Questa settimana la cybersecurity ha mostrato un quadro chiaro e inquietante: la fiducia è diventata la nuova superficie di attacco. Non si parla solo di malware tradizionale, ma di tecniche che sfruttano strumenti legittimi e abitudini quotidiane per ottenere accesso, rubare credenziali e monetizzare il traffico.
Estensioni del browser: dirottamento e monetizzazione
Un primo segnale arriva dalle estensioni del browser. Un gruppo di estensioni Chrome ingannevoli ha dirottato il motore di ricerca predefinito e ha instradato le query attraverso broker di monetizzazione. Il problema non è solo pubblicitario: è soprattutto un rischio privacy, perché ogni ricerca finisce a terze parti, e un rischio sicurezza, perché chi controlla il flusso può inserire phishing o download dannosi senza aggiornare il codice.
macOS: catene fileless basate su ClickFix
Sul fronte macOS cresce l’uso di catene fileless basate su ClickFix. Le vittime vengono convinte a incollare ed eseguire comandi che scaricano uno stager compresso e avviano script direttamente in memoria. Questo approccio riduce gli artefatti su disco e rende più difficile la rilevazione. I payload includono infostealer in grado di raccogliere credenziali, cookie, dati del browser e contenuti del portachiavi, oltre a funzioni di accesso remoto persistente.
Piattaforme AI e strumenti developer come vettori
Anche le piattaforme AI diventano vettori. Link di chat condivise su domini affidabili sono stati usati come passaggio per campagne di malvertising e distribuzione di malware. In parallelo emergono rischi legati agli agenti di coding e alle estensioni per sviluppatori, dove repository malevoli possono indurre l’esecuzione di comandi locali aggirando controlli di approvazione percepiti come sicuri.
Supply chain software: pacchetti npm malevoli
La supply chain software resta centrale. Pacchetti npm malevoli sono stati impiegati come dropper multipiattaforma per framework post-exploitation e per una trifecta composta da worm, miner ed exploit di escalation locale su Linux. Installare una dipendenza equivale sempre più a eseguire codice con impatti su CI/CD e ambienti di build.
Phishing in evoluzione: OAuth device code e truffe su WhatsApp
Infine il phishing evolve. Il device code phishing sfrutta flussi OAuth legittimi per autorizzare un dispositivo controllato dall’attaccante senza rubare password. Aumentano anche truffe su WhatsApp a tema viaggi e campagne mirate che usano dati reali di prenotazione per sottrarre carte di pagamento.