Redazione RHC : 5 Settembre 2025 17:31
I criminali informatici hanno lanciato una nuova ondata di attacchi che utilizzano file SVG per distribuire pagine di phishing. Gli esperti di VirusTotal hanno segnalato che gli aggressori si spacciano per la procura colombiana, distribuendo allegati email contenenti codice JavaScript nascosto. L’analisi automatica ha rivelato comportamenti che i programmi antivirus non erano in grado di rilevare.
Il formato SWF, formalmente “deceduto” da quando Flash è stato disattivato nel 2020, continua a comparire nel traffico. In 30 giorni, VirusTotal ha ricevuto 47.812 file SWF univoci precedentemente sconosciuti e 466 di questi hanno attivato almeno un motore antivirus. In un caso, solo 3 trigger su 63 indicavano segnali “sospetti” di una vecchia vulnerabilità, ma un’analisi dettagliata ha rivelato che si trattava di un gioco complesso con rendering 3D, audio e un editor di livelli integrato.
Classi offuscate , utilizzo di RC4/AES e raccolta di informazioni di sistema sembravano allarmanti, ma erano coerenti con la logica di protezione contro cheat e modifiche. In tali artefatti non è stato rilevato alcun comportamento dannoso.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
SVG è l’opposto di entrambi, sia nello spirito che nell’epoca: uno standard aperto per il web e il design. Ecco perché è il preferito dagli aggressori. Negli ultimi 30 giorni, VirusTotal ha ricevuto 140.803 file SVG univoci precedentemente sconosciuti, di cui 1.442 segnalati da almeno un motore. Uno dei campioni non è stato rilevato da alcun motore, ma durante il rendering ha eseguito uno script incorporato che ha decodificato e incorporato una pagina HTML di phishing che copiava il portale del sistema giudiziario colombiano. Per renderlo più plausibile, la pagina simulava il caricamento di documenti con una barra di avanzamento e, in background, un archivio ZIP veniva scaricato e forzato. Il comportamento è stato confermato nella sandbox: elementi visivi, numeri di, “token di sicurezza” erano presenti, sebbene si trattasse solo di un’immagine SVG.
Secondo VirusTotal, questo non è un caso isolato. Una richiesta di tipo type:svg con menzione della Colombia ha restituito 44 SVG univoci, tutti privi di rilevamento antivirus, ma con le stesse tattiche: offuscamento, polimorfismo, codice “spazzatura” di grandi dimensioni per aumentare l’entropia. Allo stesso tempo, gli script contenevano ancora commenti in spagnolo come “POLIFORMISMO_MASIVO_SEGURO” e “Funciones dummy MASIVAS“, un punto vulnerabile adatto a una semplice firma YARA.
Una ricerca durata un anno ha prodotto 523 risultati. Il campione più antico era datato 14 agosto 2025, scaricato anch’esso dalla Colombia, e anch’esso non è stato rilevato. Una nuova analisi ha confermato lo stesso schema di phishing e download stealth. I primi campioni erano più grandi, circa 25 MB, poi le dimensioni sono diminuite, indicando un perfezionamento del payload.
Il canale di distribuzione era la posta elettronica, che ci ha permesso di collegare la catena in base ai metadati del mittente, agli oggetti e ai nomi degli allegati.
RedazioneIl ricercatore di sicurezza Alessandro Sgreccia, membro del team HackerHood di Red Hot Cyber, ha segnalato a Zyxel due nuove vulnerabilità che interessano diversi dispositivi della famiglia ZLD (ATP ...
La Cybersecurity and Infrastructure Security Agency (CISA) e il Multi-State Information Sharing & Analysis Center (MS-ISAC) pubblicano questo avviso congiunto sulla sicurezza informatica (CSA) in ...
Un’importante interruzione dei servizi cloud di Amazon Web Services (AWS) ha causato problemi di connessione diffusi in tutto il mondo, coinvolgendo piattaforme di grande rilievo come Snapchat, Fort...
L’azienda cinese “Unitree Robotics” ha sfidato il primato della robotica statunitense con il lancio del suo umanoide H2 “Destiny Awakening”. L’umanoide unisce la forma umana a movimenti so...
Il 20 ottobre 2025 segna un anniversario importante per la storia dell’informatica: il processore Intel 80386, noto anche come i386, celebra il suo 40° compleanno. Ed è un compleanno importante! L...
