HP avverte: campagne malware sempre più raffinate ed efficaci
Ad oggi, i clienti HP Wolf Security hanno cliccato su oltre 55 miliardi di allegati e-mail, pagine web e file scaricati senza alcuna violazione segnalata.
HP ha pubblicato il suo ultimo Threat Insights Report, che rivela come gli aggressori stiano perfezionando le campagne con animazioni dall’aspetto professionale e servizi malware acquistabili. I ricercatori HP Threat avvertono che queste campagne combinano immagini convincenti, piattaforme di hosting ben note come Discord e kit malware regolarmente aggiornati per eludere il rilevamento da parte degli utenti e degli strumenti di rilevamento.
Il rapporto fornisce un’analisi degli attacchi informatici reali, aiutando le organizzazioni a tenere il passo con le ultime tecniche che i cybercriminali utilizzano per eludere la rilevazione e violare i PC in un panorama della criminalità informatica in rapida evoluzione. Basandosi sui milioni di endpoint che utilizzano HP Wolf Security, le campagne di rilievo identificate dal team di ricerca sulle minacce di HP includono:
Il sideloadingDLL sfugge agli scanner di sicurezza degli endpoint: gli aggressori che si spacciano per l’Ufficio del Procuratore colombiano inviano false avvertenze legali ai bersagli. L’esca indirizza gli utenti a un sito web governativo falso, che mostra un’animazione di scorrimento automatico elegante che guida i bersagli verso una “password on time”, ingannandoli e facendoli aprire il file malevolo protetto da password.
Il file – una volta aperto – avvia una cartella che include una libreria di link dinamico (DLL) nascosta e modificata. Questo installa il malware PureRAT in background, dando agli attaccanti il pieno controllo del dispositivo. In media, solo il 4% dei campioni correlati è stato rilevato dagli strumenti antivirus.
Un falso aggiornamento Adobe installa uno strumento di accesso remoto: un PDF falso a marchio Adobe reindirizza gli utenti a un sito fraudolento che finge di aggiornare il loro software di lettura PDF. Un’animazione mostra una barra di installazione che imita Adobe. Questo inganna gli utenti facendoli scaricare un eseguibile ScreenConnect modificato – uno strumento di accesso remoto legittimo – che si collega ai server controllati dagli attaccanti, così da poter dirottare il dispositivo compromesso.
Il malware su Discord evita le difese di Windows 11: gli attori di minaccia hanno ospitato il loro payload su Discord per evitare di costruire la propria infrastruttura e si sono approfittati della reputazione positiva di Discord. Prima del deployment, il malware aggiorna la protezione Memory Integrity di Windows 11 per bypassare questa funzione di sicurezza. La catena di infezione poi distribuisce Phantom Stealer, un infostealer basato su abbonamento venduto sui marketplace di hacking con funzionalità di credenziali e furto finanziario già pronte che si aggiornano frequentemente per eludere gli strumenti di sicurezza moderni.
Patrick Schläpfer, Principal Threat Researcher, HP Security Lab
Gli attaccanti stanno usando animazioni raffinate come false barre di caricamento e prompt per password per far sembrare i siti dannosi credibili e urgenti. Allo stesso tempo, si affidano a malware in abbonamento già pronti all’uso, completamente funzionali e che si aggiornano velocemente quanto software legittimo. Questo aiuta gli attori della minaccia a superare le soluzioni di sicurezza basate sul rilevamento e a superare le difese con molto meno sforzo.
Accanto al rapporto, il team di ricerca sulle minacce HP ha pubblicato un blog che analizza la minaccia degli attacchi di dirottamento dei cookie di sessione, l’uso di credenziali rubate nelle intrusioni e la proliferazione di malware infostealer. Invece di rubare password o bypassare l’autenticazione multifattore (MFA), gli attaccanti stanno dirottando i cookie che dimostrano che l’utente è già loggato, dandogli accesso immediato a sistemi sensibili. L’analisi HP dei dati sugli attacchi pubblicamente riportati ha rilevato che oltre la metà (57%) delle principali famiglie di malware nel terzo trimestre del 2025 erano rubatori di informazioni, un tipo di malware che tipicamente ha capacità di furto di cookie.
Isolando minacce che sono sfuggite agli strumenti di rilevamento sui PC – ma permettendo comunque al malware di detonare in sicurezza all’interno di container protetti – HP Wolf Security ha una visione delle tecniche più recenti utilizzate dai cybercriminali. Ad oggi, i clienti HP Wolf Security hanno cliccato su oltre 55 miliardi di allegati e-mail, pagine web e file scaricati senza alcuna violazione segnalata.
Il dottor Ian Pratt, Global Head of Security for Personal Systems presso HP Inc.
Con gli attaccanti che abusano delle piattaforme legittime, imitano brand affidabili e adottano trucchi visivi convincenti, come animazioni, anche strumenti di rilevamento potenti non rilevano alcune minacce. Le squadre di sicurezza non possono prevedere ogni attacco. Ma isolando interazioni ad alto rischio, come l’apertura di file e siti web non affidabili, le organizzazioni ottengono una rete di sicurezza che contiene minacce prima che possano causare danni, senza aggiungere attriti agli utenti.
