Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 14 Novembre 2025 07:03
Su uno dei più noti forum russi per la compravendita di vulnerabilità e strumenti offensivi, il thread è arrivato come una normale inserzione commerciale, ma il contenuto è tutt’altro che banale. L’utente che si firma “Baiden” propone in vendita il codice sorgente di un presunto 0-day per un plugin WordPress – un difetto che, secondo l’autore, interessa migliaia di installazioni.
Nel post viene detto che la vulnerabilità permette di inviare email “senza autorizzazione” da siti vulnerabili, sia singolarmente sia in massa, con messaggi generati da un template configurabile.
L’autore dichiara di aver scoperto personalmente la falla e di aver scritto l’exploit; stima in circa 3.800-4.000 i siti colpiti. L’offerta è strutturata come un’asta: prezzo di partenza 3.500 dollari, rilanci minimi da 500, e opzione “blitz” a 6.000, con pagamento tramite garante richiesto a carico dell’acquirente.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
L’annuncio dura 48 ore.
Il formato del messaggio è tipico di quei mercati: numeri per la leva commerciale, garanzia di anonimato e metodi di pagamento che cercano di minimizzare il rischio di truffa tra venditori e compratori anonimi. Ma al di là della forma, quello che preoccupa è la natura stessa dell’oggetto in vendita: codice sorgente di un exploit che, nelle mani sbagliate, può trasformarsi in uno strumento per campagne su larga scala.
Il commercio di vulnerabilità non è un’unica cosa: è un ecosistema. Da un lato ci sono i ricercatori – alcuni più “etici”, altri interessati esclusivamente al profitto – che scoprono falle. Esiste poi una rete di broker, forum e canali privati che mettono in contatto scopritori e acquirenti: criminali informatici, gruppi che offrono servizi di attacco commerciale, e in casi estremi attori con risorse statali. I prezzi si formano in base a fattori concreti: quante installazioni sono potenzialmente sfruttabili, quanto è semplice usare l’exploit, il livello di impatto, e quanto è probabile che la falla rimanga non rilevata.
Vendere il codice sorgente – non solo un PoC, ma l’implementazione completa – incrementa il valore dell’offerta, perché permette all’acquirente di adattare, automatizzare e integrare l’exploit in campagne malevole. Forum come XSS agiscono da piazze dove queste transazioni si svolgono, spesso con meccanismi di escrow e reputazione costruiti sul tempo per “mettere in sicurezza” accordi tra anonimi.
Un exploit che consente di inviare email dal sito vulnerabile ha impatti concreti e immediati. Un sito compromesso che invia messaggi a nome del dominio legittimo aumenta drasticamente il successo di operazioni di phishing: il mittente appare autentico, i filtri antispam sono più facilmente aggirati e il tasso di vittime potenziali sale. Questo tipo di violazione può macchiare la reputazione del dominio, portare IP e nomi a finire in blacklist e compromettere la deliverability di comunicazioni legittime per settimane o mesi.
Le email veicolate possono contenere link a pagine di furto credenziali, allegati con malware o istruzioni per frodi mirate. Ma il danno non si ferma alla singola campagna: un sito compromesso può diventare punto di lancio per attacchi a clienti, partner o utenti del servizio, e può conservare backdoor che consentono accessi successivi. Se all’interno del sito sono presenti dati personali o informazioni sensibili, l’exploit può anche essere usato per esfiltrare tali dati, creando ricadute legali e finanziarie per il proprietario (pensiamo, per esempio, al GDPR in Europa).
La comparsa di un annuncio del genere è un campanello d’allarme. Non è necessario che l’exploit sia già “in libertà” per correre ai ripari: il solo fatto che qualcuno dichiari di averlo e di venderlo aumenta il rischio che arrivi nelle mani di gruppi pronti a usarlo. Per chi gestisce siti significa rivedere con priorità aggiornamenti, controlli sui plugin installati e monitoraggio dei log: volumi insoliti di email in uscita, richieste sospette a endpoint noti per l’invio di posta e cambiamenti nei file del sito meritano attenzione.
Dietro le cifre e le aste c’è una conseguenza umana: la proliferazione di exploit in mercati non regolamentati alimenta frodi, furti di identità, perdite economiche e un aumento generale della sfiducia nelle comunicazioni digitali. La disclosure responsabile rimane la via che limita i danni: segnalare la vulnerabilità al manutentore del plugin o utilizzare canali di bug bounty aiuta a chiudere la falla prima che diventi materia prima per attacchi reali.
L’annuncio su XSS ci ricorda che il cybercrimine ha ormai un mercato sofisticato, dove un difetto software diventa un prodotto commerciale. Per i proprietari dei siti, la risposta pratica è semplice quanto urgente: aggiornare, limitare le superfici di attacco e monitorare. Per il resto della società digitale resta la sfida di ridurre gli incentivi economici a questo commercio sommerso, aiutando a spostare scoperte e segnalazioni dalle piazze clandestine a canali che riparino il danno invece di moltiplicarlo.
RedazioneSviluppatori e amministratori di tutto il mondo stanno aggiornando urgentemente i propri server a seguito della scoperta di una vulnerabilità critica in React Server, che consente agli aggressori di ...
Il panorama della sicurezza informatica moderna è imprescindibile dalla conoscenza della topografia del Dark Web (DW), un incubatore di contenuti illeciti essenziale per la criminalità organizzata. ...
Dalla pubblicazione pubblica di ChatGPT nel novembre 2022, l’intelligenza artificiale (AI) è stata integrata in molti aspetti della società umana. Per i proprietari e gli operatori delle infrastru...
Un servizio di botnet chiamato Aisuru, offre un esercito di dispositivi IoT e router compromessi, per sferrare attacchi DDoS ad alto traffico. In soli tre mesi, la massiccia botnet Aisuru ha lanciato ...
Un’indagine congiunta di BCA LTD, NorthScan e ANY.RUN ha svelato uno degli schemi di hacking più segreti della Corea del Nord. Con il pretesto di un reclutamento di routine, il team ha monitorato c...
