Nel nuovo panorama della cybersecurity le minacce non arrivano sempre con segnali evidenti. La settimana analizzata nel ThreatsDay Bulletin mostra un insieme di tecniche silenziose ma efficaci che sfruttano fiducia implicita, abitudini degli utenti e infrastrutture difficili da bloccare in modo definitivo.
Post-quantum cryptography e difesa “store now, decrypt later”
Tra i temi più rilevanti spicca la corsa alla post quantum cryptography. Google ha accelerato la propria timeline di migrazione al 2029, evidenziando il rischio già attuale degli attacchi store now decrypt later e la necessità di proteggere in anticipo firme digitali e autenticazione. In quest’ottica Android 17 integra protezioni basate su ML-DSA, con aggiornamenti a Verified Boot, Remote Attestation e Keystore.
AI per la vulnerability detection nello sviluppo software
Sul fronte sviluppo software cresce anche l’uso di AI per la vulnerability detection. GitHub amplia GitHub Code Security con rilevazioni basate su intelligenza artificiale che affiancano CodeQL, promettendo segnalazioni e fix suggeriti direttamente nel flusso delle pull request, utile soprattutto dove l’analisi statica tradizionale fatica a coprire linguaggi e framework.
Malware e phishing: esche, estensioni malevole e supply chain JavaScript
Le campagne di malware e phishing continuano a evolvere. Si osservano esche basate su software pirata che distribuiscono backdoor modulari, con tecniche di manomissione della catena di fiducia tramite certificati root falsi.
Nel mondo crypto emerge un caso emblematico di estensione browser presentata come strumento di sicurezza ma progettata per svuotare wallet, raccogliendo dati e HTML delle pagine di login di piattaforme popolari.
Anche la supply chain JavaScript resta critica, con pacchetti npm malevoli in typosquatting che intercettano funzioni dove gli sviluppatori passano chiavi private e le inviano in modo invisibile a un bot Telegram.
Endpoint e accesso remoto: RMM firmati, catene fileless e minacce mobile
Dal lato endpoint e accesso remoto aumentano i raggiri con falsi inviti a riunioni Zoom, Teams o Meet che spingono a installare tool RMM firmati digitalmente, trasformati in strumenti di controllo remoto.
Parallelamente si diffondono catene fileless che usano finte notifiche legali e payload cifrati mascherati da PDF, con esecuzione in memoria e anti-VM per eludere analisi e EDR.
In ambito mobile preoccupa la presenza di backdoor a livello firmware su dispositivi Android economici, capace di inserirsi nel processo Zygote e ottenere controllo esteso del sistema.
Phishing-as-a-Service: resilienza dopo i takedown
Infine i servizi phishing as a service dimostrano resilienza: anche dopo operazioni di takedown, piattaforme e infrastrutture tornano rapidamente ai livelli precedenti, spesso senza modificare tattiche e procedure.