Iscriviti al webinar gratuito per CISO del 18 Giugno: "Dove si rompono gli LLM: la OWASP Top 10 spiegata per chi deve governare il rischio AI." Scopri di più
Cyberattacchi senza Zero-Day: identità rubate, supply chain e agenti AI aprono la nuova era del phishing invisibile
Negli ultimi mesi la cybersecurity sta cambiando pelle e il bollettino delle minacce mostra un elemento comune inquietante: molti attacchi moderni non hanno bisogno di vulnerabilità zero day, ma di identità rubate, strumenti fidati e processi interni lasciati in modalità predefinita. Le campagne più efficaci puntano su supply chain, social engineering e abuso di software legittimo, con un livello di professionalità che ricorda servizi in abbonamento.
Un segnale forte arriva dal mercato degli infostealer, che alimenta attacchi basati sull’identità con credenziali, cookie di sessione e token cloud rivenduti su canali illeciti. La disponibilità di molte varianti rende semplice per i criminali scalare le operazioni e colpire aree geografiche diverse con la stessa logica: rubare identità e riutilizzarle per accessi silenziosi.
Sul fronte malware as a service emerge un RAT avanzato venduto a canone mensile elevato, progettato per furto credenziali e controllo remoto. Tra le tecniche spiccano clonazione del profilo browser e funzioni per individuare artefatti legati a criptovalute, riducendo le barriere per frodi finanziarie. In parallelo continuano le infezioni tramite catene multi stage che usano script e PowerShell in memoria per distribuire stealer e keylogger, spesso nascosti in allegati ZIP o software pirata.
La supply chain software resta un bersaglio privilegiato. La fuga di codice di un toolkit dedicato agli attacchi alla catena di fornitura evidenzia come gli aggressori possano muoversi tra registry pubblici, repository e pipeline CI/CD sfruttando credenziali sottratte e canali di comando e controllo non convenzionali. Anche l’ecosistema npm mostra tecniche di inganno come il gonfiaggio artificiale dei download per far sembrare affidabili pacchetti malevoli.
Crescono inoltre i rischi legati agli agenti AI. Esperimenti di phishing dimostrano che un agente email può inoltrare chiavi cloud e password se riceve una richiesta plausibile senza verificare l’identità del mittente. A questo si aggiungono estensioni browser che intercettano conversazioni con chatbot AI, trasformando chat e dati sensibili in un nuovo vettore di esfiltrazione.
Infine, tecniche di bypass difensivo puntano a indebolire EDR e servizi di sicurezza tramite impostazioni di sistema come policy QoS o modifiche a permessi, senza exploit. In questo scenario diventa essenziale limitare i privilegi, controllare accessi e segreti in pipeline, verificare estensioni installate e definire regole chiare su cosa gli agenti AI possono leggere e inviare.