Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
Cyberattacchi 2026: catene di micro-falle, rootkit Android e CloudTrail invisibile minacciano aziende e cloud
Nel nuovo bollettino di cybersecurity emergono diversi segnali chiari su come stanno cambiando gli attacchi informatici nel 2026. Il filo conduttore è la capacità degli attaccanti di concatenare vulnerabilità apparentemente piccole per ottenere impatti enormi, riducendo al minimo le tracce e sfruttando punti ciechi in cloud, software aziendali e dispositivi mobili.
Un caso rilevante riguarda Progress ShareFile, dove due falle di sicurezza possono essere combinate in una catena pre-auth per arrivare alla remote code execution. In pratica un bypass di autenticazione su un endpoint specifico può aprire la strada a un secondo bug che consente esecuzione di codice e caricamento di web shell. Con decine di migliaia di istanze esposte su internet, la gestione patch è una priorità operativa per ridurre la superficie di attacco.
Sul fronte malware Android spicca una campagna rootkit distribuita tramite oltre 50 app, mascherate da utility, gallerie e giochi. Il punto critico è lo sfruttamento di vulnerabilità Android più datate, corrette tra il 2016 e il 2021, per ottenere privilegi di root. Se l’escalation riesce, il malware può iniettare codice nelle app aperte dall’utente e sottrarre dati sensibili. La presenza di controlli anti-emulatori, anti-debugger e anti-VPN mostra un livello di maturità che rende più difficile individuare l’infezione, soprattutto su dispositivi non aggiornati.
In parallelo cresce l’attenzione sui rischi legati ad app mobili sviluppate all’estero e sulla protezione dei dati, con avvisi che sottolineano possibili abusi di permessi, raccolta contatti e archiviazione su server esterni, oltre alla possibilità di backdoor e malware persistente.
Nel cloud il tema più preoccupante è l’evasione dei log AWS CloudTrail senza ricorrere alle azioni più ovvie come StopLogging o DeleteTrail. Gli attaccanti possono usare API meno monitorate per creare zone di attività difficili da vedere, ridurre la visibilità forense e disattivare controlli di rilevamento, ottenendo una compromissione più silenziosa.
Infine la supply chain software resta un bersaglio primario, con un aumento marcato di compromissioni in ecosistemi open source e pacchetti affidabili presi in controllo per massimizzare l’impatto su pipeline CI/CD e ambienti di produzione.