Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

Nuove minacce

Update truffa: quando il malware si nasconde in finti aggiornamenti software

Home News, attualità e analisi Cyber sicurezza e privacy
Indirizzo copiato

La diffusione di falsi aggiornamenti, mediante website inject dannosi, sfrutta la fiducia degli utenti nei software legittimi, inducendoli a installare codici malevoli. Ecco come proteggersi

Pubblicato il 21 feb 2025
FakeUpdates e RansomHub: Finti aggiornamenti e website inject: come mitigare il rischio

In uno scenario delle minacce in evoluzione, guadagnano terreno i finti aggiornamenti. I website inject malevoli, con molteplici attaccanti, utilizzano questa tecnica di distribuzione dinamica di malware.

“Il rapporto di Proofpoint dimostra quanto i website inject siano diventati uno strumento chiave per la diffusione di malware”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus.

Website inject: catena di attacco in tre atti

In genere, una catena di attacco si snoda in tre atti:

  • gli inject pericolosi diretti a chi visita il sito, che frequentemente sono script JavaScript rischiosi;
  • un servizio di distribuzione del traffico (TDS) che può stabilire quale utente riceve quale payload sulla base di un ventaglio di funzionalità di filtering;
  • il payload finale che è in download dallo script.

Talora accade che a gestire l’intera catena di attacco sia lo stesso attore malevolo. Tuttavia, spesso, sono criminali differenti che gestiscono le sue varie parti.

I dettagli delle campagne di web inject

TA569 è stato, storicamente, il principale distributore di campagne di web inject, con i suoi inject SocGholish che conducono a installare malware e successivi attacchi ransomware.

Questo attore ormai è sinonimo di “falsi aggiornamenti” nella community di sicurezza. Ma a partire dal 2023 diversi imitatori hanno sfruttato lo stesso metodo di web inject e di reindirizzamento del traffico per la diffusione malware.

La convergenza di più attori, alcuni dei quali cooperano tra loro, insieme al fatto che i siti web rischiano di essere compromissi da parte di più inject in contemporanea, rende complesso il tracciamento e la classificazione degli attori delle minacce che sferrano questi attacchi.

Inoltre, i ricercatori di Proofpoint hanno identificato recentemente due nuovi threat actor, TA2726 e TA2727. Sono venditori di traffico e distributori di malware, già passati sotto osservazione in varie catene di attacchi basati su web, come campagne di siti compromessi, incluse quelle che usano esche a tema di falsi aggiornamenti. Non sono attori che sfruttano email e l’attività, che emerge nei dati delle campagne email, è connessa a siti legittimi, ma già compromessi.

“L’emergere di nuovi attori come TA2726 e TA2727, insieme alla crescente collaborazione tra gruppi di cyber criminali, rende ancora più difficile tracciare e contrastare queste minacce. L’uso di falsi aggiornamenti e il reindirizzamento del traffico basato sul sistema operativo dimostra quanto queste campagne siano sofisticate e mirate”, mette in evidenza Paganini.

Come proteggersi

Il panorama della sicurezza informatica continua a essere molto dinamico. Richiede ad aziende e organizzazioni di mantenere l’attenzione alta, adottando un approccio zero trust e misure preventive e proattive per mitigare il rischio delle minacce emergenti.

“Il metodo utilizzato dall’attore malevolo TA2727, basato sulla diffusione di falsi aggiornamenti, sfrutta la fiducia degli utenti nei software legittimi, inducendoli a installare codici malevoli. Questo fenomeno evidenzia la necessità di una maggiore consapevolezza sulla sicurezza informatica anche tra gli utenti Mac, spesso meno attenti alle minacce rispetto a quelli Windows”, conclude Paganini.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Mirella Castigli
Giornalista
Giornalista pubblicista, collabora con AgendaDigitale.eu dal 2021. Laurea in Chimica Bio-organica all’Università degli Studi di Milano (1998, tesi sulla Chimica combinatoria, relatore Prof. Umberto Valcavi), collabora con CyberSecurity360, Pagamenti Digitali e BigData4Innovation (ora ZeroUno) dal 2021. In precedenza, ha collaborato con Computer Idea e alle inchieste di Pc Magazine come freelance (2000 – 2006), alla newsletter quotidiana e settimanale di VNUnet.it (VNU B. P.) dal 2004 e di ITespresso.it (2007-2017, NetMediaEurope). Nel 2002 è stata curatrice tecnica del progetto “Linee guida per la promozione della cittadinanza digitale: E-democracy” (progetto CRC con il Ministero per l’Innovazione e le Tecnologie). Ha scritto i libri “I motori di ricerca nel caos della rete” (ShaKe, 2000); Mela marcia (AgenziaX, 2010, ripubblicato come eBook da Punto-Informatico.it); Zero Privacy (Vidèa Instant Book). Attiva nella comunità degli Hackmeeting italiani dalla fine degli anni ’90, il suo hacktivismo e la sua cultura di rete sono stati citati in “Networking: The Net as Artwork”, scritto da Tatiana Bazzichelli (Costa & Nolan, 2006 /DARC Press, 2008). Ha lavorato come redattrice per “Le Sindache d’Italia” (ALI Autonomie), Reality book (Roma, 2021). Ha collaborato con Valigia Blu nel 2011. Un suo articolo, pubblicato da AgendaDigitale.eu, è citato sul Vocabolario Treccani alla voce “disruption”.

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Crittografia post quantistica: la situazione attuale

  • commissione europea

    Crittografia post-quantistica: la tabella di marcia coordinata europea per il Q-Day

    31 Lug 2025

    di Giorgio Sbaraglia

    Condividi
  • Ransomware nel manifatturiero: la cifratura dei dati affligge le aziende colpite

  • DASHBOARD

    Attacchi ransomware alle aziende italiane oggi (in aggiornamento)

    26 Lug 2025

    di Dario Fadda

    Condividi
  • Un report QBE Italia mostra che le aziende italiane sono in perenne stato di attacco cyber

  • cyber cultura

    Il 44% delle imprese italiane ha subito un attacco. E non è un buon segnale

    10 Lug 2025

    di Giuditta Mosca

    Condividi
  • Data breach nei firewall Cisco usati da enti governativi Usa: ecco come mitigare il rischio

  • sicurezza aziendale

    Cosa ci insegna la breccia nei firewall Fortinet

    06 Mar 2025

    di Giuditta Mosca

    Condividi