Nel bollettino settimanale di cybersecurity emergono diverse tendenze che confermano quanto gli attacchi informatici stiano diventando più rapidi e più difficili da intercettare. Uno dei temi più rilevanti è l’abuso del consenso OAuth. Applicazioni OAuth malevole possono presentarsi con nomi credibili e sfruttare la stanchezza da consenso degli utenti, spingendoli ad approvare permessi eccessivi. Una volta accettato, il token di accesso può essere inviato a un URL controllato dall’attaccante, consentendo accesso a email e file senza rubare la password. Questo rende fondamentale controllare le richieste di permessi e limitare la creazione di app non autorizzate nei tenant aziendali.

Sul fronte del phishing, aumentano i tentativi di takeover degli account di messaggistica come Signal e WhatsApp. Gli attori ostili non rompono la crittografia, ma convincono le vittime a consegnare codici di verifica o PIN, anche fingendosi supporto ufficiale o abusando della funzione dispositivi collegati. La sicurezza quindi dipende molto da procedure interne e formazione, soprattutto per figure sensibili come giornalisti, militari e funzionari.

In cloud si osserva un cambio di strategia: diminuiscono alcuni incidenti legati a misconfigurazioni grazie a guardrail e controlli automatici, mentre cresce lo sfruttamento di vulnerabilità in software di terze parti. Il tempo tra disclosure e sfruttamento di massa si è ridotto da settimane a pochi giorni, rendendo la gestione patch e la visibilità sugli asset critici ancora più urgenti.

Tra le tecniche di evasione spicca Zombie ZIP, un metodo basato su header ZIP malformati che possono causare falsi negativi in antivirus ed EDR, pur consentendo ad alcuni strumenti di estrazione di decomprimere comunque il contenuto. Questo scenario evidenzia quanto sia importante integrare controlli multipli su allegati compressi e catene di consegna.

Crescono anche campagne che puntano a neutralizzare le difese endpoint, come moduli EDR killer che sfruttano driver vulnerabili legittimi secondo la logica BYOVD, spesso veicolati con esche credibili come curriculum e documenti HR. Infine, si notano campagne malware che sfruttano SEO e pagine ingannevoli su repository pubblici per distribuire infostealer e backdoor, dimostrando che anche fonti percepite come affidabili possono diventare vettori di infezione.