Redazione RHC : 27 Settembre 2025 11:14
Gli specialisti di Microsoft Threat Intelligence hanno identificato un attacco in cui gli aggressori hanno utilizzato per la prima volta l’intelligenza artificiale per mascherare il codice di phishing. L’obiettivo era rubare credenziali ad aziende negli Stati Uniti.
Il file SVG dannoso nascondeva la sua vera funzionalità dietro uno strato di terminologia pseudo-aziendale e una dashboard di analisi simulata, consentendogli di aggirare semplici controlli. L’analisi ha rivelato che la struttura del codice era insolita per la scrittura a mano ed era probabilmente generata da un modello generativo.
Le email provenivano da un account aziendale hackerato, con il campo destinatario corrispondente a quello del mittente e gli indirizzi reali inseriti in Ccn. L’allegato imitava un documento PDF, ma in realtà era un file SVG con JavaScript incorporato. Una volta aperto, il file reindirizzava la vittima a una pagina CAPTCHA che, secondo Microsoft, avrebbe poi aperto un falso modulo di accesso per raccogliere le password.
Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La caratteristica principale dell’attacco era il suo insolito offuscamento.
Elementi con nomi come “Business Performance Dashboard” erano nascosti all’interno del codice SVG, rimanendo invisibili a causa della totale assenza di trasparenza. Inoltre, la funzionalità dannosa era mascherata utilizzando una serie di termini aziendali (“fatturato”, “operazioni”, “dashboard”, “KPI”, ecc.), convertiti in simboli e comandi tramite un algoritmo multifase. Lo script reindirizzava il browser a una risorsa dannosa, avviava l’impronta digitale dell’ambiente e monitorava le sessioni.
Il sistema di analisi di Microsoft ha concluso che il codice era molto probabilmente generato da un’intelligenza artificiale. Tra i segnali c’erano nomi di funzione eccessivamente descrittivi con suffissi esadecimali, eccessiva modularità e blocchi logici ripetitivi, commenti macchinosi nello stile della documentazione aziendale e l’uso formale di costrutti XML tipici dei modelli generativi.
Nonostante la complessità del camuffamento, la campagna è stata bloccata dalla protezione cloud di Microsoft Defender. Sono state attivate euristiche basate su diversi indicatori: uso sospetto di Ccn, invio di email automatiche, un allegato SVG camuffato da PDF, un reindirizzamento al dominio di phishing kmnl[.]cpfcenters[.]de precedentemente rilevato, la presenza di logica nascosta e il rilevamento del tracciamento della sessione.
Microsoft ha sottolineato che l’uso dell’intelligenza artificiale non elimina la capacità di rilevare gli attacchi. Al contrario, il codice sintetico spesso lascia dietro di sé artefatti aggiuntivi che possono essere utilizzati per l’analisi. L’azienda consiglia agli amministratori di abilitare il controllo dei collegamenti sicuri al clic, di attivare Zero-Hour Auto Purge per isolare i messaggi già recapitati, di utilizzare browser con supporto SmartScreen e di implementare l’autenticazione a più fattori resistente al phishing tramite Microsoft Entra.
RedazioneLe Google dorks, sono diventate sinonimo di hacking, che può essere appreso da qualsiasi utente del World Wide Web. Anche se il termine si concentra su Google, ci sono alcuni comandi che funzionano a...
Recentemente, un avviso sul noto forum underground “DarkForum” ha riacceso i riflettori sul crescente e pericoloso mercato della compravendita di documenti d’identità rubati o falsificati. L’...
Cisco ha reso note due vulnerabilità critiche che interessano i propri firewall Secure Firewall Adaptive Security Appliance (ASA) e Secure Firewall Threat Defense (FTD), oltre ad altri prodotti di re...
Il ricercatore Nicholas Zubrisky di Trend Research ha segnalato una vulnerabilità critica nel componente ksmbd del kernel Linux che consente ad aggressori remoti di eseguire codice arbitrario con i m...
Il Dipartimento di Giustizia degli Stati Uniti e la polizia britannica hanno incriminato Talha Jubair, 19 anni, residente nell’East London, che gli investigatori ritengono essere un membro chiave di...
