È stata ribattezzata CypherLoc ed è la nuova truffa dello schermo bloccato che combina tecniche di intrusione avanzate e una buona capacità di manipolazione psicologica per indurre le vittime a contattare servizi di assistenza tecnica fraudolenti.
Si tratta, a tutti gli effetti, di uno scareware, una tipologia di attacco informatico che inganna gli utenti convincendoli che i loro dispositivi siano infetti, spingendoli a scaricare antivirus fasulli, pagare per proteggere i propri dati personali o, come in questo caso, chiamare servizi che si rivelano tutt’altro che funzionali alla sicurezza.
“CypherLoc è un caso esemplare di come lo scareware, una tecnica considerata a questo punto “datata”, continui a essere straordinariamente efficace quando viene supportata da un’ingegneria sofisticata, come in questo caso”, commenta Sofia Scozzari, CEO & Founder Hackmanac.
“Quello che colpisce di questo kit”, continua l’esperta, “è il livello di complessità tecnica (loader crittografati, esecuzione condizionale basata su hash, sostituzione dinamica della pagina a runtime, evasione attiva di sandbox e scanner) che denota un framework strutturato, non un attacco artigianale, e un gruppo organizzato, con risorse significative. È evidente che la stessa infrastruttura tecnica potrebbe essere facilmente riadattata per campagne più mirate e con implicazioni ben più pericolose. Quello che mi preoccupa maggiormente, però, sono le ripercussioni in ambito aziendale. Con 2,8 milioni di attacchi in soli cinque mesi la probabilità che tra le vittime ci siano anche dipendenti che hanno interagito con questa minaccia da dispositivi aziendali o connessi a reti corporate è concreta. In quello scenario, le conseguenze cambiano scala favorendo furto di credenziali aziendali, compromissione di ambienti e, soprattutto, esposizione ad attacchi futuri a partire dalle informazioni sottratte”.
Indice degli argomenti
CypherLoc: come funziona l’attacco
Secondo quanto riportato dai ricercatori di Barracuda Research, CypherLoc è una truffa subdola e mirata che segue una pianificazione di attacco ben precisa.
Tutto comincia con un’e-mail di phishing che, attraverso un link contenuto nel testo o in un file allegato, spinge le vittime verso una pagina web malevola: apparentemente innocua, questa contiene un codice dannoso che si attiva solo al verificarsi di determinate condizioni, quando la “pagina supera una serie di controlli di integrità crittografica”, bypassa i sistemi di sicurezza o elude gli ambienti di analisi.
In questo caso, come segnalano i ricercatori, si avvia una modalità “a schermo intero che blocca il browser, visualizza messaggi di sicurezza allarmanti e invita l’utente a contattare immediatamente l’assistenza”, segnalandogli un chiaro problema di sistema.
Una volta avviato l’attacco, infatti, le vittime si ritrovano a non poter interagire in alcun modo con il browser e a essere bombardate da una serie di input che non fanno altro che alimentare la loro preoccupazione.
Tra questi, nello specifico, i ricercatori includono suoni di avviso che vengono riprodotti ogni volta che gli utenti tentano di cliccare sulla pagina e moduli di accesso progettati per costringerli a rimanere il più a lungo possibile sulla pagina bloccata, al fine di alimentare il senso di panico.
A questo punto, alle vittime non resta altro da fare che aggrapparsi all’unica soluzione offerta dal browser: un servizio di assistenza, il cui numero di telefono viene visualizzato in maniera chiara sullo schermo. Chiamando, gli utenti si mettono in contatto con operatori in carne e ossa, che si fingono personale di supporto Microsoft.
In realtà, come sottolineano i ricercatori di Barracuda Research, la chiamata permette ai malintenzionati di prendere il controllo del dispositivo delle vittime, accedendo in maniera indisturbata a dati e informazioni di ogni genere.
Una truffa ben orchestrata, che ha permesso ai criminali di mettere a segno oltre 2 milioni di attacchi fino a ora. Una cifra decisamente preoccupante per gli esperti di sicurezza informatica.
“CypherLoc dimostra quanto le frodi online stiano diventando sempre più sofisticate e psicologiche”, commenta Pierluigi Paganini, esperto di cyber security. “Non serve installare un malware quando basta bloccare il browser, mostrare falsi avvisi e spingere la vittima a chiamare un finto supporto tecnico. Il dato più allarmante è la diffusione: secondo Barracuda, da inizio 2026 sono già stati osservati circa 2.8 milioni di attacchi, un dato impressionante che ci dà una dimensione del fenomeno. Queste campagne funzionano perché sfruttano paura e urgenza, confermando che le tecniche di ingegneria sociale restano una delle minacce più efficaci e difficili da fermare”.
Come difendersi
“Il fattore umano resta l’anello debole di qualsiasi architettura di sicurezza e gli attaccanti ne sono consapevoli”, sottolinea ancora Sofia Scozzari.
“Per questo motivo, le strategie di difesa non possono limitarsi a soluzioni tecniche, ma è necessario mitigare il fattore umano integrando programmi di formazione continua con simulazioni realistiche di scenari di attacco, incluso lo scareware, troppo spesso sottovalutato nei piani di awareness. Allo stesso tempo, è fondamentale che le policy aziendali siano adeguate e che prevedano procedure chiare su come reagire in caso di situazioni di emergenza tecnica (sia reale che apparente)”.
Considerata la minaccia, dunque, cosa possono fare utenti e aziende per difendersi ed evitare di cadere nell’ennesima trappola dei criminali informatici?
“I team di sicurezza dovrebbero assicurarsi di disporre di solide protezioni anti-phishing, per i browser e per gli endpoint, in grado di rilevare e bloccare qualsiasi comportamento sospetto degli script. La formazione degli utenti è altrettanto importante, poiché gli avvisi di sicurezza legittimi non mostrano numeri di telefono, non bloccano i browser né richiedono un intervento immediato tramite finestre pop-up”, riferiscono gli esperti di Barracuda Research.
E, considerando il livello sempre più avanzato degli attacchi informatici, gli stessi ricercatori invitano le aziende a pensare di mettere in campo “strumenti di controllo che proteggano gli utenti, non solo i dispositivi”.
Partecipa alla community
Il peggior virus è quello seduto di fronte alla tastiera.
come in tutte le circostanze analoghe, nessuno entra se non li lasciamo entrare ma, evidentemente la gente “media” ha bisogno continuamente di un pilota, di una guida, di un leader ed è qui che viene fregata, proprio per questa cronica insicurezza, questa paura di spiccare il volo da soli!….in pratica la gente si fida per paura, e lo abbiamo visto perfettamente nella rcente pandeminkiata! quindi è quasi inutile parlarne, tanto le pecorelle andranno sempre da sole e volentieri al macello….!!!!