Ransomware e malware diffusi con un falso messaggio d’errore
ClickFix è oggi il secondo vettore di attacco più rilevato dopo il phishing, ed è responsabile di quasi l’8% di tutti gli attacchi bloccati nella prima metà del 2025.
Minacce Android in aumento, ESET contribuisce allo smantellamento di due malware-as-a-service. Il ransomware rende meno, tra instabilità e calo di credibilità.
Ransomware e altri malware stanno diventando sempre più diffusi e sofisticati.
ESET ha pubblicato il nuovo Threat Report, che riassume le principali tendenze emerse dai dati di telemetria ESET e dalle analisi condotte dai ricercatori dell’azienda, nel periodo compreso tra dicembre 2024 e maggio 2025. Tra gli sviluppi più significativi del semestre si segnala ClickFix,. Un nuovo e ingannevole vettore d’attacco che ha registrato un’impennata superiore al 500% rispetto al secondo semestre 2024. ClickFix è oggi il secondo vettore di attacco più rilevato dopo il phishing, ed è responsabile di quasi l’8% di tutti gli attacchi bloccati nella prima metà del 2025.
ClickFix
Gli attacchi ClickFix sfruttano un falso messaggio d’errore che induce la vittima a copiare, incollare ed eseguire comandi malevoli sul proprio dispositivo. Questo tipo di attacco colpisce tutti i principali sistemi operativi, inclusi Windows, Linux e macOS.
Jiří Kropáč, Director of Threat Prevention Labs di ESET L’elenco delle minacce associate a ClickFix si allunga ogni giorno: infostealer, ransomware, trojan per accesso remoto, cryptominer, strumenti di post-exploitation e persino malware personalizzati sviluppati da gruppi legati a Stati-nazione.
Anche l’ambito degli infostealer ha subito variazioni significative. Con il progressivo declino di Agent Tesla, ha preso piede SnakeStealer (noto anche come Snake Keylogger). Ormai diventato il malware per il furto di informazioni più frequentemente rilevato da ESET. SnakeStealer è in grado di registrare i tasti digitati, sottrarre credenziali salvate, catturare schermate e prelevare i dati copiati negli appunti.
Parallelamente, ESET ha partecipato a importanti operazioni internazionali di contrasto contro due minacce malware-as-a-service estremamente attive: Lumma Stealer e Danabot. Prima dello smantellamento, l’attività legata a Lumma Stealer era cresciuta del 21% rispetto al semestre precedente. Mentre Danabot aveva registrato un incremento ancora più marcato, pari al 52%. Dati che confermano l’urgenza e l’efficacia delle azioni di contrasto.
Ransomware e malware
Lo scenario legato al ransomware ha registrato una crescente instabilità, con conflitti interni tra gruppi rivali che hanno colpito diversi operatori. Incluso il principale ransomware-as-a-service, RansomHub. Secondo i dati del 2024, mentre il numero complessivo di attacchi e gruppi attivi è aumentato, i pagamenti dei riscatti sono in calo. Un segnale che potrebbe riflettere da un lato il successo delle operazioni di smantellamento, dall’altro l’impatto negativo delle truffe interne (exit scam) e la conseguente perdita di fiducia nella possibilità di ottenere il ripristino dei dati da parte delle vittime.
Sul fronte Android, i rilevamenti di adware sono aumentati del 160%, in gran parte a causa di Kaleidoscope, un nuovo malware sofisticato che adotta una strategia evil twin per diffondere app dannose. Una volta installate, queste app inondano i dispositivi di pubblicità intrusive, compromettendone le prestazioni.
Nello stesso periodo, le frodi basate sulla tecnologia NFC sono cresciute di oltre 35 volte. Trainate da campagne di phishing e tecniche di relay attack sempre più ingegnose. Sebbene i volumi assoluti siano ancora contenuti, la crescita esponenziale evidenzia quanto rapidamente si stiano evolvendo le modalità di attacco basate su NFC.
Le analisi di ESET sul malware GhostTap rivelano come questo strumento venga utilizzato per sottrarre i dati delle carte di pagamento. Questi vengono poi caricati su portafogli digitali controllati dagli attaccanti, consentendo pagamenti contactless fraudolenti in tutto il mondo. In alcuni casi, vere e proprie “fabbriche di frode” gestiscono numerosi telefoni in parallelo per scalare l’attacco.
SuperCard X
SuperCard X, invece, è una versione semplificata e minimale del furto NFC in modalità malware-as-a-service. Si presenta come un’app apparentemente innocua legata alla tecnologia NFC ma, una volta installata, acquisisce e trasmette in tempo reale i dati delle carte di pagamento. Consentendo incassi immediati agli attaccanti.
