Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 15 Luglio 2025 13:58
Una nuova forma di attacco digitale chiamata RenderShock ha colpito i sistemi Windows aziendali Non richiede clic o l’apertura di allegati: tutto avviene completamente in background, tramite meccanismi di anteprima e indicizzazione affidabili integrati nel sistema operativo stesso. A differenza dei malware classici, RenderShock utilizza le cosiddette superfici di esecuzione passive, ovvero servizi che vengono eseguiti automaticamente ed elaborano i file senza l’intervento dell’utente. Tra questi collegamenti vulnerabili figurano i pannelli di anteprima di Explorer, gli scanner antivirus, i servizi di indicizzazione e gli strumenti di sincronizzazione cloud.
L’idea principale dell’attacco è quella di utilizzare processi di sistema affidabili per elaborare file palesemente dannosi. È sufficiente che un file di questo tipo finisca in una cartella disponibile per l’anteprima o l’indicizzazione, perché il meccanismo di infezione venga immediatamente attivato. Questo può accadere se il file finisce nella posta aziendale, su un’unità condivisa, in una cartella cloud o tramite un’unità flash. Anche il semplice passaggio del cursore sul file può portare a un tentativo di connessione a un server remoto.
RenderShock funziona secondo uno schema chiaramente strutturato in cinque fasi. Innanzitutto, viene creato un file dannoso, che può essere un documento, un’immagine, un collegamento. In seguito, gli aggressori inseriscono tali file in posizioni in cui i sistemi hanno la certezza di rilevarli. Successivamente, l’attivazione automatica avviene quando il file interagisce con uno dei componenti passivi del sistema. A questo punto inizia la raccolta di informazioni, ad esempio inviando richieste DNS o catturando hash NTLM per rubare le credenziali. La fase finale è l’esecuzione di codice remoto o l’ulteriore penetrazione nell’infrastruttura.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il pericolo particolare di RenderShock è che l’attacco si maschera come un’attività standard dei processi di sistema. I processi explorer.exe, searchindexer.exe o l’anteprima dei documenti di Microsoft Office eseguono “azioni normali” e rimangono inosservati dalla maggior parte dei sistemi di sicurezza. La maggior parte degli antivirus aziendali non monitora l’attività di rete di tali processi, il che significa che non possono reagire in tempo.
Un esempio mostra come un file LNK infetto all’interno di un archivio ZIP possa forzare Windows Explorer a scaricare un’icona tramite SMB da un server remoto. Il sistema trasmette automaticamente i dati di autenticazione, anche se l’utente non ha aperto nulla. Tali azioni avvengono istantaneamente e in modo occulto.
Il nuovo schema RenderShock dimostra chiaramente come anche le operazioni di routine e apparentemente sicure stiano diventando vulnerabili negli ambienti aziendali odierni. Le organizzazioni che si affidano ad anteprime integrate e indicizzazione automatica dovrebbero riconsiderare le proprie pratiche di sicurezza.
Gli esperti raccomandano di disabilitare le anteprime dei file, limitare il traffico SMB in uscita, rafforzare le impostazioni di sicurezza di Office e monitorare le attività atipiche dei processi relativi alle anteprime. RenderShock mette in discussione i principi fondamentali della fiducia nei propri sistemi e richiede un approccio completamente nuovo all’igiene digitale nelle aziende.
RedazioneMalgrado le difficoltà geopolitiche significative, il settore degli spyware mercenari resta una minaccia adattabile e persistente; in questo contesto, il noto fornitore Intellexa prosegue l’espansi...
Secondo Eurostat nel 2023 solo il 55% dei cittadini dell’Unione Europea tra i 16 e i 74 anni possedeva competenze digitali almeno di base, con forti differenze tra paesi: si va da valori intorno all...
Cloudflare ha registrato un’interruzione significativa nella mattina del 5 dicembre 2025, quando alle 08:47 UTC una parte della propria infrastruttura ha iniziato a generare errori interni. L’inci...
Una campagna sempre più aggressiva, che punta direttamente alle infrastrutture di accesso remoto, ha spinto gli autori delle minacce a tentare di sfruttare attivamente le vulnerabilità dei portali V...
Dietro molte delle applicazioni e servizi digitali che diamo per scontati ogni giorno si cela un gigante silenzioso: FreeBSD. Conosciuto soprattutto dagli addetti ai lavori, questo sistema operativo U...
