Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
Fiducia Hackerata: tool legittimi, download ufficiali e notifiche push diventano la nuova porta d’ingresso alle aziende
Il riepilogo settimanale sulla cybersecurity evidenzia un filo conduttore sempre più chiaro nelle violazioni moderne: non si tratta solo di sfruttare una vulnerabilità tecnica, ma di piegare la fiducia che aziende e utenti ripongono in strumenti legittimi e canali considerati sicuri. Gli attaccanti cercano il punto di ingresso più credibile (un tool di terze parti, un percorso di download ufficiale, un plugin, un aggiornamento o una notifica push) e da lì si muovono verso sistemi interni e dati sensibili.
Violazioni tramite servizi esterni e terze parti
Un caso emblematico riguarda una violazione che ha avuto origine dal compromesso di un servizio esterno usato in ambito aziendale. Attraverso questo passaggio, un aggressore è riuscito a ottenere accesso a un account workspace e poi a entrare in ambienti interni e variabili di ambiente non classificate come sensibili.
Il messaggio per la sicurezza cloud è chiaro: la gestione delle terze parti e delle integrazioni deve essere trattata come una superficie di attacco primaria, con controlli su OAuth token, privilegi e segmentazione degli accessi.
Ad fraud, SEO poisoning e push fraud
Nel frattempo crescono le campagne di ad fraud e truffe basate su tecniche SEO e contenuti generati con AI, capaci di spingere notizie ingannevoli nei feed e indurre gli utenti ad abilitare notifiche persistenti. Questa forma di push fraud colpisce in particolare utenti Android e Chrome e trasforma un semplice consenso in un canale di distribuzione continua di scareware e raggiri finanziari.
Supply chain software, download dirottati ed estensioni Chrome
Altri segnali importanti arrivano dalla supply chain software, come il dirottamento di pagine di download ufficiali per distribuire installer trojanizzati con catene di esecuzione a più stadi e payload in memoria utili a eludere i controlli.
Anche le estensioni Chrome restano un vettore critico: decine di componenti apparentemente funzionali possono comunicare con infrastrutture C2 per rubare dati e iniettare codice JavaScript sulle pagine visitate.
Tecniche di evasione: QEMU/VM e nuove minacce Android
Sul fronte difesa emerge anche l’uso di QEMU e macchine virtuali per nascondere attività malevole dal controllo degli endpoint, rendendo più difficile la forensics sul sistema host. In parallelo continuano a comparire nuovi Android RAT e tecniche come APK malformati per rallentare l’analisi statica e superare i controlli.