Cyberattacchi sempre più sofisticati: finte fatture ultra-realistiche in PDF nascondono malware

(Adnkronos) - I cybercriminali stanno affinando le loro tecniche di attacco, rendendo sempre più difficile distinguere le minacce digitali dalle attività legittime. È quanto emerge dall'ultimo Threat Insights Report di HP Wolf Security, che rivela come le tradizionali tecniche di phishing e le strategie "living-off-the-land" (LOTL) stiano evolvendo per aggirare gli strumenti di sicurezza basati sul rilevamento. Le tecniche LOTL, che sfruttano strumenti e funzionalità già presenti nei sistemi operativi, sono ora combinate in modi inediti, rendendo l'individuazione degli attacchi un compito complesso. Il report fornisce un'analisi dettagliata delle campagne di attacco più recenti, basata sui milioni di endpoint monitorati da HP Wolf Security. Tra le scoperte più significative spiccano tre metodi particolarmente ingegnosi.  Il primo metodo è il phishing ultra-realistico che sfrutta finte fatture Adobe Reader. Gli aggressori hanno incorporato un "reverse shell" (uno script che garantisce il controllo del dispositivo) in una piccola immagine SVG, mascherata da un file PDF di Adobe Acrobat Reader estremamente verosimile, completo di barra di caricamento fittizia. Per ostacolare ulteriormente l'analisi, il download del file è stato limitato alle sole regioni di lingua tedesca. Il report ha inoltre scoperto che gli aggressori stanno nascondendo codici maligni all'interno di file immagine. Utilizzando file Microsoft Compiled HTML Help camuffati da documenti di progetto, i cybercriminali hanno occultato un payload XWorm nei pixel dell'immagine. Questo payload viene successivamente estratto per avviare una catena di infezione in più fasi, che include l'uso di PowerShell per cancellare ogni traccia una volta che i file sono stati scaricati ed eseguiti.  "I cybercriminali oggi adottano strategie sempre più sofisticate per mimetizzarsi all'interno delle attività quotidiane degli utenti, sfruttando strumenti legittimi, file dall'aspetto familiare e tecniche invisibili ai controlli tradizionali. Poiché le minacce sono sempre più difficili da intercettare con i soli strumenti di rilevamento tradizionali, è fondamentale adottare un approccio di sicurezza multilivello, capace di isolarle e contenerle prima che possano causare danni reali. In un ambiente digitale sempre più complesso, HP Wolf Security nasce proprio con questo obiettivo: proteggere dispositivi ed endpoint in modo efficace e trasparente, senza interferire con la produttività, aiutando persone e aziende a muoversi in modo sicuro e garantendo continuità operativa" ha dichiarato Giampiero Savorelli, VP e AD HP Italy. Infine, il report ha rilevato una recrudescenza del Lumma Stealer, un malware molto attivo che viene distribuito tramite archivi IMG. Sfruttando le tecniche LOTL, questi allegati riescono a eludere i filtri di sicurezza e a sfruttare i sistemi fidati. Nonostante un'azione delle forze dell'ordine nel maggio 2025, il gruppo criminale ha continuato a operare, registrando nuovi domini e ricostruendo la propria infrastruttura. "Gli aggressori non stanno reinventando la ruota, ma stanno perfezionando le loro tecniche," ha commentato Alex Holland, Principal Threat Researcher di HP Security Lab. "Stiamo assistendo a una combinazione sempre maggiore di strumenti 'living-off-the-land' e all'uso di tipi di file meno evidenti, come le immagini, per eludere il rilevamento. È un approccio semplice, veloce e che spesso passa inosservato proprio perché è così elementare."  Secondo Dr. Ian Pratt, Global Head of Security for Personal Systems di HP Inc., le tecniche LOTL sono particolarmente difficili da contrastare per i team di sicurezza. "Si è bloccati tra l'incudine e il martello: o si limita l'attività, creando attrito per gli utenti, o la si lascia aperta, rischiando che un attaccante si insinui," ha spiegato Pratt. "Anche il miglior sistema di rilevamento può fallire, per questo è essenziale una difesa in profondità che includa il contenimento e l'isolamento delle minacce prima che possano causare danni." I dati del report, che analizza il periodo da aprile a giugno 2025, indicano che almeno il 13% delle minacce identificate da HP Sure Click ha eluso uno o più scanner di email gateway. I file di archivio sono stati il tipo di delivery più diffuso (40%), seguiti da eseguibili e script (35%), con una netta preferenza per i file .rar (26%), suggerendo che gli aggressori sfruttano la fiducia riposta in software comuni come WinRAR per evitare sospetti. ---tecnologiawebinfo@adnkronos.com (Web Info)