4 milioni di dispositivi Apple sotto tiro! I calendari digitali alleati degli hacker criminali
Redazione RHC : 1 Dicembre 2025 10:55
I calendari digitali sono da tempo un modo pratico per tenere sotto controllo le attività quotidiane, ma una nuova ricerca di Bitsight dimostra che questo strumento familiare può trasformarsi in un vero e proprio canale di attacco.
I ricercatori di Bitsight hanno scoperto oltre 390 domini abbandonati associati alla sincronizzazione di iCalendar, che ricevevano richieste giornaliere da circa 4 milioni di dispositivi iOS e macOS. Chiunque registri nuovamente questi domini ottiene la possibilità di aggiungere furtivamente eventi ai calendari degli utenti, completi di link, file e qualsiasi altro contenuto.
Il problema è che le iscrizioni a calendari di terze parti vengono solitamente create con un solo clic, per festività, calendari di eventi, sconti o promemoria delle app. Ma la comodità comporta anche dei rischi: gli aggressori possono creare un’infrastruttura che induce gli utenti ad abbonarsi ai loro “aggiornamenti”.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.comContattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Supporta Red Hot Cyber attraverso:
- L'acquisto del fumetto sul Cybersecurity Awareness
- Ascoltando i nostri Podcast
- Seguendo RHC su WhatsApp
- Seguendo RHC su Telegram
- Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Da quel momento in poi, il dispositivo inizia automaticamente, senza l’intervento del proprietario, ad accedere regolarmente al dominio, ricevendo nuovi file .ics. Se il dominio viene registrato nuovamente dai criminali informatici, il calendario inizia a visualizzare promemoria intrusivi, link di phishing, false notifiche su software antivirus o VPN , ovvero qualsiasi cosa che possa invogliare la vittima a cliccare.
Gli esperti hanno scoperto centinaia di domini di questo tipo, molti dei quali erano collegati a milioni di indirizzi IP univoci. Le richieste provenivano chiaramente non da nuovi abbonamenti, ma da vecchi calendari dimenticati, ad esempio quelli con festività in vari paesi. Il semplice dirottamento del dominio avrebbe immediatamente creato un “canale di distribuzione” per un numero enorme di dispositivi.
Allo stesso tempo, Bitsight ha scoperto un’intera infrastruttura progettata per distribuire in massa abbonamenti dannosi: siti web hackerati caricavano di nascosto script offuscati che reindirizzavano i visitatori a false pagine CAPTCHA. Lì, le vittime venivano convinte a cliccare su “Consenti“, apparentemente per superare una procedura di verifica, ma in realtà questo attivava direttamente un abbonamento a notifiche push o eventi del calendario. Queste catene di reindirizzamento utilizzavano spesso domini .biz e .bid ed erano collegate alla famigerata campagna malware Balada Injector .
Questo non era l’unico schema. I ricercatori hanno trovato file APK e documenti PDF che conducevano alle stesse catene. Le app Android si camuffavano da giochi, sparivano dopo l’avvio e aprivano gli URL desiderati tramite WebView. I file PDF contenevano minuscoli URL che conducevano alle stesse pagine false. L’intera infrastruttura era ben organizzata: decine di servizi di hosting, centinaia di domini, migliaia di APK, certificati condivisi e una rete interconnessa di reindirizzamenti.
Nonostante l’entità del problema, la protezione è praticamente inesistente. Le soluzioni MDM non possono impedire agli utenti di aggiungere i propri abbonamenti o persino di visualizzare quelli esistenti. Scansioni, filtri e analisi antivirus sono tutti ben sviluppati per la posta elettronica, ma sono praticamente inesistenti per i calendari, che sono percepiti come uno strumento presumibilmente sicuro.
Bitsight raccomanda a utenti e aziende di controllare regolarmente gli abbonamenti attivi, di trattare link e allegati negli eventi con la stessa cautela delle email, di implementare una policy per l’utilizzo di calendari di terze parti e, ove possibile, di bloccare gli abbonamenti sospetti a livello di rete. Ma la misura più importante è aumentare la consapevolezza: un calendario non è solo uno strumento comodo, ma un altro potenziale vettore di attacco attivamente sfruttato dai criminali informatici oggi. Comprendere le tecniche di ingegneria sociale aiuterà a contrastare tali minacce.
- #hacking
- #sicurezza informatica
- attacchi informatici
- calendari digitali
- ingegneria sociale
- Malware
- phishing
- protezione dei dati
- sicurezza online
- truffe online
RedazioneLa redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.Lista degli articoli
