HP Wolf Security, dal vibe hacking al flat-pack malware

Le ricerche di HP Wolf Security indicano che gli attaccanti si affidano all’IA per velocità e automazione, ma la qualità delle campagne malware è bassa.

HP Inc. ha pubblicato il suo ultimo Threat Insights Report, con forti indicazioni che gli attaccanti stanno utilizzando l’IA per scalare e accelerare le campagne.

Nonostante siano attività a “basso sforzo”, questi attacchi assistiti dall’IA stanno superando le difese aziendali. Il rapporto fornisce un’analisi degli attacchi informatici reali, aiutando le organizzazioni a tenere il passo con le ultime tecniche che i criminali informatici utilizzano per eludere la rilevazione e violare i PC, in un panorama della criminalità informatica in rapida evoluzione.

Script di Vibe-Hacking usando reindirizzamenti su Booking.com

Gli attaccanti utilizzano l’IA per generare script di infezione “pronti all’uso” – noti come vibe-hacking – per automatizzare la distribuzione del malware. In una campagna, un link all’interno di un PDF di fattura falsa, attiva un download silenzioso da un sito compromesso prima di reindirizzare le vittime a piattaforme affidabili, come Booking.com.

Gli hacker stanno assemblando minacce utilizzando componenti malware economici, probabilmente acquistati da forum hacker. Sebbene le esche e i payload finali cambino, i cybercriminali riutilizzano gli stessi script intermedi e i medesimi installer – permettendo loro di costruire, personalizzare e scalare rapidamente campagne con il minimo sforzo. È importante notare che non è opera di un singolo gruppo di minaccia: attori multipli e non correlati stanno usando gli stessi “mattoni da costruzione”.

 Il malware nascosto nell’attacco ‘piggyback’ e nel falso installer Teams

 Campagne malware distribuite utilizzando l’alterazione dei motori di ricerca e pubblicità dannose che promuovono siti web falsi di Microsoft Teams. Le vittime scaricano un pacchetto in cui è nascosto il malware “Oyster Loader”. Quest processo si aggiunge al legittimo processo di installazione di Teams, permettendo all’app reale di installarsi mentre l’infezione procede inosservata – dando all’attaccante il controllo backdoor del dispositivo dell’utente.

Alex Holland, Principal Threat Research presso HP Security Lab
È il classico triangolo della gestione dei progetti – velocità, qualità e costo. Quello che vediamo è che molti attaccanti ottimizzano per velocità e costi, non per qualità. Non stanno usando l’IA per alzare l’asticella, la usano per muoversi più velocemente e ridurre lo sforzo. Le campagne in sé sono basilari, ma la scomoda realtà è che funzionano ancora.

Isolando minacce che sono sfuggite agli strumenti di rilevamento sui PC – ma permettendo comunque al malware di detonare in sicurezza all’interno di container protetti – HP Wolf Security ha una visione delle tecniche più recenti utilizzate dai cybercriminali. Ad oggi, i clienti HP Wolf Security hanno cliccato su oltre 60 miliardi di allegati e-mail, pagine web e file scaricati senza alcuna violazione segnalata.

In Q4 2025, almeno il 14% delle minacce e-mail identificate da HP Sure Click ha bypassato uno o più scanner gateway e-mail. I file eseguibili sono stati il tipo di deploy più popolare (37%), seguiti da .ZIP (11%) e .DOCX (10%).

Dottor Ian Pratt, Responsabile Globale della Sicurezza per i Sistemi Personali presso HP Inc.
Gli attacchi assistiti dall’IA stanno mettendo in luce i limiti della sicurezza guidata dal rilevamento. Quando gli attaccanti possono generare e riconfezionare malware in pochi minuti, le difese basate sul rilevamento non riescono a tenere il passo. Invece di cercare di individuare ogni variante, le organizzazioni devono ridurre l’esposizione. Contenendo attività ad alto rischio – come aprire allegati non affidabili o cliccare su link sconosciuti – in un ambiente isolato, le aziende possono fermare le minacce prima che causino danni ed eliminare un’intera categoria di rischio.