Redazione RHC : 21 Novembre 2025 19:21
La campagna su larga scala TamperedChef sta nuovamente attirando l’attenzione degli specialisti, poiché gli aggressori continuano a distribuire malware tramite falsi programmi di installazione di applicazioni popolari.
Questa truffa, mascherata da software legittimo, aiuta a ingannare gli utenti e a ottenere un accesso persistente ai dispositivi. Il team Acronis sottolinea che l’attività continua: vengono scoperti nuovi file e l’infrastruttura associata rimane operativa.
Il metodo si basa sull’ingegneria sociale. Utilizza nomi di utility note, annunci con clic falsi, ottimizzazione per i motori di ricerca e falsi certificati digitali. I ricercatori Darrell Virtusio e József Gegenyi spiegano che questi elementi aumentano la fiducia negli installatori e aiutano a bypassare i meccanismi di sicurezza.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La campagna è stata soprannominata TamperedChef perché i falsi installer creati fungono da tramite per il malware omonimo. Questa attività è considerata parte di una serie più ampia di operazioni EvilAI che utilizzano esche collegate a strumenti basati sull’intelligenza artificiale.
Per dare credibilità alle app false, il gruppo di operatori utilizza certificati rilasciati a società fittizie negli Stati Uniti, a Panama e in Malesia. Quando i vecchi certificati vengono revocati, ne vengono emessi di nuovi con un nome aziendale diverso. Acronis sottolinea che questa infrastruttura assomiglia a un processo di produzione organizzato, consentendo l’emissione continua di nuove chiavi e l’occultamento di codice dannoso dietro build firmate.
È importante notare che diverse aziende hanno identificato diverse minacce sotto il nome TamperedChef: alcuni team di ricerca utilizzano la denominazione BaoLoader e il file dannoso originale con questo nome era incorporato in una falsa app di ricette sviluppata da EvilAI.
Un tipico scenario di infezione inizia con un utente che cerca manuali hardware o utility in formato PDF. I risultati contengono link pubblicitari o risultati falsificati, che rimandano a domini dell’aggressore registrati tramite NameCheap. Dopo aver scaricato ed eseguito il programma di installazione, all’utente viene presentato un contratto standard e, al termine, un messaggio di ringraziamento viene visualizzato in una nuova finestra del browser.
A questo punto, sulla macchina viene creato un file XML che incorpora nel sistema un componente JavaScript nascosto con esecuzione ritardata. Questo modulo si connette a un nodo esterno e invia gli identificatori di base del dispositivo e della sessione come pacchetto JSON crittografato e codificato tramite HTTPS.
Gli obiettivi degli operatori rimangono poco chiari. Alcune versioni del malware sono state utilizzate in campagne pubblicitarie ingannevoli, il che indica un tentativo di trarre profitto diretto. È anche possibile che l’accesso venga venduto ad altri gruppi criminali o utilizzato per raccogliere dati riservati da rivendere successivamente sui mercati ombra.
Secondo i dati di telemetria, gli Stati Uniti hanno registrato il maggior numero di infezioni. Gli attacchi hanno colpito numeri minori anche in Israele, Spagna, Germania, India e Irlanda. Le organizzazioni dei settori sanitario, edile e manifatturiero sono le più colpite. Gli esperti attribuiscono ciò al fatto che i dipendenti di queste aziende cercano regolarmente online manuali di istruzioni per attrezzature specializzate, rendendoli vulnerabili a tali trappole.
RedazioneLa campagna su larga scala TamperedChef sta nuovamente attirando l’attenzione degli specialisti, poiché gli aggressori continuano a distribuire malware tramite falsi programmi di installazione di a...
Una vulnerabilità di tipo authentication bypass è stata individuata in Azure Bastion (scoperta da RHC grazie al monitoraggio costante delle CVE critiche presente sul nostro portale), il servizio g...
Microsoft ha reso nota una vulnerabilità critica in SharePoint Online (scoperta da RHC grazie al monitoraggio costante delle CVE critiche presente sul nostro portale), identificata come CVE-2025-5924...
Il Segretario Generale del Garante per la protezione dei dati personali, Angelo Fanizza, ha rassegnato le proprie dimissioni a seguito di una riunione straordinaria tenuta questa mattina nella sala Ro...
Un impiegato si è dichiarato colpevole di aver hackerato la rete del suo ex datore di lavoro e di aver causato danni per quasi 1 milione di dollari dopo essere stato licenziato. Secondo l’accusa, i...
