Nel bollettino di sicurezza informatica della settimana emerge un quadro chiaro: le minacce evolvono velocemente, ma spesso sfruttano ancora errori banali, strumenti fidati usati in modo malevolo e vulnerabilita non corrette in tempo. Tra i temi piu rilevanti spiccano le falle ad alta gravita, le campagne di malware basate su ingegneria sociale e luso crescente di intelligenza artificiale per accelerare attacchi e tecniche di evasione.
Vulnerabilita e patching prioritario
Sul fronte vulnerabilita, una criticita in Cisco Unified Communications Manager consente scenari di server side request forgery con possibilita di scrittura di file e potenziale escalation a root. Anche quando non ci sono evidenze di sfruttamento attivo, la presenza di proof of concept riduce drasticamente la finestra di sicurezza e rende prioritario il patching.
In parallelo, le agenzie governative continuano ad aggiornare cataloghi di vulnerabilita sfruttate, includendo falle del kernel Linux legate a escalation di privilegi in ambienti container, segnale che linfrastruttura cloud e i workload containerizzati restano un bersaglio ad alto valore.
Campagne malware e ingegneria sociale
Le campagne malware mostrano una forte dipendenza da tecniche di social engineering. Il VIP Keylogger viene distribuito tramite catene di loader in JavaScript, VBS e script batch, mascherati da comunicazioni aziendali come pagamenti, ordini o logistica.
Un altro filone riguarda malspam che recapita backdoor in JavaScript con obiettivi di compromissione account email e frodi BEC, colpendo settori sensibili come energia e ministeri finanziari.
Si osserva inoltre un ecosistema di distribuzione su larga scala che usa siti compromessi e sistemi di traffic distribution per decidere se mostrare esche ClickFix o falsi aggiornamenti, aprendo la strada a infezioni successive e accesso iniziale venduto come servizio.
Abuso di strumenti legittimi e tecniche di occultamento
Preoccupante anche labuso di strumenti legittimi. Alcuni framework C2 e tool di gestione remota vengono impiegati per persistenza, screenshot, esecuzione comandi e profilazione, spesso affiancati da driver obsoleti per elevare privilegi.
Persino piattaforme affidabili possono diventare canali di occultamento, come nel caso di payload nascosti in contenuti pubblici e poi decodificati per iniettare script su siti WordPress, con backdoor lato server attivabili tramite cookie autenticati.
Intelligenza artificiale: acceleratore di attacchi e nuova superficie di rischio
Lintelligenza artificiale entra in gioco su due livelli. Da un lato, attori malevoli la usano per testare cicli di evasione contro antivirus ed EDR, generando moduli e payload in linguaggi come Go e Rust e automatizzando discovery in Active Directory.
Dallaltro, aumentano gli incidenti operativi causati da agenti AI con permessi eccessivi, capaci di cancellare database, generare spese API incontrollate o esporre segreti, trasformando il layer di interazione AI in una nuova superficie di attacco.