Redazione RHC : 5 Settembre 2025 17:31
I criminali informatici hanno lanciato una nuova ondata di attacchi che utilizzano file SVG per distribuire pagine di phishing. Gli esperti di VirusTotal hanno segnalato che gli aggressori si spacciano per la procura colombiana, distribuendo allegati email contenenti codice JavaScript nascosto. L’analisi automatica ha rivelato comportamenti che i programmi antivirus non erano in grado di rilevare.
Il formato SWF, formalmente “deceduto” da quando Flash è stato disattivato nel 2020, continua a comparire nel traffico. In 30 giorni, VirusTotal ha ricevuto 47.812 file SWF univoci precedentemente sconosciuti e 466 di questi hanno attivato almeno un motore antivirus. In un caso, solo 3 trigger su 63 indicavano segnali “sospetti” di una vecchia vulnerabilità, ma un’analisi dettagliata ha rivelato che si trattava di un gioco complesso con rendering 3D, audio e un editor di livelli integrato.
Classi offuscate , utilizzo di RC4/AES e raccolta di informazioni di sistema sembravano allarmanti, ma erano coerenti con la logica di protezione contro cheat e modifiche. In tali artefatti non è stato rilevato alcun comportamento dannoso.
Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
SVG è l’opposto di entrambi, sia nello spirito che nell’epoca: uno standard aperto per il web e il design. Ecco perché è il preferito dagli aggressori. Negli ultimi 30 giorni, VirusTotal ha ricevuto 140.803 file SVG univoci precedentemente sconosciuti, di cui 1.442 segnalati da almeno un motore. Uno dei campioni non è stato rilevato da alcun motore, ma durante il rendering ha eseguito uno script incorporato che ha decodificato e incorporato una pagina HTML di phishing che copiava il portale del sistema giudiziario colombiano. Per renderlo più plausibile, la pagina simulava il caricamento di documenti con una barra di avanzamento e, in background, un archivio ZIP veniva scaricato e forzato. Il comportamento è stato confermato nella sandbox: elementi visivi, numeri di, “token di sicurezza” erano presenti, sebbene si trattasse solo di un’immagine SVG.
Secondo VirusTotal, questo non è un caso isolato. Una richiesta di tipo type:svg con menzione della Colombia ha restituito 44 SVG univoci, tutti privi di rilevamento antivirus, ma con le stesse tattiche: offuscamento, polimorfismo, codice “spazzatura” di grandi dimensioni per aumentare l’entropia. Allo stesso tempo, gli script contenevano ancora commenti in spagnolo come “POLIFORMISMO_MASIVO_SEGURO” e “Funciones dummy MASIVAS“, un punto vulnerabile adatto a una semplice firma YARA.
Una ricerca durata un anno ha prodotto 523 risultati. Il campione più antico era datato 14 agosto 2025, scaricato anch’esso dalla Colombia, e anch’esso non è stato rilevato. Una nuova analisi ha confermato lo stesso schema di phishing e download stealth. I primi campioni erano più grandi, circa 25 MB, poi le dimensioni sono diminuite, indicando un perfezionamento del payload.
Il canale di distribuzione era la posta elettronica, che ci ha permesso di collegare la catena in base ai metadati del mittente, agli oggetti e ai nomi degli allegati.
RedazioneLe Google dorks, sono diventate sinonimo di hacking, che può essere appreso da qualsiasi utente del World Wide Web. Anche se il termine si concentra su Google, ci sono alcuni comandi che funzionano a...
Recentemente, un avviso sul noto forum underground “DarkForum” ha riacceso i riflettori sul crescente e pericoloso mercato della compravendita di documenti d’identità rubati o falsificati. L’...
Cisco ha reso note due vulnerabilità critiche che interessano i propri firewall Secure Firewall Adaptive Security Appliance (ASA) e Secure Firewall Threat Defense (FTD), oltre ad altri prodotti di re...
Il ricercatore Nicholas Zubrisky di Trend Research ha segnalato una vulnerabilità critica nel componente ksmbd del kernel Linux che consente ad aggressori remoti di eseguire codice arbitrario con i m...
Il Dipartimento di Giustizia degli Stati Uniti e la polizia britannica hanno incriminato Talha Jubair, 19 anni, residente nell’East London, che gli investigatori ritengono essere un membro chiave di...
