Durante l’evento “Kaspersky Horizons” tenutosi a Madrid, il team GReAT (Global Research and Analysis Team) ha presentato una nuova minaccia informatica destinata a cambiare lo scenario dei ransomware: FunkSec. Questo gruppo, attivo dalla fine del 2024, si distingue per l’integrazione massiva dell’intelligenza artificiale nei propri strumenti e tattiche. Secondo il più recente State of Ransomware Report, gli attacchi ransomware continuano a crescere, con un incremento globale dello 0,44% degli utenti colpiti rispetto all’anno precedente.

Analisi del malware

FunkSec è un esempio lampante di questa evoluzione. Il gruppo prende di mira settori strategici – tra cui governativo, tecnologico, finanziario e accademico – con operazioni rapide e su larga scala, soprattutto in Europa e Asia. A renderlo particolarmente insidioso è la sua architettura tecnica sofisticata, costruita in linguaggio Rust, che include crittografia avanzata, esfiltrazione di dati e funzioni di auto-pulizia, tutto all’interno di un unico eseguibile. Uno degli aspetti più innovativi è il meccanismo “password-gated”: il malware si attiva con diverse intensità in base alla presenza di una password. Senza password, effettua una cifratura base; con la password corretta, scatena un attacco completo, combinando cifratura e furto mirato di dati. Questo approccio rende il ransomware estremamente versatile e personalizzabile per ogni attacco.
Altro elemento distintivo è l’utilizzo diretto dell’intelligenza artificiale generativa per scrivere il codice. Analisi forensi indicano che molte parti del malware – inclusi commenti placeholder e funzioni inutilizzate – sono state generate da LLM (Large Language Models), abbassando così la soglia tecnica per sviluppare strumenti avanzati. Come osserva Marc Rivero, Lead Security Researcher di Kaspersky, l’IA sta diventando un moltiplicatore di capacità per la criminalità informatica, permettendo anche a gruppi poco esperti di produrre malware su scala industriale.

A livello economico, FunkSec adotta una strategia controcorrente: richieste di riscatto contenute, anche a partire da 10.000 dollari, combinate con la rivendita di dati rubati a terzi. Questo modello “high-volume, low-ransom” punta a moltiplicare gli attacchi, costruendo rapidamente una solida reputazione nei forum cybercriminali.

Non solo ransomware

Sul proprio Dark Leak Site il gruppo ospita strumenti come un generatore di password basato su Python per attacchi brute-force e un modulo DDoS. L’intero kit è pensato per essere usato anche da affiliati, offrendo un pacchetto plug-and-play capace di eludere oltre 50 processi di sistema, evitando il rilevamento e complicando la risposta forense. Secondo Kaspersky, FunkSec rappresenta un punto di svolta nella cybercriminalità moderna, segnando il passaggio verso malware autonomi, adattivi e alimentati dall’intelligenza artificiale. La combinazione tra sofisticazione tecnica, automazione AI, basso costo e accessibilità potrebbe portare a una nuova ondata di minacce su scala globale. I sistemi Kaspersky rilevano questa minaccia come HEUR:Trojan-Ransom.Win64.Generic.

*illustrazione articolo progettata da SecureList

Con l’estate alle porte, cresce la corsa alle offerte per prenotare viaggi e vacanze. Ma dietro alle allettanti promozioni si nasconde una nuova minaccia informatica: falsi siti di prenotazione viaggi che, attraverso banner per l’accettazione dei cookie, installano malware nei dispositivi degli utenti. A lanciare l’allarme è HP, nel suo ultimo Threat Insights Report, pubblicato da HP Wolf Security.

Cookie malevoli: il nuovo volto dell’ingegneria sociale

Secondo gli esperti di HP, gli hacker stanno approfittando della “fatica da clic” che colpisce molti utenti durante la navigazione, specialmente in contesti stressanti come la ricerca di voli o hotel. I siti truffa, esteticamente simili a noti portali come Booking.com, mostrano un finto banner per la gestione dei cookie. Un clic su Accetta avvia in realtà il download di uno script malevolo in JavaScript.
Questo semplice gesto installa XWorm, un potente trojan di accesso remoto (RAT), che consente agli attaccanti di prendere il controllo completo del dispositivo: dai file personali alla webcam, dal microfono alla possibilità di disabilitare strumenti di sicurezza o installare ulteriore malware.

Altre tecniche in crescita: documenti camuffati e MSI infetti

Il report evidenzia anche altre tecniche sempre più usate dai cybercriminali, in particolare troviamo:

• File camuffati come PDF in cartelle familiari come “Documenti” o “Download”, ma che in realtà attivano codice dannoso. L’inganno avviene tramite un file di collegamento all’interno di una cartella remota WebDAV, che inganna l’utente facendogli credere che si tratti di un file sicuro.

• Presentazioni PowerPoint malevole che si aprono a schermo intero imitando una cartella di sistema. Un clic apparentemente innocuo attiva il download di un archivio contenente uno script e un eseguibile che scaricano un payload da GitHub.

• MSI infetti (installer di Windows) sempre più usati per diffondere malware, spesso in campagne legate a ChromeLoader. Gli attaccanti utilizzano certificati di firma del codice validi per aggirare i controlli di sicurezza di Windows.

Gli esperti consigliano sempre di verificare l’indirizzo web prima di inserire dati o cliccare su banner; di diffidare da siti con grafica “sfocata” o testi poco leggibili; di utilizzare software di sicurezza avanzati e aggiornati; di evitare di scaricare file da fonti non certificate o poco familiari.

*illustrazione articolo progettata da HP

Nel 2024, la quasi totalità delle organizzazioni industriali italiane ha subito almeno un incidente informatico: è quanto emerge dalla nuova ricerca di Kaspersky dedicata alla cybersecurity nel settore manifatturiero. Secondo il report, ben il 90% degli intervistati ha riportato attacchi negli ultimi 12 mesi, e oltre un terzo si è trovato ad affrontare eventi di gravità elevata. Un dato allarmante, che conferma come il comparto industriale sia oggi un bersaglio privilegiato per i cybercriminali.
Tra le minacce più comuni spiccano malware, ransomware, attacchi DDoS e le violazioni legate al fattore umano. Oltre l’80% delle aziende ha dichiarato di aver subito tentativi di furto di proprietà intellettuale o segreti industriali. Non solo: il 57% ha subito tra due e tre interruzioni operative in un solo anno, spesso con impatti significativi sulla continuità produttiva.
Una criticità particolarmente rilevante è quella delle supply chain: l’86% dei decision maker intervistati ritiene che la propria catena di fornitura sia vulnerabile, soprattutto a causa della presenza di sistemi legacy e tecnologie obsolete. Anche i partner e i fornitori rappresentano un punto debole, spesso sfruttato dai cybercriminali per penetrare nei sistemi aziendali più strutturati.

Quali conseguenze?

Le conseguenze di un attacco informatico nel settore industriale non si limitano ai danni immediati: secondo le aziende coinvolte nello studio, le principali ripercussioni sono la compromissione della qualità del prodotto, calo dell’efficienza, interruzioni produttive, perdite finanziarie, danni reputazionali, e inadempienze normative. Il report di Kaspersky evidenzia anche una tendenza preoccupante: molte aziende si concentrano sulla reazione agli attacchi piuttosto che sulla prevenzione. Le difficoltà sono legate alla scarsa cultura della sicurezza, alla mancanza di competenze tecniche e alla difficoltà di valutare con precisione il rischio e le sue implicazioni economiche.
“La cybersecurity nel manufacturing soffre di una visione reattiva, anziché proattiva”, afferma Cesare D’Angelo, General Manager per l’Italia, Francia e Mediterraneo di Kaspersky. “È necessario un cambiamento culturale, che metta al centro prevenzione, analisi delle vulnerabilità, strumenti di protezione avanzati e formazione continua del personale”.

Cesare D’Angelo, General Manager Italy, France & Mediterranean di Kaspersky

Soluzioni adottate

Le aziende intervistate dichiarano di investire in protezione degli endpoint (23%), controllo accessi e gestione identità (22%), piani di risposta e ripristino (21%) e adeguamento normativo (24%). L’88% utilizza strumenti di threat intelligence, ma solo un terzo si ritiene in grado di interpretarne correttamente i dati. Guardando al futuro, i professionisti della sicurezza prevedono nuove sfide legate all’introduzione di tecnologie come AI, machine learning ed edge computing, che da un lato abilitano l’innovazione, ma dall’altro amplificano la superficie d’attacco. Restano inoltre criticità legate alla gestione dei sistemi obsoleti, alla complessità normativa e alla cultura della sicurezza ancora poco diffusa.

*illustrazione articolo progettata da Kaspersky

Il malware, scoperto a giugno 2025, contiene una stringa in linguaggio naturale studiata per manipolare i modelli di intelligenza artificiale e indurli a classificare il codice come non dannoso. Questa tecnica, nota come prompt injection, rappresenta un salto qualitativo nell’evoluzione delle minacce informatiche, in quanto non modifica il comportamento del codice, ma mira a ingannare direttamente l’IA durante l’analisi automatica.

Il campione, caricato su VirusTotal dai Paesi Bassi, presentava tecniche di elusione sandbox, un client TOR integrato e, soprattutto, una stringa scritta per “parlare” all’IA. Il testo, formulato come un’istruzione autoritaria, chiedeva al modello linguistico di ignorare ogni precedente comando e di rispondere con “NO MALWARE DETECTED”. L’obiettivo era bypassare i sistemi di sicurezza che utilizzano modelli linguistici di grandi dimensioni (LLM), sempre più diffusi nei flussi di lavoro di threat detection.
Il malware include una stringa C++ hardcoded, visibile nello snippet di codice qua sotto:

L’esperimento è fallito: il sistema MCP di Check Point ha riconosciuto correttamente l’attacco come tentativo di prompt injection. Tuttavia, il segnale è chiaro: gli attaccanti stanno cominciando a sfruttare le vulnerabilità logiche dei modelli IA, aprendo un fronte inedito nella lotta tra cybercrime e difesa digitale.

Secondo Check Point, questi attacchi sono destinati a perfezionarsi nel tempo, richiedendo nuove contromisure e strategie specifiche. Come in passato con le sandbox, anche per l’IA sarà necessario prevedere tattiche sempre più raffinate da parte degli aggressori. L’azienda invita quindi la comunità della sicurezza a monitorare da vicino queste tecniche emergenti e ad aggiornare tempestivamente gli strumenti di difesa.

L’integrazione dell’IA nei sistemi di cybersecurity resta fondamentale, ma è cruciale comprenderne anche i nuovi rischi. L’episodio documentato da Check Point rappresenta un primo, ma importante, campanello d’allarme.

*illustrazione articolo progettata da CheckPoint

Leggi anche: “DeepSeek: l’IA cinese fa paura“

I ricercatori di Kaspersky hanno identificato un nuovo pericoloso Trojan denominato SparkKitty, capace di spiare gli utenti Android e iOS tramite app infette distribuite su App Store, Google Play e siti web fraudolenti. Il malware sottrae immagini dallo smartphone e raccoglie informazioni sul dispositivo, potenzialmente per il furto di portafogli di criptovalute. Secondo quanto emerso, SparkKitty è stato incluso in applicazioni legate al mondo delle criptovalute e del gioco d’azzardo, nonché in una versione modificata di TikTok, scaricabile da fonti non ufficiali. Il principale obiettivo sembrano essere gli utenti del sud-est asiatico e della Cina, ma Kaspersky avverte che anche gli utenti di altri Paesi, Italia compresa, sono potenzialmente a rischio.

Kaspersky ha segnalato il malware a Google e Apple. Alcuni indizi tecnici suggeriscono un legame tra SparkKitty e SparkCat, un precedente Trojan scoperto sempre da Kaspersky su dispositivi iOS. Quest’ultimo utilizzava un modulo OCR (riconoscimento ottico dei caratteri) per individuare e rubare frasi di recupero dei wallet crittografici contenute negli screenshot.

Falso web store incluso nella presunta app TikTok

Come agisce SparkKitty su iOS

Presunta app di scambio di criptovalute 币coin, su App Store

Pagina web che imita AppStore per installare una presunta app di TikTok attraverso gli strumenti per sviluppatori

Su App Store, il malware si presentava con il nome 币coin, fingendosi un’app di gestione criptovalute. In parallelo, veniva distribuito tramite siti di phishing che imitavano l’interfaccia dell’App Store ufficiale, con versioni infette di app popolari come TikTok e giochi d’azzardo. Gli aggressori hanno sfruttato uno strumento di distribuzione aziendale legittimo per installare l’app al di fuori dei canali ufficiali, aggirando così le restrizioni imposte da Apple. Una volta installata, l’app infetta di TikTok rubava le immagini della galleria del dispositivo durante la fase di autorizzazione, inserendo nel profilo dell’utente un link a un negozio sospetto che accettava pagamenti solo in criptovalute.

Infezioni Android anche tramite Google Play

Per quanto riguarda Android, SparkKitty è stato diffuso sia attraverso store ufficiali come Google Play sia mediante file APK distribuiti su siti di terze parti. Un esempio è SOEX, un messenger con funzionalità di exchange crypto, scaricato oltre 10.000 volte dallo store ufficiale. Come accaduto su iOS, anche in questo caso l’app funzionava come descritto ma, in background, inviava le foto presenti nella galleria dello smartphone ai server degli aggressori. L’obiettivo era intercettare eventuali informazioni riservate, come le frasi seed per il recupero di wallet. I siti di distribuzione erano pubblicizzati sui social, tra cui anche YouTube, e le app erano camuffate da progetti di investimento in criptovalute, un’esca perfetta per attirare utenti ignari.

Massima allerta anche fuori dall’Asia

Sebbene le prime tracce della campagna siano legate all’Asia, gli esperti di Kaspersky mettono in guardia anche gli utenti di altre aree geografiche. Il caso di SparkKitty dimostra come anche app ufficiali o insospettabili possano diventare vettori di malware, sfruttando la fiducia degli utenti nei confronti dei marketplace ufficiali e delle app note. Il Trojan è il secondo caso noto di malware stealer su App Store individuato da Kaspersky, a conferma del fatto che neanche i dispositivi iOS sono più immuni da questo tipo di minacce.

Per ulteriori dettagli tecnici, il report completo è disponibile a questo indirizzo.

Presunta app di scambio di criptovalute, SOEX, su Google Play

*illustrazione articolo progettata da SecureList

Con l’arrivo dell’estate e l’aumento delle prenotazioni online, i cybercriminali tornano a colpire sfruttando la stagione delle vacanze. Secondo un report pubblicato da Check Point Research (CPR), a maggio 2025 si è registrato un preoccupante incremento del 55% nei domini legati a viaggi e ferie, rispetto allo stesso mese del 2024. Su oltre 39.000 nuovi domini, uno su 21 è stato segnalato come dannoso o sospetto. Questa tendenza riflette una strategia ben pianificata da parte degli attori malevoli, che prendono di mira sia i viaggiatori in cerca di offerte, sia i proprietari di strutture presenti su piattaforme popolari come Airbnb e Booking.com. Le campagne di phishing rilevate imitano pagine ufficiali e login per rubare dati sensibili, credenziali e informazioni di pagamento.

Nel solo mese di maggio, il settore dell’ospitalità ha registrato una media di 1.834 attacchi settimanali per organizzazione, con un incremento del 48% rispetto al 2024 e del 78% rispetto a due anni fa. Le minacce non colpiscono solo i singoli utenti, ma anche grandi operatori del turismo e catene alberghiere, mettendo a rischio l’intero ecosistema del settore.

Tra i casi analizzati da CPR, spicca un sito fraudolento (clflrm-relslrlv-today[.]com) che imitava la pagina di pagamento di Airbnb, completo di logo ufficiale. Questo portale cercava di indurre le vittime a inserire i propri dati della carta di credito, rubando così le informazioni finanziarie.

Un altro caso ha coinvolto un dominio malevolo registrato a maggio, booking-lossitresn[.]com, che simulava la pagina di login per host di Booking.com. Utilizzando un finto CAPTCHA, induceva gli utenti a eseguire comandi dannosi via tastiera (Windows + R, Ctrl + V, Invio), attivando uno script PowerShell che scaricava un trojan RAT (AsyncRAT), capace di prendere il controllo remoto del dispositivo.

In parallelo, CPR ha intercettato anche una campagna e-mail indirizzata ai proprietari di strutture ricettive. I messaggi, apparentemente inviati da ospiti, invitavano a cliccare su un link riguardante un oggetto smarrito. Il collegamento portava a un sito registrato il 26 maggio (booking.resrv-id89149[.]com), progettato per imitare nuovamente il portale Booking.com. L’obiettivo: carpire credenziali di accesso tramite tecniche di ingegneria sociale sempre più sofisticate. La varietà dei messaggi e dei pulsanti suggerisce l’utilizzo di AI generativa per aggirare i filtri antispam e aumentare il realismo degli attacchi.

Check Point mette in guardia utenti e aziende: in periodi di alta attività online, come quello estivo, i cybercriminali intensificano le operazioni, approfittando dell’abitudine delle persone a compiere azioni rapide e impulsive.

Per proteggersi, CPR consiglia alcune buone pratiche:

• Prenotare solo da fonti ufficiali e digitare manualmente gli indirizzi web.

• Verificare gli URL, diffidando di domini sospetti (.today, .info).

• Attivare l’autenticazione a più fattori (MFA) per tutti gli account.

• Evitare il Wi-Fi pubblico o usare una VPN per operazioni sensibili.

• Utilizzare software di sicurezza avanzati su desktop e dispositivi mobili.

Leggi anche: “La sicurezza informatica non va in ferie“

Il team GReAT di Kaspersky ha identificato una pericolosa campagna di cybercriminalità che sfrutta la crescente popolarità dei modelli linguistici generativi (LLM). Al centro dell’attacco c’è un malware mascherato da “DeepSeek-R1 Large Language Model”, una falsa applicazione IAper PC che inganna gli utenti promettendo l’uso offline di strumenti AI, ma in realtà installa un trojan chiamato BrowserVenom, con lo scopo di intercettare dati sensibili.

Un sito web falso che imita DeepSeek

Come si propaga la minaccia?

Il malware viene distribuito tramite un sofisticato sito di phishing che replica fedelmente la homepage di DeepSeek, un noto LLM open-source. Questo sito truffaldino viene promosso su Google Ads, sfruttando keyword mirate come “deepseek r1”, così da apparire in alto nei risultati di ricerca e attirare ignari utenti.
Una volta giunto sul sito, l’utente trova un’interfaccia convincente che propone il download di strumenti per usare l’LLM offline, come Ollama o LM Studio. Dopo aver superato un CAPTCHA e selezionato il pacchetto desiderato, il sistema avvia il download sia del software legittimo che del malware BrowserVenom. L’installazione riesce solo se l’utente dispone di privilegi di amministratore su Windows.

Le due opzioni per installare i framework LLM contenenti il malware

Il comportamento malevolo del trojan è particolarmente subdolo: modifica le impostazioni di tutti i browser presenti sul dispositivo per forzare l’uso di un proxy controllato dagli attaccanti, reindirizzando così tutto il traffico Internet e permettendo la raccolta di dati privati, come credenziali, cronologia e altre informazioni sensibili. Le infezioni confermate si sono verificate in paesi come Brasile, Cuba, Messico, India, Nepal, Sudafrica ed Egitto, ma la campagna ha tutte le caratteristiche per diventare globale.

L’esperto Lisandro Ubiedo di Kaspersky GReAT sottolinea come “l’uso offline dei modelli linguistici presenti vantaggi, soprattutto per la privacy, ma rappresenta anche una nuova superficie di attacco per i cybercriminali. Questi sfruttano la fiducia nei tool open-source per diffondere software dannosi, capaci di installare infostealer, keylogger o cryptominer sotto mentite spoglie.”

Gli esperti consigliano

Per difendersi da BrowserVenom e minacce simili, Kaspersky raccomanda agli utenti di:

• Controllare sempre l’indirizzo web dei siti da cui si scaricano strumenti AI.

• Usare solo fonti ufficiali, come ollama.com o lmstudio.ai.

• Dotarsi di soluzioni di sicurezza affidabili in grado di rilevare ed eliminare file dannosi.

• Verificare l’autenticità dei link sponsorizzati nei motori di ricerca.

• Evitare l’utilizzo di account con privilegi di amministratore, quando non necessario.

Leggi anche: “Deepseek: bersaglio su larga scala“

*illustrazione articolo progettata da SecureList