiana ha abusato del software legittimo Remote.It, veicolato tramite un link a un finto captcha (ClickFix), per ottenere il controllo remoto dei dispositivi compromessi.

Action1 è stato rilevato in una campagna generica a tema “Documenti”, diffusa con allegato MSI, mentre AgentTesla è comparso in una campagna italiana a tema “Ordine” veicolata tramite email con allegato 7Z.

Purecrypter è stato individuato in una campagna italiana a tema “Documenti”, diffusa con allegato RAR.

Infine, sono state osservate diverse campagne generiche che hanno diffuso AsyncRAT, Guloader, LummaStealer, PureLogs, QuasarRAT, Remcos e WarzoneRat, sfruttando i temi “Documenti”, “Aggiornamenti”, “Prezzi” e “Banking” e utilizzando email con allegati ZIP, RAR, 7Z e TAR.

Phishing della settimana

Sono 25 i brand coinvolti nelle campagne di phishing osservate.

Per quantità spiccano le operazioni che sfruttano i nomi di PagoPA, PayPal e iCloud, insieme alle consuete campagne di webmail non brandizzate orientate al furto di credenziali.

Formati e canali di diffusione

Gli archivi compressi come sempre si confermano lo strumento principale per la diffusione dei contenuti malevoli.

Nel periodo osservato sono state individuate 9 tipologie di file, con APK al primo posto (4 utilizzi), seguiti da ZIP, RAR e 7Z (3).

Con due utilizzi compare il formato TAR, mentre HTML, XZ, MSI e JS sono stati osservati in un solo caso ciascuno.

Per quanto riguarda i canali di distribuzione, la posta elettronica rimane dominante con 66 campagne, seguita da sette campagne veicolate via SMS.

---

---

---

https://www.securityinfo.it/2026/01/12/cert-agid-3-9-gennaio-phishing-e-malware-aprono-il-2026/?utm_source=rss&utm_medium=rss&utm_campaign=cert-agid-3-9-gennaio-phishing-e-malware-aprono-il-2026

Gen 08, 2026 Marina Londei Attacchi, In evidenza, Malware, News, RSS 0

---

I ricercatori di Check Point Research hanno individuato una nuova ondata di attacchi GoBruteforcer, una botnet modulare scritta in Go progettata per colpire server Linux esposti su internet.

Individuata per la prima volta nel 2023, nel corso del tempo la botnet si è evoluta specializzandosi in varianti sempre più sofisticate. Come suggerisce il nome, GoBruteforce sfrutta la tecnica brute-force per forzare l’accesso a servizi critici come FTP, MySQL, PostgreSQL e phpMyAdmin. Una volta preso il controllo, il server infetto viene arruolato nella botnet.

La nuova ondata di attacchi preoccupa i ricercatori per via dell’efficacia dei dizionari di password utilizzati: nell’ultima campagna gli attaccanti non si stanno limitando a usare vecchi elenchi provenienti da leak, ma stanno sfruttando anche la diffusione di configurazioni server generate da IA. 

Sempre più sistemisti si affidano infatti all’intelligenza artificiale per generare script di deployment o file Docker Compose; questi script condividono spesso username standard (come “appuser”, “myuser” o “dbadmin”) e password deboli di default che non vengono cambiate. “I modelli linguistici di grandi dimensioni (LLM) vengono addestrati sulla stessa documentazione pubblica e sugli stessi codici di esempio. Non sorprende quindi che spesso riproducano gli stessi esempi di configurazione con nomi utente predefiniti popolari come appuser e myuser” spiega il team di Check Point Research.

Se da una parte l’intelligenza artificiale abbassa la barriera d’accesso permettendo anche a persone con poca esperienza operativa di creare un database in pochi minuti, usare gli script generati a occhi chiusi comporta un uso più esteso di configurazioni standard e quindi una proliferazione di username e password comuni. Secondo i ricercatori della compagnia, è molto probabile che questa tendenza renda più efficaci gli attacchi GoBruteforcer.

Un altro punto critico evidenziato da Check Point è la persistenza di stack tecnologici datati come XAMPP su server Linux: questi pacchetti “tutto in uno” spesso espongono interfacce di amministrazione e server FTP con configurazioni di sicurezza minime o assenti, rendendoli bersagli ideali per l’automazione della botnet.

La nuova campagna GoBruteforcer

Se in passato la botnet era usata in maniera generica, dall’ultima campagna osservata emerge una chiara motivazione finanziaria. Su uno dei server compromessi i ricercatori hanno trovato un kit di strumenti specializzati in criptovalute: uno scanner di bilancio per la rete TRON, alcune utility di “token-sweeping” per TRON e Binance Smart Chain usate per svuotare automaticamente i wallet non appena rilevano fondi e un database contenente circa 23.000 indirizzi TRON. L’analisi delle transazioni on-chain ha confermato che diversi attacchi hanno avuto successo.

L’accesso iniziale avviene sfruttando vulnerabilità in applicazioni web o credenziali deboli; in seguito, il malware installa un bot IRC offuscato che consente agli attaccanti di inviare comandi e ricevere aggiornamenti sullo stato del server. Gli attaccanti possono controllare i bot nella rete sia tramite web shell che tramite il bot IRC.

Il malware è in grado di sopravvivere al riavvio del serve e per il mascheramento utilizza tecniche di process-masking per nascondersi tra i processi di sistema legittimi. Terminato il setup, il server compromesso inizia a scansionare blocchi di indirizzi IP per tentare l’accesso ad altri server e propagare l’infezione.

“GoBruteforcer è un esempio perfetto di come gli autori delle minacce utilizzino “bersagli facili” come tattiche apparentemente poco sofisticate (attacchi con password deboli, indirizzi IP casuali) per compromettere un gran numero di sistemi connessi a Internet con uno sforzo relativamente minimo” sottolineano i ricercatori.

Il ritorno della botnet è un reminder importante del fatto che la sicurezza non passa solo per le patch dei software, ma anche per l’igiene delle configurazioni. Nel caso si utilizzi l’IA per generare script di configurazione, è fondamentale cambiare immediatamente ogni username e password suggeriti. È importante inoltre disabilitare l’accesso remoto root per i database e utilizzate l’autenticazione a due fattori o chiavi SSH ovunque possibile.

---

---

---

https://www.securityinfo.it/2026/01/08/nuova-ondata-di-attacchi-gobruteforcer-lia-sfruttata-per-il-brute-force/?utm_source=rss&utm_medium=rss&utm_campaign=nuova-ondata-di-attacchi-gobruteforcer-lia-sfruttata-per-il-brute-force

Gen 07, 2026 Marina Londei Attacchi, In evidenza, Malware, News, RSS 0

---

I ricercatori di OX Security hanno individuato due estensioni Chrome in grado di OX Security ha individuato due estensioni Chrome in grado di esfiltrare dati dalle chat di ChatGPT e DeepSeek.

Le due estensioni (Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI e AI Sidebar with Deepseek, ChatGPT, Claude and more) contano complessivamente oltre 900.000 download. La prima aveva anche ottenuto il badge “Featured” da Chrome, dettaglio che ha portato migliaia di utenti a scaricarla senza porsi troppi dubbi.

Gli attaccanti hanno pubblicato le estensioni dietro il nome “AITOPIA”, una compagnia fittizia. L’azienda possiede anche un sito web piuttosto curato, con descrizioni dettagliate dei prodotti che offre agli utenti. Nel dettaglio, le estensioni incriminate aggiungono una sidebar in ogni sito web per consentire all’utente di chattare con l’IA in qualsiasi momento.

Una volta installate, le due estensioni richiedono il permesso di “leggere e modificare tutti i dati sui siti web visitati” per monitorare in tempo reale l’URL della scheda attiva. Se l’URL contiene parole chiave come “chatgpt” o “deepseek”, l’estensione entra in modalità “furto”. A questo punto il codice malevolo si occupa di intercettare il traffico di rete e analizzare il DOM per ottenere tutto ciò che è visibile in pagina, sia i prompt che le risposte fornite dall’IA. Le estensioni Chrome raccolgono i dati dalle chat e li inviano al server C2 ogni 30 minuti, codificandoli in Base64.

L’impatto potenziale è significativo: oltre a dati personali condivisi, nel caso di utenti aziendali potrebbero essere stati sottratti strategie di business, segreti aziendali, codice proprietario e comunicazioni interne alle organizzazioni, esponendo le aziende alla minaccia dello spionaggio industriale. Oltre al contenuto delle chat, le estensioni sono in grado di raccogliere i token di sessione presenti negli URL, ID degli utenti e altri dati di autenticazione.

Gli utenti che hanno installato una o entrambe delle estensioni malevole devono disinstallarle immediatamente. È fondamentale fare attenzione alle estensioni che si installano e verificare il proprietario del plug-in, anche quando è presente il badge “Featured”.

---

---

---

https://www.securityinfo.it/2026/01/07/due-estensioni-chrome-hanno-compromesso-le-chat-di-chatgpt-e-deepseek/?utm_source=rss&utm_medium=rss&utm_campaign=due-estensioni-chrome-hanno-compromesso-le-chat-di-chatgpt-e-deepseek

The initial access broker (IAB) relies on credentials exfiltrated using information stealers to hack organizations.

The post Dozens of Major Data Breaches Linked to Single Threat Actor appeared first on SecurityWeek.

https://www.securityweek.com/dozens-of-major-data-breaches-linked-to-single-threat-actor/

The threat actor uses a signed driver file containing two user-mode shellcodes to execute its ToneShell backdoor.

The post Chinese APT Mustang Panda Caught Using Kernel-Mode Rootkit appeared first on SecurityWeek.

https://www.securityweek.com/chinese-apt-mustang-panda-caught-using-kernel-mode-rootkit/

Dic 23, 2025 Stefano Silvestri Approfondimenti, Attacchi, Hacking, Hardware, Leaks, Malware, Mercato, Minacce, Scenario, Tecnologia, Vulnerabilità 0

---

Il dark web non è più soltanto un luogo di scambio di malware, dati rubati o servizi illegali.

Secondo un’analisi condotta da Kaspersky, sta assumendo sempre più le caratteristiche di un vero e proprio mercato del lavoro parallelo, con dinamiche organizzative che ricordano da vicino quelle dell’economia legale.

È un mercato capace di attrarre disoccupati, adolescenti e professionisti altamente qualificati, e che svolge un ruolo sempre più centrale nella preparazione degli attacchi informatici.

Il report di Kaspersky

Il rapporto realizzato dal team di Digital Footprint Intelligence, mostra come nel primo trimestre del 2024 il numero di curriculum e offerte di lavoro pubblicati sui forum clandestini sia raddoppiato rispetto allo stesso periodo del 2023, mantenendo poi livelli elevati anche nel primo trimestre del 2025.

Nel complesso, nel 2025 i curriculum superano le offerte di lavoro con un rapporto del 55% contro il 45%, un dato che riflette sia i licenziamenti globali nel settore tecnologico sia l’ingresso di candidati sempre più giovani, con un’età media di 24 anni e una presenza significativa di minorenni.

Limitarsi a leggere questo fenomeno come un problema sociale sarebbe però riduttivo. Come ha spiegato Fabio Sammartino, Head of Pre-Sales di Kaspersky, il mercato del lavoro nel dark web rappresenta oggi una componente strutturale dell’ecosistema del cybercrime.

“La domanda non è più quante minacce ci sono ma come si sviluppano gli attacchi e come funziona l’ecosistema che li rende possibili”, ha osservato Sammartino.

Backdoor, spyware e password stealer non sono soltanto categorie tecniche ma riflettono le dinamiche operative di gruppi criminali motivati finanziariamente, quelli che colpiscono più spesso le aziende.

Il dark web svolge allora una funzione chiave nella fase preparatoria degli attacchi. “Nel dark web si annunciano e si vendono credenziali compromesse, spesso ottenute tramite infostealer e password stealer”, ha spiegato Sammartino.

Esistono gruppi verticali che si occupano esclusivamente di questa attività: raccolgono dati di accesso, selezionano quelli più appetibili e li rivendono, alimentando una catena che prosegue fino all’attacco vero e proprio.

Specializzazione e ruoli “as-a-service”

Il report di Kaspersky mostra come questo mercato sia fortemente specializzato.

I ruoli più richiesti coincidono con le diverse fasi della filiera criminale: sviluppatori incaricati di creare strumenti offensivi, penetration tester che analizzano le reti bersaglio, broker di accesso che rivendono credenziali compromesse, figure dedicate al riciclaggio di denaro o alla monetizzazione delle frodi.

“Una volta ottenuto il primo accesso, succede questo: se l’attore è solo un broker di accesso, rivende l’accesso; se è un gruppo più strutturato, prosegue nell’attacco”, ha chiarito Sammartino.

È una catena ben definita che può sfociare nel furto di dati, nell’estorsione o nella cifratura ransomware, spesso senza che venga installato nuovo malware ma sfruttando strumenti già presenti nei sistemi compromessi.

Le aspettative economiche riflettono questa specializzazione. I reverse engineer risultano le figure più pagate, con compensi medi superiori ai 5.000 dollari al mese, seguiti da penetration tester e sviluppatori.

Altri ruoli operano su base percentuale, trattenendo una quota dei profitti. Un modello che replica, anche nell’economia sommersa, la logica del valore delle competenze rare.

Dalla comunicazione su Telegram alle infrastrutture proprietarie

Un altro elemento emerso dall’intervento di Sammartino riguarda l’evoluzione delle piattaforme utilizzate dai gruppi criminali.

Per anni, gran parte delle attività di compravendita e coordinamento si è svolta su Telegram. “Ultimamente l’approccio della piattaforma verso le attività illegali è cambiato”, ha ricordato Sammartino. “Telegram non è sparita ma è in una fase di progressivo abbandono”.

La conseguenza è uno spostamento verso altre piattaforme, come Signal, e soprattutto verso strumenti di messaggistica proprietari, costruiti direttamente dai gruppi criminali.

Una scelta dettata dall’esigenza di segretezza e resilienza, che rende il monitoraggio più complesso per chi difende.

Perché riguarda direttamente le aziende

Dal punto di vista della sicurezza, il mercato del lavoro nel dark web non è un fenomeno marginale. È uno dei luoghi in cui si manifestano per primi i segnali di un attacco imminente.

“Se vedo le credenziali dei miei utenti in giro nel dark web, quello è un segnale che può precedere un attacco”, ha sottolineato Sammartino. È in questa fase che diventa possibile intervenire prima che l’accesso venga sfruttato o rivenduto.

Gli attaccanti motivati finanziariamente scelgono la strada più veloce: non la vittima più ricca ma quella più facile da colpire.

Per questo, capire cosa accade nel dark web (quali competenze vengono cercate, quali servizi vengono offerti, quali asset vengono messi in vendita), è parte integrante di una strategia di difesa efficace.

Il messaggio che emerge dall’analisi di Kaspersky è chiaro: il cybercrime non si limita a sfruttare vulnerabilità tecniche ma costruisce e alimenta un bacino di competenze che rende le minacce sempre più scalabili e persistenti.

Monitorare questo mercato non significa solo osservare un fenomeno criminale ma intercettare in anticipo i segnali deboli di attacchi che, spesso, sono già in fase di preparazione.

---

---

---

https://www.securityinfo.it/2025/12/23/kaspersky-cosi-funziona-il-mercato-del-lavoro-nel-dark-web/?utm_source=rss&utm_medium=rss&utm_campaign=kaspersky-cosi-funziona-il-mercato-del-lavoro-nel-dark-web

Dic 22, 2025 Stefano Silvestri Approfondimenti, Attacchi, Campagne malware, Hacking, In evidenza, Leaks, Malware, Mercato e Statistiche, Minacce, News, Prodotto, Scenario, Software, Tecnologia, Vulnerabilità 0

---

Nel 2025 la pressione cyber sul settore finanziario è stata ragguardevole.

Come ha spiegato Noushin Shabab, Lead Security Researcher del team GReAT di Kaspersky, quello che emerge è un ecosistema criminale sempre più strutturato, capace di colpire banche, sistemi di pagamento e infrastrutture finanziarie.

E in grado di colpire con modalità ibride, in cui criminalità informatica e organizzata tradizionale finiscono per sovrapporsi.

I numeri del Kaspersky Security Bulletin confermano questa tendenza. Nel corso del 2025, l’8,15% degli utenti del settore finanziario è stato colpito da minacce online, mentre il 15,81% ha subito minacce ‘locali’, legate a malware introdotto attraverso file, software o accessi già presenti sui sistemi, e non direttamente via Internet.

Guardando invece alle organizzazioni del settore finanziario, il ransomware ha colpito il 12,8% delle realtà B2B, con un aumento del 35,7% degli utenti unici coinvolti rispetto al 2023.

Quando cybercrime e criminalità organizzata lavorano insieme

Uno degli elementi più rilevanti osservati nel 2025 è la convergenza sempre più evidente tra gruppi di cyber criminali e reti di criminalità organizzata.

Shabab ha citato il caso degli attacchi contro il sistema Pix, l’infrastruttura di pagamenti istantanei gestita dalla banca centrale brasiliana e utilizzata quotidianamente da milioni di persone.

Le indagini hanno mostrato come l’operazione non fosse riconducibile a un singolo gruppo tecnico ma a una collaborazione tra attori digitali e gruppi criminali tradizionali.

L’obiettivo era di infiltrare il sistema, mantenere un accesso persistente e sottrarre fondi a più istituti bancari.

Un modello operativo che punta alla monetizzazione diretta e che segna un salto di qualità rispetto alle campagne cyber puramente opportunistiche.

Supply chain software e nuovi canali di distribuzione

Nel corso del 2025 è cresciuta in modo significativo anche la pressione sulla supply chain software.

Secondo i dati presentati da Kaspersky, si è registrato un aumento del 48% dei pacchetti malevoli all’interno di repository e framework ampiamente utilizzati dagli sviluppatori, come le librerie JavaScript distribuite tramite NPM.

L’inserimento di componenti compromessi all’interno di software legittimi consente agli attaccanti di colpire indirettamente utenti e organizzazioni, aggirando i controlli tradizionali.

A questo si è aggiunto l’uso di nuovi canali di distribuzione: piattaforme di messaggistica e strumenti di collaborazione, nati per facilitare il lavoro, vengono sempre più spesso sfruttati per veicolare malware già noto, adattato a contesti diversi e meno monitorati.

Intelligenza artificiale, phishing mirato e infrastrutture resilienti

L’intelligenza artificiale ha avuto nel 2025 un ruolo sempre più rilevante anche nelle attività offensive.

Le previsioni formulate da Kaspersky a fine 2024 si sono rivelate allineate alla realtà: modelli linguistici e sistemi automatizzati vengono utilizzati per analizzare gli ambienti bersaglio, generare campagne di phishing altamente personalizzate e sviluppare malware più adattivo.

Parallelamente, i ricercatori hanno osservato un’evoluzione delle infrastrutture di comando e controllo.

In un caso analizzato nel 2025, i server di una botnet erano implementati tramite smart contract su blockchain, rendendo estremamente complesso il loro smantellamento e aumentando la resilienza dell’intera operazione criminale.

Come ha osservato Fabio Assolini, ricercatore del team GReAT di Kaspersky, i gruppi criminali stanno combinando sempre più spesso strumenti digitali, intelligenza artificiale e infrastrutture decentralizzate per ampliare la portata e la durata delle loro campagne.

Mobile banking, NFC e frodi automatizzate

Il settore finanziario ha visto crescere anche gli attacchi contro il mobile banking e i sistemi di pagamento contactless.

Nel 2025 Kaspersky ha rilevato oltre 1,3 milioni di attacchi basati su trojan bancari, molti dei quali mirati a dispositivi Android.

Particolarmente rilevante è l’uso di malware dotati di funzionalità di Automated Transfer System, in grado di intercettare e modificare in tempo reale le transazioni, alterando importi e destinatari senza che l’utente se ne accorga.

La diffusione dei pagamenti NFC ha ampliato ulteriormente la superficie d’attacco, offrendo ai criminali nuovi vettori per frodi rapide e difficili da rilevare.

Dispositivi già compromessi e minacce “out of the box”

Un ulteriore elemento emerso nel 2025 riguarda la presenza sul mercato di dispositivi già infetti al momento dell’acquisto.

Smartphone Android non ufficiali, smart TV e altri dispositivi connessi possono includere malware preinstallati, come il trojan Triada, capaci di sottrarre credenziali bancarie e informazioni sensibili fin dal primo avvio.

Questa dinamica riduce drasticamente la capacità di difesa dell’utente finale e rappresenta un rischio diretto anche per gli istituti finanziari, che si trovano a gestire transazioni e accessi provenienti da dispositivi compromessi all’origine.

Dal declino di alcune famiglie malware alle previsioni per il 2026

Non tutte le minacce osservate nel settore finanziario sono in crescita. Shabab ha evidenziato come alcune famiglie di malware bancario, attive sin dall’inizio del 2023, stiano mostrando un progressivo declino, anche grazie alla collaborazione tra gruppi di ricerca e forze dell’ordine.

Arresti mirati e operazioni di contrasto hanno portato allo smantellamento di diverse reti criminali, spingendo i membri rimanenti verso nuovi progetti malevoli.

Guardando al 2026, tuttavia, le previsioni indicano un’ulteriore evoluzione del panorama delle minacce.

I trojan bancari potrebbero essere riscritti per sfruttare piattaforme di messaggistica come WhatsApp, mentre l’uso di deepfake e servizi di intelligenza artificiale per il social engineering è destinato a crescere, con un impatto diretto sui sistemi di autenticazione biometrica.

Sul piano geografico, l’attenzione degli attaccanti potrebbe spostarsi verso aree come Asia, Medio Oriente e America Latina, dove la rapida crescita dei servizi finanziari non sempre è accompagnata da un livello di protezione omogeneo.

Sul fronte tecnologico, infine, continuerà la corsa verso attacchi sempre più automatizzati, regionalizzati e difficili da attribuire.

---

---

---

https://www.securityinfo.it/2025/12/22/kaspersky-lancia-lallarme-il-cybercrime-finanziario-ha-alza-il-livello-nel-2025/?utm_source=rss&utm_medium=rss&utm_campaign=kaspersky-lancia-lallarme-il-cybercrime-finanziario-ha-alza-il-livello-nel-2025

Dic 22, 2025 Stefano Silvestri Attacchi, Hacking, In evidenza, Leaks, Malware, Minacce, News, Phishing, Tecnologia, Vulnerabilità 0

---

Nel corso della settimana appena analizzata, il CERT-AGID ha rilevato 82 campagne malevole.

Di queste, 46 hanno avuto obiettivi specificamente italiani, mentre 36 campagne di natura generica hanno comunque interessato utenti e organizzazioni nel Paese.

Agli enti accreditati sono stati messi a disposizione 966 indicatori di compromissione (IoC). 

I temi della settimana

Sono 23 i temi sfruttati per veicolare campagne di phishing e malware, con una concentrazione significativa su banking, multe, pagamenti e verifiche.

Il tema Banking è stato utilizzato in sei campagne di phishing, cinque delle quali italiane, che hanno preso di mira clienti di Wise, Nexi, Crédit Agricole, Intesa Sanpaolo e ING.

Lo stesso è stato sfruttato anche per cinque campagne malware, orientate alla diffusione di Copybara, AgentTesla, FormBook, NexusRoute e Frogblight, con una particolare attenzione ai dispositivi mobili.

Il tema Multe continua a rappresentare uno dei vettori più efficaci per il phishing, con undici campagne tutte italiane basate su finte comunicazioni PagoPA.

Le email simulano notifiche di sanzioni stradali non pagate e spingono gli utenti a fornire dati personali e bancari attraverso link malevoli.

Il tema Pagamenti è stato impiegato in quattro campagne di phishing, di cui una generica, che hanno abusato dei nomi di Disney+, Autostrade per l’Italia, cPanel e DHL.

In parallelo sono state osservate quattro campagne malware che hanno diffuso AgentTesla, FormBook, PureLogs e PhantomStealer, confermando la centralità di questo tema per la distribuzione di payload malevoli.

Il tema Verifica è comparso in sette campagne di phishing, quattro delle quali italiane, che hanno abusato, tra gli altri, dei nomi di INPS e Ar24, facendo leva su richieste di controllo o aggiornamento dei dati per sottrarre credenziali.

Tra gli eventi di particolare interesse, il CERT-AGID segnala la pubblicazione di un nuovo paper di ricerca dedicato ai meccanismi interni dei Large Language Model (LLM).

Il documento analizza come nascano rifiuti, bias, allucinazioni e segnali di sicurezza all’interno dei modelli e mostra come, intervenendo sulle attivazioni tramite tecniche di activation engineering o steering, sia possibile alterare tali segnali fino ad aggirare le barriere di sicurezza.

Sul fronte operativo, è stato invece rilevato un nuovo caso di smishing ai danni di utenti INPS, in cui gli attaccanti mirano a raccogliere un ampio set di dati personali.

Oltre alle generalità, a un selfie e all’IBAN, alle vittime viene richiesto il caricamento di immagini di carta di identità, tessera sanitaria, patente e delle ultime tre buste paga.

Malware della settimana

Nel periodo analizzato sono state individuate 14 famiglie di malware attive in Italia.

AgentTesla si conferma tra i più diffusi, con otto campagne italiane a tema “Pagamenti”, “Fattura” e “Banking” che sfruttano allegati ZIP, TAR e UUE, oltre a quattro campagne generiche a tema “Ordine”, “Documenti” e “Preventivo” che utilizzano come vettore iniziale file XLSX e 7Z.

FormBook è stato osservato in due campagne italiane a tema “Ordine” e “Banking”, diffuse tramite file 7Z e Z, e in quattro campagne generiche legate a “Aggiornamenti”, “Ordine”, “Documenti” e “Pagamenti”, veicolate con allegati DOCX e RAR.

Sono state inoltre rilevate due campagne generiche di AsyncRAT veicolate tramire file ZIP a tema “Booking” e “Documenti”, insieme a due campagne di Remcos legate ai temi “Prezzi” e “Aggiornamenti” che hanno sfruttato i file ZIP e 7Z.

Una campagna italiana di MintLoader ha sfruttato caselle PEC compromesse per distribuire file ZIP, mentre Amadey è comparso in una campagna generica a tema “Contratti” veicolata tramite file MSI.

Particolarmente rilevante anche l’attività malware su dispositivi Android, con campagne sia italiane che generiche che hanno diffuso Copybara, Frogblight e NexusRoute tramite SMS contenenti link a file APK dannosi, tutte riconducibili al tema Banking.

Completano il quadro una campagna generica di Grandoreiro a tema “Legale” che allega ISO, una campagna di PhantomStealer a tema “Pagamenti” veicolata con file RAR, una campagna di PureLogs distribuita tramite allegati GZ e una campagna di StrRat a tema “Prezzi”.

Infine, il CERT-AGID segnala l’esposizione di un repository accessibile tramite un sottodominio trycloudflare.com, che mostrava una open directory contenente file riconducibili alle famiglie malware XWorm, AsyncRAT e PureHVNC.

Phishing della settimana

Sono 30 i brand coinvolti nelle campagne di phishing rilevate nel periodo.

Per numerosità spiccano le operazioni che sfruttano il nome di PagoPA e iCloud, insieme alle sempre frequenti campagne di webmail non brandizzate, orientate al furto di dati personali e credenziali di accesso.

Formati e canali di diffusione

Gli archivi compressi restano lo strumento principale per la diffusione dei contenuti malevoli.

Nel periodo osservato sono state individuate 17 tipologie di file, con ZIP al primo posto (8 utilizzi), seguito da 7Z (4) e da APK e RAR (3).

Con due utilizzi figurano TAR e DOCX, mentre con un solo impiego compaiono GZ, MSI, ISO, JS, BAT, TXT, XLSX, HTML, EXE, UUE e Z.

Per quanto riguarda i canali di distribuzione, la posta elettronica rimane dominante con 75 campagne, seguita da sei campagne via SMS e una tramite PEC.

---

---

---

https://www.securityinfo.it/2025/12/22/cert-agid-13-19-dicembre-phishing-pagopa-e-smishing-inps/?utm_source=rss&utm_medium=rss&utm_campaign=cert-agid-13-19-dicembre-phishing-pagopa-e-smishing-inps

Dic 17, 2025 Stefano Silvestri Attacchi, Hacking, In evidenza, Intrusione, Leaks, Malware, Minacce, News, Phishing, Tecnologia 0

---

Mezzo milione di nuovi file malevoli al giorno. È questo il “numero dell’anno” indicato da Cesare D’Angelo, General Manager Italia, Francia e Mediterraneo di Kaspersky, per raccontare il 2025 della cybersicurezza.

Un dato che fotografa meglio di qualsiasi slogan la trasformazione del malware in un fenomeno industriale, continuo e automatizzato.

Non si tratta di un picco isolato: il numero medio giornaliero di file dannosi individuati da Kaspersky è cresciuto infatti in modo costante negli ultimi cinque anni, passando da circa 380 mila nel 2021 ai 500 mila del 2025.

Una progressione lineare che racconta un ecosistema criminale ormai strutturato, capace di produrre minacce su scala industriale e di adattarsi rapidamente alle contromisure difensive.

A rendere possibile questa crescita non è solo l’aumento del numero di gruppi criminali, ma anche un uso sempre più esteso di strumenti automatizzati.

Tecniche di analisi, generazione e adattamento del codice, sempre più spesso assistite dall’intelligenza artificiale, consentono oggi di abbassare drasticamente costi e tempi di produzione del malware.

Il risultato è un cybercrime meno artigianale e sempre più vicino a un modello industriale.

Italia nel mirino: le PMI come obiettivo prioritario

In questo scenario mondiale già complesso, l’Italia emerge come uno dei Paesi più esposti.

I dati mostrano infatti che il 25% degli attacchi alle PMI rilevati in Europa ha colpito aziende italiane, spesso sotto forma di PUA, le cosiddette Potentially Unwanted Applications, ossia applicazioni apparentemente legittime che imitano brand conosciuti e vengono sfruttate come vettori di compromissione.

“Le PMI non sono solo nel radar dei cyber criminali, sono tra i loro obiettivi principali”, ha spiegato Cesare D’Angelo.

Una vulnerabilità che s’intreccia con la struttura stessa del tessuto produttivo italiano, fatto di imprese medio-piccole con risorse limitate e una superficie digitale in costante espansione.

Credenziali rubate e accessi silenziosi

Il dato forse più indicativo riguarda la tipologia delle minacce. Nel 2025 si è registrata una forte crescita di password stealer, spyware e backdoor, con un aumento particolarmente marcato in Italia rispetto alla media globale.

È il segnale di un cambio di paradigma: l’obiettivo non è più solo infettare, ma entrare senza farsi notare. “In diversi casi che abbiamo analizzato”, ha osservato D’Angelo, “ci siamo accorti che l’attaccante era rimasto all’interno dei sistemi per mesi, se non per anni, prima di essere individuato”.

Il furto di credenziali consente infatti di accedere con permessi legittimi, trasformando l’intrusione in una presenza silenziosa e persistente, difficile da individuare con strumenti di difesa tradizionali.

Strategie deboli e overload operativo

A rendere il quadro ancora più critico è la fotografia interna delle PMI. Solo il 25% dichiara di avere una strategia di cybersecurity solida, mentre il 68% ammette di affidarsi a piani formali che non si traducono in misure operative concrete.

Il problema non è solo tecnologico, ma organizzativo: il 33% delle aziende segnala di ricevere troppi alert, mentre il 30% considera il monitoraggio delle minacce un’attività che richiederebbe una risorsa dedicata a tempo pieno.

In un contesto in cui la sicurezza ricade spesso su team IT non specializzati, impegnati anche nella gestione quotidiana dei sistemi e del supporto agli utenti, il rischio è che gli avvisi vengano ignorati o sottovalutati.

A questo si aggiunge la carenza di competenze: il 17% delle PMI dichiara di non disporre di personale qualificato e, secondo il 25% degli intervistati, i vertici aziendali non riconoscono ancora pienamente la rilevanza strategica della cybersecurity.

Superficie d’attacco in crescita, difesa che fatica a tenere il passo

Nel complesso, i numeri raccontano una dinamica chiara: il volume, la complessità e l’automazione degli attacchi crescono più rapidamente della capacità di difesa delle aziende.

Windows resta il bersaglio principale, con il 48% degli utenti colpiti da diverse tipologie di minacce nel 2025, contro il 29% su macOS, a conferma che la diffusione resta un fattore determinante nelle scelte degli attaccanti.

Ma il punto centrale è un altro: la superficie d’attacco si espande più velocemente delle contromisure. “È per questo”, ha dichiarato D’Angelo, “che non basta più una difesa reattiva. Serve una visione di medio-lungo termine, capace di adattarsi all’evoluzione delle minacce e di guidare gli investimenti in modo coerente”.

Senza questo cambio di prospettiva, la scoperta dell’attacco rischia di arrivare quando è ormai troppo tardi.

Uno sguardo al 2026: attacchi più mirati e nuove superfici di rischio

Se il 2025 ha confermato la maturità industriale del cybercrime, le analisi di Kaspersky indicano che il 2026 potrebbe spingere questa evoluzione ancora oltre.

In particolare, è atteso un aumento di attacchi in grado di colpire in modo diretto supply chain e logistica globale, con un’attenzione crescente ai settori dell’energia e delle tecnologie avanzate.

Allo stesso tempo, gli attaccanti potrebbero rivolgersi sempre più spesso a obiettivi finora considerati “non classici”, come sistemi di trasporto intelligenti, smart building e infrastrutture satellitari, spesso meno protetti e regolamentati.

Sul piano geografico, l’attenzione potrebbe spostarsi progressivamente verso Asia, Medio Oriente e America Latina, aree in cui stanno crescendo investimenti industriali e digitalizzazione.

A fare da moltiplicatore, ancora una volta, sarà l’uso di tecniche sempre più automatizzate e assistite dall’intelligenza artificiale, capaci di rendere questi attacchi più adattivi, persistenti e difficili da intercettare.

---

---

---

https://www.securityinfo.it/2025/12/17/kaspersky-le-pmi-italiane-sono-un-bersaglio-strutturale-per-il-cybercrime/?utm_source=rss&utm_medium=rss&utm_campaign=kaspersky-le-pmi-italiane-sono-un-bersaglio-strutturale-per-il-cybercrime

Dic 15, 2025 Stefano Silvestri Attacchi, Hacking, In evidenza, Intrusione, Leaks, Malware, Minacce, News, Phishing, Privacy, Scenario, Tecnologia, Vulnerabilità 0

---

Nel periodo compreso tra il 6 e il 12 dicembre, il CERT-AGID ha rilevato e analizzato 62 campagne malevole che hanno interessato il territorio italiano.

Di queste, 25 hanno avuto obiettivi specificamente italiani, mentre 37 campagne di natura generica hanno comunque coinvolto utenti e organizzazioni nel Paese.

Nel complesso, sono stati messi a disposizione degli enti accreditati 1.293 indicatori di compromissione (IoC).

I temi della settimana

Sono 22 i temi sfruttati per la diffusione di malware e phishing, con la consueta attenzione su temi quali banking, ordini, verifiche e pagamenti.

Il tema Banking è stato utilizzato in sette campagne malware generiche finalizzate alla diffusione di FvncBot, ClayRat, Anatsa, Albiriox, DroidLock e PhantomStealer, tutte mirate al furto di credenziali e informazioni finanziarie, in particolare su dispositivi mobili.

Parallelamente è stata osservata una campagna di phishing italiana ai danni di Intesa Sanpaolo, che conferma l’attenzione costante verso i clienti bancari.

Il tema Ordine ha interessato cinque campagne, sia italiane che internazionali, tutte orientate alla distribuzione di malware come AgentTesla, FormBook, PhantomStealer, XWorm e Remcos.

Lo stesso tema è stato sfruttato anche in due operazioni di phishing rivolte a utenti OneDrive e a servizi di webmail generici, sfruttando la consueta leva degli acquisti e delle spedizioni.

Il tema Verifica è comparso in cinque campagne di phishing, due delle quali italiane, che hanno abusato del nome di American Express, Roundcube, Nexi e cPanel, simulando richieste di controllo o aggiornamento degli account per indurre le vittime a inserire le proprie credenziali.

Il tema Pagamenti, osservato in quattro campagne di phishing, ha preso di mira DocuSign, Autostrade per l’Italia e InfoCert. Una campagna generica parallela ha invece diffuso il malware DarkCloud.

Tra gli eventi di particolare interesse, il CERT-AGID segnala una campagna di phishing che sfrutta nome e logo della Polizia di Stato per sottrarre credenziali email.

L’operazione si distingue per l’uso di un endpoint API di Webflow, utilizzato dagli attaccanti per ottenere in modo automatico i dati inseriti dalle vittime.

È stata inoltre rilevata una campagna mirata contro studenti e personale di atenei italiani, che utilizza come esca una mail con oggetto “R: Urgente – Elenco dei borsisti”.

Il link presente nel messaggio conduce a una pagina che replica il logo del Ministero dell’Università e della Ricerca (MUR) e successivamente reindirizza verso un falso portale di login Microsoft, dove avviene il furto delle credenziali istituzionali.

Infine, a partire dall’8 dicembre, è in corso una campagna che sfrutta account email compromessi della Pubblica Amministrazione per colpire in modo massivo altri destinatari appartenenti alla PA, mediante invii in CCN.

I messaggi contengono allegati PDF con link a risorse ospitate su Figma, sfruttando la fiducia nella filiera istituzionale per sottrarre credenziali o diffondere ulteriori payload malevoli.

Malware della settimana

Nel corso della settimana sono state individuate 14 famiglie di malware attive in Italia.

AgentTesla è stato osservato in una campagna italiana a tema “Fattura” e in quattro campagne generiche legate a “Ordine”, “Fattura”, “Contratti” e “Prezzi”, veicolate tramite allegati TAR, RAR e LZH.

FormBook ha colpito attraverso una campagna italiana a tema “Ordine” con allegato DOCX e due campagne generiche “Prezzi” distribuite tramite RAR e XLSX.

Remcos è stato utilizzato in una campagna italiana e in due generiche a tema “Booking” e “Fattura”, veicolate con allegati DOCX e 7Z.

DarkCloud compare in due campagne generiche a tema “Prezzi” e “Pagamenti”, mentre Guloader è stato osservato in una campagna italiana “Contratti” e in una generica “Delivery”.

PhantomStealer è stato individuato in due campagne generiche che hanno sfruttato i temi “Banking” e “Ordine”. In entrambi i casi il malware è stato distribuito tramite email contenenti allegati RAR.

Rilevante anche la presenza di numerose campagne malware per dispositivi Android, che diffondono Albiriox, Anatsa, ClayRat, DroidLock e FvncBot tramite SMS con link a file APK dannosi, tutte concentrate sul tema Banking.

Completano il quadro alcune campagne generiche che hanno diffuso Grandoreiro, Obj3ctivity e XWorm, utilizzando allegati XLAM, JS e ISO inviati via email.

Phishing della settimana

Sono 22 i brand coinvolti nelle campagne di phishing analizzate.

Per numerosità spiccano le operazioni che sfruttano i nomi di cPanel e PagoPA, insieme alle sempre presenti campagne di webmail non brandizzate, ancora largamente utilizzate per il furto di credenziali.

Formati e canali di diffusione

Gli archivi compressi restano lo strumento principale per la diffusione dei contenuti malevoli.

Nel periodo osservato sono state individuate 13 tipologie di file, con APK al primo posto (7 utilizzi), seguiti da RAR e TAR (4).

Seguono DOCX (3) e 7Z, ZIP e JS (2). Con un solo utilizzo figurano ISO, XLSX, XLS, LZH, PDF e XLAM.

---

---

---

https://www.securityinfo.it/2025/12/15/cert-agid-6-12-dicembre-figma-webflow-phishing/?utm_source=rss&utm_medium=rss&utm_campaign=cert-agid-6-12-dicembre-figma-webflow-phishing