Meta ha identificato 402 applicazioni malware progettate specificamente per rubare le credenziali di accesso a Facebook, colpendo circa un milione di utenti in tutto il mondo. La scoperta, annunciata pubblicamente il 7 ottobre 2022, continua ad avere ripercussioni significative nel panorama della sicurezza mobile del 2025, rivelando un’operazione criminale sofisticata che ha infiltrato sia Google Play Store che Apple App Store attraverso tecniche elaborate di ingegneria sociale e manipolazione algoritmica.

La scoperta di Meta: operazione di sicurezza globale

Il team di sicurezza di Meta, guidato da David Agranovich, Director of Global Threat Disruption, ha condotto un’indagine che ha identificato 355 applicazioni Android e 47 applicazioni iOS. L’analisi delle tipologie di app mostra che la maggior parte erano editor fotografici, seguiti da utility aziendali, utility per telefono, giochi e VPN.

Come ha dichiarato Agranovich nel comunicato ufficiale: “Molte di queste app fornivano poca o nessuna funzionalità prima del login, e la maggior parte non forniva alcuna funzionalità anche dopo che l’utente aveva accettato di accedere”. Le applicazioni iOS si concentravano specificamente su utenti business, mascherandosi da strumenti di gestione per Meta Business e pubblicità, rivelando un approccio strategico verso target ad alto valore economico.

Il metodo di ricerca combinava l’analisi delle anomalie comportamentali con il monitoraggio cross-platform, permettendo ai ricercatori di identificare pattern di attacco che sfuggivano ai controlli automatici degli app store.

L’industria delle recensioni false: un business multimiliardario

Dietro il successo di queste applicazioni malware si cela un’economia sotterranea sofisticata dedicata alla manipolazione dei rating degli app store. Nel 2024, Apple ha rimosso 143 milioni di recensioni fraudolente, mentre Google ha eliminato 240 milioni di recensioni false nel 2024, un aumento del 40% rispetto ai 170 milioni del 2023.

Il mercato delle recensioni false opera attraverso farm specializzate dove i recensori vengono compensati con cifre che variano drasticamente da $0,20 a $100 per singola recensione, a seconda della piattaforma, della complessità richiesta e del volume degli ordini.

L’introduzione dell’intelligenza artificiale generativa ha rappresentato un punto di svolta nel 2024, con analisi che mostrano una crescita significativa nelle recensioni generate automaticamente. Queste recensioni AI-powered sono significativamente più sofisticate e difficili da rilevare rispetto ai metodi tradizionali, presentando variazioni sintattiche e stilistiche che mimano il linguaggio naturale umano.

L’impatto economico globale di questo fenomeno è considerevole: studi del World Economic Forum stimano che le recensioni false costino ai consumatori globalmente circa 152 miliardi di dollari annui, influenzando le decisioni di download di milioni di utenti e compromettendo l’integrità degli ecosistemi digitali.

Tecniche avanzate di furto credenziali

Le applicazioni malware implementano una combinazione di tecniche sofisticate per intercettare le credenziali Facebook. Il malware Facestealer, documentato da Trend Micro in oltre 200 varianti, rappresenta uno degli esempi più significativi: inietta codice JavaScript maligno nelle pagine Facebook legittime caricate tramite WebView dell’applicazione. Una volta inserite le credenziali, il malware le intercetta insieme ai cookie di sessione, mantenendo l’accesso anche dopo eventuali cambi password.

Le tecniche più avanzate sfruttano i servizi di accessibilità Android, richiedendo il permesso BIND_ACCESSIBILITY_SERVICE che consente alle applicazioni di monitorare tutti gli input dell’utente. Il trojan bancario Svpeng utilizza questa metodologia per registrare ogni pressione di tasto, mentre varianti come MysteryBot monitorano le coordinate del touchscreen per determinare quali caratteri vengono digitati.

Gli attacchi overlay rappresentano un’ulteriore evoluzione: creano interfacce false perfettamente sovrapposte alle applicazioni legittime. Quando l’utente inserisce le credenziali pensando di trovarsi su Facebook, sta in realtà digitando in una schermata controllata dai criminali informatici.

I dati rubati vengono esfiltrati attraverso canali nascosti come tunneling DNS o utilizzando API di servizi legittimi per mascherare il traffico maligno.

Impatto globale e statistiche

I dati del 2024 rivelano una scala allarmante del fenomeno. Le statistiche dell’FBI Internet Crime Complaint Center documentano perdite totali per crimini informatici pari a 12,5 miliardi di dollari nel 2023, con un aumento del 22% rispetto all’anno precedente. Nel 2024, le perdite sono salite a 16,6 miliardi di dollari, rappresentando un incremento del 33% rispetto al 2023.

L’analisi geografica mostra che gli Stati Uniti subiscono il maggior numero di attacchi documentati, seguiti dall’Europa e dall’Asia-Pacifico. Tuttavia, l’Africa registra il volume più alto di attacchi settimanali per organizzazione, con oltre 3.000 tentativi documentati, evidenziando come le minacce abbiano ormai assunto una dimensione globale.

Le campagne più significative del periodo includevano applicazioni come “Daily Fitness OL” della famiglia Facestealer e varie VPN fraudolente, con download che variavano da 10.000 a 500.000 installazioni prima della rimozione dagli store.

Risposta dell’industria tecnologica

Meta ha implementato un sistema di notifica diretta che avvisa gli utenti potenzialmente compromessi attraverso l’applicazione Facebook, collaborando attivamente con Apple e Google per la rimozione delle applicazioni maligne. L’azienda ha anche rafforzato i propri sistemi di monitoraggio per identificare pattern di accesso anomali.

Apple ha intensificato significativamente i controlli di sicurezza, respingendo nel 2024 1.931.400 submission su 7.771.599 esaminate e rimuovendo 82.509 applicazioni dall’App Store. L’infrastruttura anti-frode di Apple ha prevenuto transazioni fraudolente per oltre 9 miliardi di dollari negli ultimi cinque anni.

Google ha implementato misure altrettanto rigorose, bloccando 2,36 milioni di applicazioni che violavano le policy nel 2024 e bannando oltre 158.000 account sviluppatore malevoli. Il sistema Play Protect scansiona quotidianamente oltre 200 miliardi di applicazioni utilizzando tecnologie di machine learning avanzate.

Tecnologie di protezione e contromisure

Gli app store stanno implementando sistemi di rilevamento sempre più sofisticati basati sull’intelligenza artificiale. Google ha riportato che oltre il 92% delle revisioni umane per app dannose nel 2024 sono state assistite dall’AI, mentre Apple richiede ora Privacy Manifests e SDK Signatures per applicazioni che utilizzano SDK di terze parti.

Le soluzioni di sicurezza AI-powered come MAD-NET (Malware Attack Detection Network) raggiungono accuratezze del 99,83% nel rilevamento del malware Android utilizzando Deep Belief Networks. Queste tecnologie combinano estrazione automatica di metadata, analisi statica e analisi dinamica in ambienti controllati.

Raccomandazioni per la protezione utenti

Gli esperti di sicurezza informatica raccomandano agli utenti di adottare pratiche specifiche per proteggersi da queste minacce:

• Non condividere mai le credenziali Facebook con applicazioni di terze parti senza una valutazione approfondita della necessità
• Verificare sempre il numero di download e la qualità delle recensioni
• Abilitare l’autenticazione a due fattori su tutti gli account social media
• Prestare attenzione ai segnali di allarme che includono:
  • Applicazioni inutilizzabili senza fornire credenziali social
  • Editor fotografici che richiedono login prima dell’uso
  • Recensioni pubblicate a brevi intervalli temporali
  • Icone generiche e politiche privacy assenti
  • Discrepanze tra nome sviluppatore e branding dell’applicazione

Prospettive future

Le previsioni per il 2025 indicano un’escalation delle minacce mobili. TripAdvisor ha riportato che l’8,68% delle 31,1 milioni di recensioni ricevute nel 2024 erano false, più del doppio rispetto al 4,4% del 2022. Le recensioni generate da AI stanno crescendo dell’80% mese su mese secondo studi del 2024.

I ricercatori prevedono l’emergere di nuove tecniche: video di verifica deepfake per bypassare la verifica utente, minacce legate al quantum computing, exploit zero-click per piattaforme mobili, e malware geofenced che si attiva solo in specifiche regioni geografiche.

Statistiche aggiornate sui consumatori

Secondo le ultime analisi del 2024:

• Il 30% di tutte le recensioni online sono considerate false o ingannevoli (variabile dal 4% al 47% a seconda della piattaforma)
• Il 75% dei consumatori è preoccupato per le recensioni false
• L’82% dei consumatori ha incontrato recensioni false nell’ultimo anno

Conclusioni

La scoperta delle 402 applicazioni malware rappresenta solo la punta dell’iceberg di un fenomeno in continua evoluzione. La battaglia contro il furto di credenziali richiede uno sforzo coordinato tra fornitori di piattaforme, ricercatori di sicurezza e utenti finali. Mentre le capacità di rilevamento sono migliorate significativamente attraverso sistemi AI-powered e politiche più severe, la sofisticazione crescente dei criminali informatici richiede investimenti continui in tecnologie di sicurezza, educazione degli utenti e collaborazione internazionale.

Il panorama delle minacce mobili del 2025 presenta sfide senza precedenti che richiedono una risposta altrettanto innovativa e coordinata per proteggere efficacemente gli utenti digitali globali.

Bibliografia:

Agranovich, D., & Victory, R. (2022, October 7). Protecting People From Malicious Account Compromise Apps. Meta Newsroom.

Apple Inc. (2025, May 27). The App Store prevented more than $9 billion in fraudulent transactions. Apple Newsroom.

Federal Bureau of Investigation. (2024). FBI Releases Annual Internet Crime Report. IC3 2024 Annual Report.

Google Security Blog. (2025, January). How we kept the Google Play & Android app ecosystems safe in 2024.

Kaspersky. (2024). Banking data theft attacks on smartphones triple in 2024. Kaspersky Press Release.

Trend Micro Research. (2022, May). Fake Mobile Apps Steal Facebook Credentials, Cryptocurrency-Related Keys.

TripAdvisor. (2025, March 18). Tripadvisor’s 2025 Transparency Report reveals strong review submissions and improved fraud detection.

Capital One Shopping. (2025). Fake Review Statistics: on Amazon & Other Websites.

World Economic Forum. (2021, August). Fake online reviews are a $152 billion problem. Here’s how e-commerce sites can stop them.

https://www.ictsecuritymagazine.com/notizie/credenziali-facebook/

An updated variant of the sophisticated XCSSET macOS malware is monitoring the system clipboard to hijack cryptocurrency transactions, Microsoft warns.

First observed in the wild half a decade ago, XCSSET spreads via malicious Xcode projects, abusing Apple’s integrated development environment for macOS.

The malware was designed to steal information from various chat applications, steal files, inject code in websites, and drop ransom notes, and has received several updates over time.

The most recent variant, Microsoft says, includes an additional persistence mechanism and brings changes to browser targeting and clipboard hijacking.

The threat employs a four-stage infection chain, with changes to its boot function, which now includes additional checks for Firefox and a modified check for Telegram.

At the fourth stage of the chain, the malware fetches a run-only compiled AppleScript that defines functions related to data validation, encryption, decryption, and for obtaining additional data from the command-and-control (C&C) server.

The script also contains functions associated with clipboard monitoring, which allows it to identify cryptocurrency addresses and replace them with content defined in a list of attacker-controlled addresses.

The malware was also seen fetching from the C&C another script with file exfiltration capabilities, and setting up LaunchDaemon persistence by creating a file containing the payload in the user’s home directory.

It was also seen modifying system configurations to execute commands that disabled the macOS security configuration updates and Rapid Security Response mechanism.

XCSSET also creates a fake system settings application and then calls a function that waits for the legitimate System Settings application to be launched before executing the fake app, to pose as legitimate.

The new malware variant also includes an info-stealer module targeting the Firefox browser. A modified version of the HackBrowserData open source project, the module steals browser history, cookies, and stored passwords and credit card information.

Microsoft reported its findings to Apple and worked with GitHub to remove the malicious repositories distributing the malware.

“While we’re only seeing this new XCSSET variant in limited attacks as of this writing, we’re publishing our comprehensive analysis to increase awareness of this evolving threat,” the company notes.

Related: PyPI Warns Users of Fresh Phishing Campaign

Related: Widespread Infostealer Campaign Targeting macOS Users

Related: Microsoft Warns of Improved XCSSET macOS Malware

Related: North Korean Hackers Target macOS Users

https://www.securityweek.com/new-xcsset-macos-malware-variant-hijacks-cryptocurrency-transactions/

SonicWall has released a fresh software update for its SMA 100 appliances to help users remove the Overstep malware deployed in a recent campaign.

As part of the attacks, flagged in July by Google’s Threat Intelligence Group, a threat actor tracked as UNC6148 infected fully patched SMA appliances with a persistent backdoor and user-mode rootkit that supports credential, session token, and one-time password seed theft.

The threat actor likely used local administrator credentials that were stolen in previous attacks, before devices were patched, through the exploitation of known vulnerabilities, such as CVE-2025-32819, CVE-2024-38475, CVE-2021-20035, CVE-2021-20038, and CVE-2021-20039.

In July, Google released indicators-of-compromise (IoCs) and detection rules to help SonicWall customers identify and block potential UNC6148 attacks.

This week, SonicWall announced the release of SMA 100 software version 10.2.2.2-92sv, which includes “additional file checking, providing the capability to remove known rootkit malware present on the SMA devices”.

All SMA 210, 410, and 500v appliances running 10.2.1.15-81sv and earlier software versions are impacted, SonicWall notes.

The company urges all organizations using SMA 100 series appliances to review and implement security steps outlined in its July advisory.

Earlier this month, SonicWall announced it will no longer offer support for SMA100 devices starting October 1, 2025, urging customers to transition to “more secure, modern remote access solutions” and offering free replacement options for eligible SMA100 appliances.

“Due to significant vulnerabilities presented by legacy VPN appliances, SonicWall will be deactivating all SMA100 appliances on October 31, 2025. Following this date, all SMA100 appliances will lose connectivity and no longer function. To ensure uninterrupted security and connectivity, partners and customers will need to migrate to an alternative SonicWall solution before October 31, 2025,” the company notes.

SonicWall may continue to provide support to SMA100 appliances that have support expiration dates extending beyond October 31, 2027.

Related: SonicWall Prompts Password Resets After Hackers Obtain Firewall Configurations

Related: Libraesva Email Security Gateway Vulnerability Exploited by Nation-State Hackers

Related: Remote CarPlay Hack Puts Drivers at Risk of Distraction and Surveillance

Related: Hundreds of Pagers Exploded in Lebanon and Syria in a Deadly Attack. Here’s What We Know.

https://www.securityweek.com/sonicwall-updates-sma-100-appliances-to-remove-overstep-malware/

Set 22, 2025 Stefano Silvestri Attacchi, Hacking, In evidenza, Intrusione, Leaks, Malware, Minacce, News, Phishing, Scenario, Tecnologia, Vulnerabilità 0

---

Nella settimana appena conclusa il CERT-AGID ha rilevato un totale di 73 campagne malevole. Di queste, 43 sono state mirate specificamente a obiettivi nel nostro Paese, mentre le restanti 30, pur avendo carattere generico, hanno comunque avuto ricadute sul territorio nazionale.

Per supportare le attività di difesa, il CERT-AGID ha messo a disposizione degli enti accreditati 776 indicatori di compromissione, fondamentali per riconoscere e bloccare tempestivamente eventuali attività sospette.

I temi della settimana

Questa settimana sono stati sfruttati 18 temi diversi per diffondere campagne malevole in Italia.

Il fronte più caldo resta quello bancario: sono state individuate sedici campagne, quattordici delle quali con obiettivi italiani, che hanno preso di mira istituti come ING, BPM, Intesa Sanpaolo, Unicredit, Fineco, Crédit Agricole e InteractiveBrokers.

Sono state coinvolte anche piattaforme di pagamento come SumUp e PayPal, e tutte le campagne si sono propagate via email, con l’obiettivo di carpire credenziali e dati finanziari sensibili.

Un altro tema ricorrente è stato quello delle multe: diverse campagne, tutte italiane, hanno abusato del brand PagoPA inviando false notifiche di sanzioni o avvisi di pagamento, nel tentativo di sottrarre i dati delle carte di credito delle vittime.

Non sono mancate le campagne legate agli ordini, sfruttate in nove circostanze, di cui sei a carattere generico e tre italiane, attraverso cui sono stati distribuiti vari tipi di malware.

A queste si aggiungono le campagne basate sul tema dei pagamenti, sei in tutto, che hanno incluso anche un tentativo di phishing a nome dell’Agenzia delle Entrate.

Infine, sono state rilevate cinque campagne che giocavano sulla scadenza dei servizi: quattro mirate al pubblico italiano e una generica.

In questo caso gli aggressori hanno simulato messaggi legati a webmail in scadenza, abusando sia di marchi generici sia di piattaforme come Zimbra. Lo scopo? Sottrarre le credenziali di accesso alle caselle di posta elettronica.

Tra le attività più rilevanti osservate negli ultimi giorni spiccano alcune campagne che meritano particolare attenzione. Una di queste ha preso di mira direttamente l’Agenzia delle Entrate con una operazione di phishing che puntava a sottrarre wallet di criptovalute.

I messaggi, camuffati da notifiche ufficiali, rimandavano a domini registrati di recente che riproducevano fedelmente l’interfaccia del portale dell’Agenzia.

Qui veniva simulata una procedura di dichiarazione online in cui si chiedevano dati personali e fiscali, per poi arrivare alla fase essenziale, ossia l’inserimento del wallet o della seed phrase di recupero. In questo modo gli attaccanti ottenevano accesso diretto ai fondi digitali delle vittime.

Il CERT-AGID ha inoltre analizzato una campagna che sfruttava PDQConnect, un software legittimo per la gestione remota normalmente usato dagli amministratori IT. La tecnica di diffusione prevedeva email che simulavano la condivisione di documenti e rimandavano a una finta pagina di login di Microsoft Outlook.

Una volta verificata la corrispondenza dell’indirizzo, veniva proposto il download di un file MSI contenente il tool di controllo remoto, consentendo agli aggressori di prendere possesso del sistema della vittima.

Non meno insidiosa la campagna che ha abusato del nome del Politecnico di Milano per diffondere il malware FormBook, uno dei trojan più diffusi e specializzati nel furto di credenziali e dati sensibili.

L’inganno consisteva in email che invitavano a consultare documentazione necessaria per partecipare a un presunto progetto. L’allegato, un archivio ZIP, nascondeva uno script malevolo che avviava l’infezione.

Infine, è stata bloccata una nuova campagna di malspam condotta attraverso caselle PEC compromesse. In questo caso gli aggressori hanno diffuso MintLoader, confermando come l’uso abusivo della posta elettronica certificata resti una delle leve più pericolose per veicolare malware in Italia.

Malware della settimana

Nel corso della settimana sono state individuate ben 19 famiglie di malware attive sul territorio italiano.

Tra le campagne di maggiore rilievo spicca ancora una volta FormBook, con una distribuzione capillare sia attraverso messaggi a tema “preventivo” rivolti all’Italia, sia tramite email generiche a tema “ordine” e “prezzi”, tutte corredate da allegati in formato ZIP o Z.

A seguire si colloca Remcos, rilevato in una campagna bancaria diretta contro utenti italiani e in quattro campagne generiche legate a falsi contratti, ordini e pagamenti. In questo caso i file allegati arrivavano nei formati RAR, GZ e 7Z.

Anche AgentTesla è tornato a farsi vedere con due campagne italiane a tema “consegna” e “ordine”, oltre a una generica sempre mascherata da avviso di consegna: tutte veicolate da archivi compressi RAR e TAR.

Particolarmente attiva anche la famiglia DarkCloud, che ha sfruttato allegati ZIP, GZ e XLAM per diffondersi attraverso tre campagne complessive, di cui una diretta al pubblico italiano.

Non meno insidioso Guloader, osservato in tre varianti: una italiana a tema “ordine” e due generiche che simulavano fatture e consegne, con allegati nei formati 7Z, RAR e MSI.

Il CERT-AGID ha inoltre intercettato una campagna italiana che diffondeva MintLoader tramite caselle PEC compromesse e allegati ZIP, mentre EagleSpy è emerso in un’operazione bancaria che usava SMS contenenti link a file APK malevoli.

Il quadro si completa con altre famiglie ben note al panorama della cybercriminalità: dalle italiane sLoad e PDQConnect fino a un ventaglio di minacce generiche come SnakeKeylogger, VipKeylogger, XWorm, Rhadamanthys, QuasarRAT, Purecrypter, PhantomStealer, Lumma e Grandoreiro.

Phishing della settimana

Sono 13 i brand finiti nel mirino delle campagne di phishing della settimana. A dominare la scena sono state le operazioni che hanno sfruttato il nome di PagoPA, ING e SumUp, con una frequenza tale da renderle le più riconoscibili del periodo.

Accanto a queste si sono moltiplicate le campagne che imitavano servizi di posta elettronica, spesso non legate a un marchio preciso ma ugualmente efficaci nel trarre in inganno gli utenti grazie a notifiche apparentemente legittime di caselle in scadenza o richieste di aggiornamento credenziali.

Formati e canali di diffusione

Sul fronte tecnico continua a confermarsi la supremazia degli archivi compressi come principale vettore d’attacco. Nell’arco della settimana sono state impiegate tredici tipologie diverse di file, con una netta predominanza dei formati ZIP e RAR, utilizzati complessivamente in sei campagne.

Subito dietro si collocano i formati 7Z, GZ e Z, osservati in quattro episodi, mentre JS e MSI sono comparsi due volte ciascuno.

Più sporadico invece l’impiego di estensioni come XLAM, HTML, TAR, DOCX, APK e PS1, segnale di una diversificazione costante ma meno incisiva.

Per quanto riguarda i canali di diffusione, le email si sono confermate ancora una volta lo strumento preferito dai criminali informatici, veicolando ben 71 delle campagne censite dal CERT-AGID.

Restano più marginali gli altri canali, con una sola campagna individuata tramite PEC e un’altra diffusa via SMS.

---

---

---

https://www.securityinfo.it/2025/09/22/cert-agid-13-19-settembre-phishing-criptovalute/?utm_source=rss&utm_medium=rss&utm_campaign=cert-agid-13-19-settembre-phishing-criptovalute

Two Russian state-sponsored threat actors have been working together in recent cyberattacks against Ukrainian targets, evidence collected by ESET suggests.

Specifically, the company found that, between February and April 2025, tools that Gamaredon had deployed were used to restart and deploy Turla malware on the systems of select victims in Ukraine.

Turla, also known as Krypton, Snake, Venomous Bear, and Waterbug, has been active since at least 2004, focusing on high-profile targets, including diplomats and government entities in Europe, Central Asia, and the Middle East.

Gamaredon, also known as Armageddon, BlueAlpha, Blue Otso, Callisto, Iron Tilden, Primitive Bear, Sector C08, and Winterflounder, has been active since at least 2013, mainly targeting individuals and organizations in Ukraine.

Gamaredon is believed to have conducted thousands of intrusions against Ukrainian entities. This year, on four of the compromised machines, ESET discovered that the APT’s tools were used to issue commands to and deploy Turla implants.

In February 2025, Gamaredon’s PteroGraphin tool was used as a recovery method to restart Turla’s Kazuar espionage implant, likely after it crashed, ESET says. In April, Gamaredon’s PteroOdd and PteroPaste were used to deploy Kazuar v2 installers.

“It is worth noting that, prior to this, the last time we detected a Turla compromise in Ukraine was in February 2024. All those elements, and the fact that Gamaredon is compromising hundreds if not thousands of machines, suggest that Turla is interested only in specific machines, probably ones containing highly sensitive intelligence,” ESET notes.

The cybersecurity firm assesses with strong confidence that the two state-sponsored groups are working together: it is unlikely that Turla has reproduced Gamaredon’s infection chain to abuse its tools, or that Gamaredon has access to Kazuar.

Additionally, ESET points out, both operations are run by officers of the Russian intelligence service FSB, albeit Gamaredon is associated with Center 18 (the Center for Information Security in Crimea) and Turla with Center 16 (Russia’s main signals intelligence agency).

“From an organizational perspective, it is worth noting that the two entities commonly associated with Turla and Gamaredon have a long history of reported collaboration, which can be traced back to the Cold War era,” ESET notes.

Related: US Offers $10 Million for Three Russian Energy Firm Hackers

Related: Amazon Disrupts Russian Hacking Campaign Targeting Microsoft Users

Related: US Sanctions Russian National, Chinese Firm Aiding North Korean IT Workers

Related: Russian APT Exploiting 7-Year-Old Cisco Vulnerability: FBI

https://www.securityweek.com/turla-and-gamaredon-working-together-in-fresh-ukrainian-intrusions/

The cybersecurity agency CISA has shared technical information on malware deployed in attacks targeting two vulnerabilities in Ivanti Endpoint Manager Mobile (EPMM).

The flaws, tracked as CVE-2025-4427 (CVSS score of 5.3) and CVE-2025-4428 (CVSS score of 7.2), were disclosed on May 13, after hackers had exploited them in attacks.

The exploitation of the two issues intensified several days later, after proof-of-concept (PoC) exploit code was published. By late May, it came to light that a China-linked threat actor tracked as UNC5221 had been abusing them in attacks.

The security defects, an authentication bypass and a remote code execution (RCE) issue, found in two open source libraries integrated into EPMM, can be chained together for unauthenticated RCE.

Now, CISA has shared details, indicators-of-compromise (IoCs), and detection rules for two sets of malware (five files) that were collected from a network compromised through the exploitation of a vulnerable Ivanti EPMM instance.

By chaining the bugs, a threat actor accessed the server running EPMM and executed remote commands to collect system information, list the root directory, deploy malicious files, perform network reconnaissance, execute scripts, and dump LDAP credentials.

The hackers deployed two sets of malware to the temporary directory, each set providing “persistence by allowing the cyber threat actors to inject and run arbitrary code on the compromised server,” CISA says.

Both sets included a loader and a malicious listener that enabled the attackers to deploy and execute arbitrary code on the compromised server, CISA explains. The malware was deployed in segments, to evade signature-based detection and size limitations.

The first set also contained a manager designed to manipulate Java objects to inject the malicious listener in Apache Tomcat (running on the same server). The listener would intercept specific HTTP requests, process them, and decode and decrypt payloads that dynamically built and ran a new class.

The malicious listener in the second set was designed to retrieve and decrypt password parameters from specific HTTP requests, define and load a new malicious class, encrypt and encode the class output, and generate a response.

CISA recommends updating Ivanti EPMM to a patched version as soon as possible (versions 11.12.0.5, 12.3.0.2, 12.4.0.2, and 12.5.0.1, and newer contain the fixes), implement additional restrictions and monitoring for mobile device management (MDM) systems, and follow best cybersecurity practices.

Related: CISA: CVE Program to Focus on Vulnerability Data Quality

Related: Watch Now: Attack Surface Management Summit – All Sessions Available

Related: Zero Trust Is 15 Years Old — Why Full Adoption Is Worth the Struggle

Related: DELMIA Factory Software Vulnerability Exploited in Attacks

https://www.securityweek.com/cisa-analyzes-malware-from-ivanti-epmm-intrusions/

Set 17, 2025 Marina Londei Approfondimenti, Attacchi, Attacchi, Campagne malware, In evidenza, Minacce, News, RSS 0

---

La minaccia di MuddyWater non si arresta, anzi: negli ultimi mesi il gruppo ha eseguito attacchi sempre più sofisticati grazie al miglioramento della propria infrastruttura e a un arricchimento dei tool di attacco.

Secondo un recente report di Group-IB, il gruppo APT iraniano sarebbe passato da campagne su larga scala ad attacchi più mirati facendo leva sullo spearphishing e sulla distribuzione di malware custom.

Attivo dal 2017, il gruppo opera seguendo gli interessi del governo dell’Iran. Gli obiettivi di MuddyWater sono solitamente realtà di settori ad alto valore, quali le telecomunicazioni, il settore energetico, quello della difesa e le entità governative.

Nel corso degli anni il gruppo ha eseguito campagne molto generiche allo scopo di colpire più vittime possibili, per esempio pubblicizzando finti corsi online e webinar. Dall’inizio del 2025, invece, c’è stato un importante cambiamento di tattiche e il gruppo ha cominciato a realizzare attacchi altamente mirati e più difficili da contrastare.

MuddyWater investe su nuovi tool e migliora la propria architettura

Tra i malware e i tool più utilizzati dal gruppo negli ultimi mesi c’è BugSleep, una backdoor custom ormai trai cavalli di battaglia di MuddyWater. Esistono diverse varianti del malware, ognuna con sempre nuovi miglioramenti e fix, a indicazione del fatto che il gruppo sta lavorando al perfezionamento del proprio arsenale.

Un’altra backdoor molto usata dal gruppo è StealthCache. Si tratta di un malware con capacità più avanzate rispetto a BugSleep e una comunicazione col server C2 significativamente più estesa. Al contrario, Phoenix è una backdoor con funzionalità molto ridotte, ma comunque ampiamente usata da MuddyWater. Il gruppo utilizza diversi altri strumenti per le proprie campagne, alcuni dei quali sono progetti open-source.

Dal punto di vista dell’infrastruttura, il gruppo può contare su una rete molto robusta a supporto degli attacchi. Il team di Group-IB riporta che MuddyWater utilizza diverse tecnologie e si affida a vari provider sia per massimizzare la flessibilità operativa che per meglio eludere i controlli. “MuddyWater ha utilizzato una vasta gamma di provider di hosting, inclusi servizi di hosting cloud e bulletproof come BlueVPS, AS-COLOCROSSING, BLNWX, SEDO, HosterDaddy, Stark Industries, DIGITALOCEAN, Strato AG, AWS, OVH SAS, Scalaxy, M247 e Clouvider Limited. La natura eterogenea dell’infrastruttura di hosting rende difficile il rilevamento e l’attribuzione, poiché non esistono modelli o preferenze distinguibili” specificano i ricercatori.

La differenziazione dei toolkit e l’uso di un’architettura robusta rendono MuddyWater una delle minacce più significative del momento. Il gruppo è attivo soprattutto nel Medio-Oriente, ma negli ultimi tempi ha intensificato le proprie attività anche in Europa e negli Stati Uniti.

“Il costante perfezionamento degli strumenti, delle infrastrutture e delle tecniche, insieme ai metodi di contro-attribuzione, indica che MuddyWater rimarrà una minaccia persistente e in grado di adattarsi, soprattutto nelle regioni e nei settori legati agli interessi strategici iraniani” sottolinea Group-IB. Per questo è indispensabile investire su sistemi di protezione e rilevamento, applicare le best practice di sicurezza e formare il personale aziendale sulle minacce odierne.

---

---

---

https://www.securityinfo.it/2025/09/17/muddywater-si-evolve-attacchi-piu-sofisticati-e-infrastruttura-piu-resiliente/?utm_source=rss&utm_medium=rss&utm_campaign=muddywater-si-evolve-attacchi-piu-sofisticati-e-infrastruttura-piu-resiliente

Set 15, 2025 Stefano Silvestri Attacchi, Gestione dati, Hacking, In evidenza, Leaks, Malware, Minacce, News, Phishing, Privacy, Scenario, Tecnologia, Vulnerabilità 0

---

La scorsa settimana il CERT-AGID ha identificato e analizzato 75 campagne malevole nell’ambito italiano: 41 hanno preso di mira obiettivi nazionali, mentre 34 erano di carattere generico ma hanno comunque interessato il nostro Paese.

Agli enti accreditati ha messo a disposizione i 1.235 indicatori di compromissione (IoC) individuati.

I temi della settimana

Questa settimana i temi sfruttati per veicolare le campagne malevole in Italia sono stati venti.

In primo piano si sono viste le “Multe”: svariate campagne italiane, tutte via email, hanno abusato del brand PagoPA, con un caso che ha simulato comunicazioni del Ministero dell’Interno.

I messaggi hanno riprodotto false notifiche di sanzioni o avvisi di pagamento con l’obiettivo di sottrarre i dati delle carte; in un caso il link alla pagina malevola è stato inserito dentro un allegato PDF invece che nel corpo dell’email.

Sul fronte “Banking” si sono contate dodici campagne di phishing italiane, sempre via email, che hanno preso di mira ING, Intesa Sanpaolo, BPM, Fineco e, in un caso, anche PayPal.

Il tema “Ordine” è stato usato in nove campagne complessive, di cui sette generiche e due italiane: le prime hanno diffuso diversi malware, tra cui Formbook, AgentTesla, DarkCloud e Remcos, spesso attraverso archivi compressi contenenti eseguibili malevoli; le due campagne italiane hanno distribuito VipKeylogger e Remcos.

Gli “Aggiornamenti” sono comparsi in sei campagne, cinque generiche e una italiana. Nelle campagne generiche è stato diffuso principalmente il malware Lumma Stealer, veicolato tramite archivi ZIP con eseguibili malevoli, mentre la campagna italiana ha puntato su un phishing ai danni degli utenti Microsoft Outlook.

Il tema “Documenti” è stato sfruttato in cinque campagne, quattro generiche e una italiana: le generiche hanno diffuso AgentTesla, Remcos e Guloader, oltre a un’ulteriore campagna di phishing contro HSBC.

Quella italiana ha invece sfruttato il nome di INPS con finalità di phishing, confermando la frequenza con cui questo tema viene usato per frodi online. Il resto dei temi ha sostenuto ulteriori campagne di malware e

Tra gli eventi più rilevanti, sono emerse campagne di phishing mirate contro personale e studenti di diversi atenei italiani, tra cui l’Università Politecnica delle Marche, l’Università di Verona, l’Università di Bari e l’Università di Chieti-Pescara.

Le operazioni, tutte correlate tra loro, hanno replicato graficamente i portali di accesso alle aree riservate per sottrarre credenziali istituzionali.

Guardando ai ransomware, invece, si è osservata una nuova tattica di ingegneria sociale. Il gruppo LunaLock ha dapprima rivendicato il furto e la cifratura dei dati di una piattaforma per artisti freelance.

Successivamente, oltre alla consueta minaccia di pubblicazione dei materiali sottratti, ha avvertito che in caso di mancato pagamento avrebbe consegnato le opere d’arte alle aziende di intelligenza artificiale per l’addestramento dei modelli.

È stata inoltre rilevata una nuova campagna di phishing ai danni di INPS che ha sfruttato, con modalità simili a una precedente offensiva contro l’Agenzia delle Entrate, il brand del servizio di file sharing WeTransfer.

Gli attori hanno inviato email che simulavano notifiche di WeTransfer facendo apparire le comunicazioni come provenienti da un dominio istituzionale (pec.inps.it) per aumentarne la credibilità e indurre le vittime a scaricare presunti documenti previdenziali urgenti.

Il link malevolo ha reindirizzato dapprima a una finta pagina di WeTransfer e poi a una falsa pagina di accesso di Aruba, con l’obiettivo di sottrarre credenziali email.

Malware della settimana

Nel corso della settimana sono state individuate nove famiglie di malware che hanno interessato l’Italia.

FormBook ha riguardato sei campagne generiche a tema “Prezzi”, “Ordine”, “Contratti” e “Fattura”, veicolate via email con allegati RAR, TAR e Z. Remcos è comparso in una campagna italiana a tema “Ordine” e in cinque campagne generiche legate a “Ordine”, “Prezzi”, “Contratti” e “Documenti”, distribuite con email contenenti ZIP, RAR e TAR.

AgentTesla è stato rilevato in cinque campagne generiche che hanno sfruttato i temi “Pagamenti”, “Ordine”, “Documenti” e “Aggiornamenti”, con allegati GZ, LZH, Z e TAR.

Lumma ha sostenuto quattro campagne generiche tutte legate al tema “Aggiornamenti”, recapitate con allegati ZIP.

VipKeylogger è emerso in una campagna italiana “Ordine” e in tre campagne generiche “Ordine” e “Fattura”, distribuite tramite email con allegati RAR e ZIP. XWorm è stato osservato in tre campagne generiche a tema “Fattura”, “Pagamenti” e “Preventivo”, inviate con allegati XLAM, talvolta racchiusi in archivi ZIP.

Copybara è stato diffuso in una campagna italiana a tema “Banking” tramite SMS che rimandavano al download di un APK malevolo. DarkCloud è comparso in una campagna generica “Ordine” distribuita con archivio 7Z.

Infine, Guloader è stato impiegato in una campagna generica “Documenti” recapitata con allegati HTML e MSI.

Phishing della settimana

In totale sono stati coinvolti diciannove brand nelle campagne di phishing della settimana, con una concentrazione particolare sui temi PagoPA e ING, che hanno registrato il maggior numero di tentativi fraudolenti.

Formati e canali di diffusione

Sul fronte dei vettori tecnici, è emersa la solita  prevalenza degli archivi compressi.

A fronte di tredici tipologie di file impiegate, il formato più utilizzato è stato il RAR con 10 campagne complessive, seguito dallo ZIP con 7 episodi, mentre XLAM e TAR sono comparsi 3 volte ciascuno.

Più sporadico l’uso di altri formati, tra cui G, Z e PDF (2 volte ciascuno), e con un solo riscontro per APK, LZH, SHTML, 7Z, MSI e HTML.

Quanto ai canali di diffusione, le email hanno continuato a rappresentare il veicolo esclusivo scelto dai criminali informatici, risultando responsabili di tutte le 75 campagne registrate dal CERT-AGID.

---

---

---

https://www.securityinfo.it/2025/09/15/cert-agid-6-12-settembre-i-ransomware-mostrano-una-nuova-tattica-di-ingegneria-sociale/?utm_source=rss&utm_medium=rss&utm_campaign=cert-agid-6-12-settembre-i-ransomware-mostrano-una-nuova-tattica-di-ingegneria-sociale

Set 09, 2025 Marina Londei Attacchi, In evidenza, Malware, News, RSS 0

---

I ricercatori di Arctic Wolf hanno scoperto GPUGate, una nuova tecnica di attacco che sfrutta la struttura dei repository GitHub e gli annunci su Google Ads per distribuire malware.

La catena d’attacco inizia proprio con banner Google Ads creati ad hoc, in modo che compaiano in cima alla lista dei risultati di ricerca. Cercando per esempio “GitHub Desktop”, l’annuncio malevolo veniva presentato come primo risultato e gli utenti non si pongono il problema se sia legittimo o meno.

Cliccando sull’annuncio la vittima viene fatta navigare su uno specifico commit GitHub di un repository legittimo in cui il README è stato modificato e include link malevoli per il download di software. “Integrando l’hash del commit nell’URL stesso della pagina, un attaccante può mostrare una pagina che è identica a quella originale, ma contiene le sue modifiche” spiegano i ricercatori. I link di download contenuti nel README scaricano un eseguibile malevolo che contiene il payload del malware e lo installa.

Oltre alle tecniche di attacco utilizzate, anche il malware è molto particolare: si tratta di un installer Microsoft (MSI) in grado di evadere la maggior parte delle sandbox di sicurezza; inoltre, GPUGate utilizza una routine di decrittografia basata su GPU per mantenere il payload crittografato, anche sui sistemi che non hanno una GPU reale.

GPUGate esegue uno script PowerShell anche per eludere i controlli di sicurezza e continuare a eseguire in background, assegnandosi i privilegi più elevati sul sistema. La capacità di persistere sul sistema consente inoltre al malware di “sopravvivere” a eventuali riavvii.

Gli impatti di GPUGate

Secondo il team di Arctic Wolf, l’obiettivo dei cyberattaccanti è ottenere l’accesso ai sistemi aziendali per poi sottrarre credenziali, informazioni sensibili ed eventualmente distribuire ransomware. I privilegi di amministratore consentono al malware non solo di terminare i processi di sicurezza, ma anche di disabilitare meccanismi di ripristino e cancellare file di backup, rendendo l’esecuzione di ransomware ancora più distruttiva.

Le tecniche usate nella campagna garantiscono un’esecuzione del malware “esclusiva”, solo su macchine accuratamente selezionate. “Un approccio così selettivo e accurato garantisce che solo le vittime più “interessanti” vengano infettate, mentre i ricercatori di sicurezza e persino molti prodotti di sicurezza informatica potrebbero inizialmente fallire nella loro analisi” spiegano i ricercatori.

Gli attacchi hanno preso di mira realtà del settore IT dell’Europa occidentale. A giudicare dai commenti presenti nel codice dello script Powershell, il gruppo sarebbe di origine russa. La campagna, scoperta lo scorso 19 agosto, è ancora attiva.

Oltre a utilizzare sistemi di sicurezza avanzati, i ricercatori consigliano di disabilitare l’esecuzione di script PowerShell se non strettamente necessaria e ricordano di scaricare software soltanto dal sito ufficiale del produttore.

---

---

---

https://www.securityinfo.it/2025/09/09/gpugate-una-nuova-tecnica-che-sfrutta-google-ads-e-github-per-distribuire-malware/?utm_source=rss&utm_medium=rss&utm_campaign=gpugate-una-nuova-tecnica-che-sfrutta-google-ads-e-github-per-distribuire-malware

Set 08, 2025 Stefano Silvestri Attacchi, Hacking, In evidenza, Intrusione, Leaks, Malware, Minacce, News, Privacy, Tecnologia, Vulnerabilità 0

---

La scorsa settimana il CERT-AGID ha rilevato 79 campagne malevole. Quarantasei di queste erano rivolte in modo specifico a obiettivi italiani mentre le restanti trentatré, pur non essendo mirate, hanno comunque avuto effetti sul nostro Paese.

Agli enti accreditati sono così stati messi a disposizione 885 indicatori di compromissione, utili per individuare e prevenire possibili minacce.

I temi della settimana

Il CERT-AGID ha individuato 19 diversi temi sfruttati per diffondere campagne malevole sul territorio italiano.

Il settore più colpito è stato quello bancario, con tredici campagne di phishing dirette contro utenti italiani e due di carattere generico.

Le email fraudolente hanno preso di mira soprattutto ING, bersaglio privilegiato con dieci attacchi, ma non sono mancati riferimenti a Hype e BPM. Le due campagne non specificamente italiane sono state utilizzate per diffondere i malware Formbook e AgentTesla.

Un altro tema ricorrente è stato quello degli ordini, con nove campagne complessive: otto generiche, che hanno distribuito malware come AgentTesla, XWorm, PlugX, Formbook e QuasarRAT, e una rivolta all’Italia, legata alla diffusione di Remcos.

Molto intensa anche l’attività di phishing a tema multe: otto campagne italiane hanno abusato del marchio PagoPA per simulare notifiche di sanzioni o avvisi di pagamento, con l’obiettivo di carpire i dati delle carte delle vittime.

Non sono mancati i falsi documenti, sfruttati in sei campagne generiche. In questo caso sono stati diffusi diversi malware, tra cui AsyncRAT, Remcos e Lokibot, mentre alcune campagne hanno abusato dei brand Cloudbeds e DocuSign.

Una di esse ha diffuso ScreenConnect, un software legittimo ma usato in modo improprio per attività malevole.

Infine, cinque campagne hanno fatto leva sul tema degli aggiornamenti: due italiane, che hanno preso di mira gli utenti LiberoMail, e tre generiche, focalizzate su cPanel e Cloudbeds o utilizzate per distribuire il malware Lumma Stealer.

Gli altri temi osservati hanno avuto un impatto minore, ma sono stati comunque impiegati per veicolare ulteriori azioni di phishing e diffusione di malware.

Tra gli episodi più rilevanti della settimana spicca il ritorno di una campagna ai danni degli utenti INPS, tornata attiva dopo circa un mese di pausa.

In questo caso, i truffatori promettono un’erogazione di denaro e, per rendere credibile la richiesta, inducono le vittime a fornire una quantità impressionante di dati personali: oltre alle generalità e a un selfie, vengono richieste foto della carta di identità, della tessera sanitaria, della patente e delle ultime tre buste paga, insieme all’IBAN.

L’obiettivo principale è il furto di identità, che può concretizzarsi anche con la creazione di un profilo SPID a nome della vittima.

Un’altra campagna, questa volta di malspam, è stata individuata e contrastata dal CERT-AGID grazie alla collaborazione con i gestori PEC. Gli attaccanti hanno sfruttato caselle di posta certificata compromesse per diffondere il malware MintLoader.

Rispetto agli schemi più comuni, è stata adottata una tecnica particolare: niente link diretti al download ma un archivio ZIP contenente un file HTML che, a sua volta, indirizza al download di un file JavaScript.

Lo scopo è aggirare i sistemi di rilevamento automatici. Da notare anche la scelta del tempismo, con l’invio delle email malevole in concomitanza con la ripresa delle attività lavorative dopo le ferie estive.

Infine, il CERT-AGID ha registrato una campagna di phishing mirata all’Agenzia delle Entrate, che sfrutta in maniera fraudolenta il brand WeTransfer. Le email simulate sembrano provenire da un dominio istituzionale italiano, aumentando così la credibilità del messaggio.

Gli utenti ricevono la segnalazione di documenti fiscali urgenti, come un falso file denominato FatturaAgenziaEntrate.pdf, con lo scopo di indurre le vittime a fornire le proprie credenziali di posta elettronica.

Malware della settimana

Nel corso della settimana sono state individuate tredici famiglie di malware attive sul territorio italiano.

Tra le più gettonate spicca FormBook, diffuso in sei campagne generiche a tema fatture, ordini, servizi bancari e preventivi, veicolate attraverso email con allegati in formato XLSX e DOCX o archivi compressi come RAR, ZIP e LZH.

Quattro campagne hanno invece utilizzato AgentTesla, sempre con i medesimi pretesti di fatture, ordini e operazioni bancarie, veicolate tramite allegati ZIP, RAR, TAR e GZ.

Anche Remcos ha avuto un ruolo di rilievo, con una campagna italiana a tema ordini diffusa via ZIP e altre tre campagne generiche legate a prezzi, documenti e pagamenti.

Un comportamento simile è stato riscontrato per XWorm, con una campagna italiana basata sul tema preventivo e tre campagne generiche legate a ordini, consegne e preventivi. Gli allegati utilizzati erano principalmente archivi RAR, ZIP, TAR e Z.

Da segnalare anche MintLoader, protagonista della succitata campagna italiana a tema fatture diffusa tramite caselle PEC compromesse, e VipKeylogger, con due campagne italiane e una generica che hanno sfruttato i temi prezzi e contratti, veicolando file RAR.

Si registra inoltre Copybara, diffuso attraverso una campagna italiana a tema bancario che ha sfruttato SMS contenenti link per il download di un APK malevolo.

Altre famiglie rilevate sono state AsyncRat, Lokibot, QuasarRAT, PlugX, ScreenConnect e Lumma Stealer, distribuite con allegati ZIP, RAR, HTA, 7Z e HTML. Queste ultime hanno fatto leva soprattutto sui temi documenti, aggiornamenti e ordini.

Phishing della settimana

Nel complesso, questa settimana sono stati 24 i brand presi di mira dalle campagne di phishing.

Tra i più sfruttati spiccano ING, PagoPA e DHL, segno che banche, servizi di pagamento e logistica restano i settori preferiti dai criminali informatici.

Non sono mancate inoltre campagne di phishing generiche, legate a servizi di webmail senza alcun marchio specifico, che confermano come la sottrazione di credenziali di posta elettronica continui a essere un obiettivo prioritario.

Formati e canali di diffusione

L’analisi dei formati di file utilizzati nelle campagne malevole osservate in Italia nell’ultima settimana mette in evidenza la netta prevalenza degli archivi compressi.

ZIP e RAR sono risultati il formati più utilizzatìi, con nove campagne complessive. A seguire troviamo HTML, protagonista di tre episodi, mentre TAR e LZH sono comparsi due volte ciascuno. Più sporadico l’impiego di altri formati, tra cui Z, XLSX, PDF, HTA, JS, DOCX, APK, 7Z e GZ, ognuno sfruttato in un’unica occasione.

Per quanto riguarda i canali di diffusione, le email continuano a essere il veicolo quasi esclusivo scelto dai criminali informatici, responsabili di 76 delle campagne registrate.

In due circostanze sono stati invece usati SMS, mentre una sola campagna ha sfruttato la posta elettronica certificata.

---

---

---

https://www.securityinfo.it/2025/09/08/cert-agid-30-agosto-5-settembre-campagne-contro-inps-e-agenzia-delle-entrate/?utm_source=rss&utm_medium=rss&utm_campaign=cert-agid-30-agosto-5-settembre-campagne-contro-inps-e-agenzia-delle-entrate