Settimana 33: I cibercriminali ricorrono all’ingegneria sociale per diffondere i malware

Service navigation

Ricerca

Navigazione

Settimana 33: I cibercriminali ricorrono all’ingegneria sociale per diffondere i malware

19.08.2025 - La scorsa settimana sono stati segnalati all’UFCS due casi in cui i criminali hanno tentato di indurre i destinatari a installare un malware. Questi casi sono un esempio lampante di quanto siano cambiati i metodi utilizzati: Installare un malware su un computer è infatti molto più difficile oggi rispetto a qualche anno fa. I criminali ricorrono quindi sempre più spesso all’ingegneria sociale avanzata per raggiungere i loro obiettivi.

Nel primo semestre del 2025, attraverso il modulo di segnalazione pubblica, sono stati segnalati all’UFCS soltanto 182 casi legati a malware, pari a circa lo 0,4 per cento di tutte le segnalazioni ricevute in questo periodo. Questo dato così basso può essere interpretato in due modi: Xecondo un’ipotesi positiva, i meccanismi di protezione tecnica, come i programmi antivirus e i filtri antispam, sono ormai così efficaci da bloccare la maggior parte degli attacchi con malware prima ancora che questi siano compiuti, con un conseguente minor numero di segnalazioni all’UFCS. Secondo un’ipotesi negativa, gli attacchi sono ormai così sofisticati da non essere riconosciuti dalle persone colpite e non vengono quindi segnalati.

Tuttavia, gli attacchi con malware non sono spariti del tutto. Di recente, l’UFCS ha ricevuto sempre più segnalazioni di e-mail attraverso le quali si tenta di diffondere malware, come dimostrano i seguenti due esempi verificatisi nella scorsa settimana.

Finta fattura a nome di Intrum

La scorsa settimana sono stati inviati via e-mail solleciti e finte fatture a nome della società di recupero crediti Intrum. Il messaggio rimanda a una finta fattura QR inserita in allegato, da aprire per il pagamento. In realtà l’allegato non è un file PDF, ma un file HTML.

Aprendolo il destinatario viene indotto a credere che il file PDF non possa essere visualizzato perché JavaScript è disattivato.

Il messaggio di errore induce a credere che il documento non possa essere visualizzato.
Il messaggio di errore induce a credere che il documento non possa essere visualizzato.

Per attivare il Javascript, l’utente è poi invitato a premere la combinazione di tasti «Windows+R» e «Ctrl+V». Si tratta di un metodo ben noto, già trattato in una precedente retrospettiva settimanale dell’UFCS. Quando il file HTML viene caricato, uno script PowerShell dannoso viene copiato negli appunti del computer. Uno script PowerShell è un file di testo che contiene i comandi che il computer deve eseguire.

Agli utenti viene chiesto di inserire ed eseguire questo script premendo il tasto «Windows+R» e poi «Ctrl+V».
Agli utenti viene chiesto di inserire ed eseguire questo script premendo il tasto «Windows+R» e poi «Ctrl+V».

Premendo la combinazione di tasti si apre una finestra in cui è possibile eseguire i comandi. La combinazione di tasti «Ctrl+V» trasferisce lo script dannoso dagli appunti in questa finestra. Il computer si collega quindi a uno dei server degli autori dell’attacco e il malware viene scaricato e installato. 

Presunta richiesta di pagamento da parte di UBS

Un altro caso riguarda una finta richiesta di pagamento a nome di UBS: anche stavolta al destinatario viene chiesto di aprire un file allegato all’e-mail. In questo caso si tratta di un file PDF, tuttavia protetto da password. La password, però, è riportata nell’e-mail.

Il file PDF è protetto da password, presumibilmente per aggirare gli strumenti di sicurezza.
Il file PDF è protetto da password, presumibilmente per aggirare gli strumenti di sicurezza.

La procedura viene probabilmente utilizzata per aggirare i meccanismi di sicurezza come i filtri antispam e i programmi antivirus, che non possono analizzare il contenuto del file protetto da password. Dopo aver inserito la password, si apre il PDF, che fa credere che il contenuto effettivo si trovi su OneDrive.

Il PDF fa credere che un file sia memorizzato su OneDrive. Per aprire il documento occorre fare clic sul link.
Il PDF fa credere che un file sia memorizzato su OneDrive. Per aprire il documento occorre fare clic sul link.

Il link indicato comporta il download di un file di archivio contenuto in un cosiddetto file «batch», ossia un file di testo eseguibile contenente dei comandi. Una volta avviata l’esecuzione, il malware viene scaricato e installato proprio come nel primo esempio.

I due esempi mostrano come gli attacchi siano ormai complessi e strutturati in più fasi. Un semplice file eseguibile allegato a un’e-mail non è più sufficiente per infettare un computer: I criminali si affidano invece a espedienti ingegnosi per aggirare i meccanismi tecnici di protezione e indurre le vittime a fare ciò che vogliono. La prudenza e la sensibilizzazione degli utenti rimangono quindi elementi fondamentali della cibersicurezza.

Raccomandazioni

  • Non cliccate sui link contenuti nelle e-mail e negli SMS.    
  • Se aspettate un sollecito, contattate la società di recupero crediti o la cassa malati per capire se la richiesta è effettivamente giustificata. A tal fine, utilizzate i contatti presenti sui siti web ufficiali delle aziende.    
  • In caso di dubbio circa malware installati sul proprio computer, rivolgetevi a un negozio di informatica; la cosa più sicura da fare è resettare completamente il computer. Non dimenticate di effettuare prima un backup di tutti i dati personali.
  • Dopo la reinstallazione, modificate le password per tutti gli accessi online (e-mail, social network ecc.).

Numeri e statistiche attuali

Segnalazioni della scorsa settimana per categoria:

Numeri attuali

Ultima modifica 19.08.2025

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2025/wochenrueckblick_33.html