Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il kit scareware CypherLoc rappresenta una minaccia critica per le aziende, con oltre 2,8 milioni di attacchi registrati nel 2026, che utilizza tecniche sofisticate per manipolare i browser, inclusi blocchi crittografici e distorzioni audio per indurre panico e compromettere la sicurezza dell'utente.
Gli esperti di threat intelligence hanno scoperto una campagna di manipolazione dei browser attiva nel panorama digitale globale. Nello specifico, i ricercatori hanno identificato il kit scareware CypherLoc come uno tra i principali motori di truffe online relative al supporto tecnico. Dall’inizio del 2026, gli attori malintenzionati hanno lanciato circa 2,8 milioni di attacchi utilizzando questa infrastruttura. Di conseguenza, i team di sicurezza devono istruire immediatamente la propria forza lavoro su queste frodi aggressive basate sul Web.
Per cominciare, la sequenza dell’attacco inizia con un’e-mail di phishing ingannevole. Questo messaggio indirizza l’utente a una pagina di destinazione dannosa tramite un collegamento incorporato. Inizialmente, la pagina web sembra completamente innocua o mostra una schermata vuota. Tuttavia, un trigger nascosto all’interno del codice viene eseguito in condizioni ambientali specifiche.
Inoltre, il payload dannoso rimane crittografato finché il dispositivo della vittima non supera specifici controlli di convalida.
Ad esempio, il codice viene decrittografato solo quando la pagina viene aperta nelle giuste condizioni: quando è presente l’hash del frammento URL richiesto e la pagina supera una serie di controlli di integrità crittografica. In alternativa, se uno scanner web automatizzato apre il collegamento senza il token corretto, lo script dell’exploit si rifiuta di attivarsi. Invece, la pagina reindirizza a un’interfaccia vuota e benigna per nasconderla dagli strumenti di analisi automatizzati.
Successivamente, una volta che la convalida ha dato esito positivo, il sistema avvia il kit scareware CypherLoc in modalità di esecuzione completa. La pagina Web originale si cancella immediatamente per visualizzare un’interfaccia di avviso di sicurezza altamente manipolativa. Inoltre, lo script disabilita i menu contestuali standard, assume la modalità a schermo intero e nasconde il cursore del mouse. Questo comportamento aggressivo intrappola completamente la vittima all’interno dell’applicazione browser per indurre ansia.
Quest avvisi vengono riprodotti automaticamente ogni volta che un utente intrappolato fa clic in un punto qualsiasi del layout. Questo bombardamento audio continuo degrada rapidamente le capacità di elaborazione del browser. Di conseguenza, l’utente riscontra un ritardo significativo nell’applicazione, rafforzando la narrativa inventata di un’infezione da virus.
Successivamente, la schermata di falso avviso mostra l’indirizzo IP pubblico della vittima per creare panico. Il kit rende inoltre i moduli di accesso non funzionali per aumentare l’illusione di un tracciamento attivo del sistema.
Alla fine, l’intero schermo spinge gli utenti a chiamare una linea telefonica di assistenza fraudolenta. Il rapporto sulle minacce riassume che “CypherLoc fa affidamento sulla furtività e sulla preoccupazione degli utenti, utilizzando il browser per spingere le vittime a truffare se stesse.”
Se un utente esperto tenta di aprire gli strumenti di sviluppo del browser per indagare, la piattaforma lancia contromisure difensive. Nello specifico, il codice attiva un ciclo continuo di ricaricamenti delle risorse e ricalcoli del layout per mandare in crash l’ambiente.
Questo “rumore” eccessivo provoca un’intensa instabilità del browser e attiva finestre di errore di sistema simulate. Pertanto, le organizzazioni devono implementare robusti filtri anti-phishing e moderne protezioni degli endpoint per mitigare in modo efficace questo vettore di minaccia.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]