Con l’arrivo dell’estate e l’aumento delle prenotazioni online, i cybercriminali tornano a colpire sfruttando la stagione delle vacanze. Secondo un report pubblicato da Check Point Research (CPR), a maggio 2025 si è registrato un preoccupante incremento del 55% nei domini legati a viaggi e ferie, rispetto allo stesso mese del 2024. Su oltre 39.000 nuovi domini, uno su 21 è stato segnalato come dannoso o sospetto. Questa tendenza riflette una strategia ben pianificata da parte degli attori malevoli, che prendono di mira sia i viaggiatori in cerca di offerte, sia i proprietari di strutture presenti su piattaforme popolari come Airbnb e Booking.com. Le campagne di phishing rilevate imitano pagine ufficiali e login per rubare dati sensibili, credenziali e informazioni di pagamento.

Nel solo mese di maggio, il settore dell’ospitalità ha registrato una media di 1.834 attacchi settimanali per organizzazione, con un incremento del 48% rispetto al 2024 e del 78% rispetto a due anni fa. Le minacce non colpiscono solo i singoli utenti, ma anche grandi operatori del turismo e catene alberghiere, mettendo a rischio l’intero ecosistema del settore.

Tra i casi analizzati da CPR, spicca un sito fraudolento (clflrm-relslrlv-today[.]com) che imitava la pagina di pagamento di Airbnb, completo di logo ufficiale. Questo portale cercava di indurre le vittime a inserire i propri dati della carta di credito, rubando così le informazioni finanziarie.

Un altro caso ha coinvolto un dominio malevolo registrato a maggio, booking-lossitresn[.]com, che simulava la pagina di login per host di Booking.com. Utilizzando un finto CAPTCHA, induceva gli utenti a eseguire comandi dannosi via tastiera (Windows + R, Ctrl + V, Invio), attivando uno script PowerShell che scaricava un trojan RAT (AsyncRAT), capace di prendere il controllo remoto del dispositivo.

In parallelo, CPR ha intercettato anche una campagna e-mail indirizzata ai proprietari di strutture ricettive. I messaggi, apparentemente inviati da ospiti, invitavano a cliccare su un link riguardante un oggetto smarrito. Il collegamento portava a un sito registrato il 26 maggio (booking.resrv-id89149[.]com), progettato per imitare nuovamente il portale Booking.com. L’obiettivo: carpire credenziali di accesso tramite tecniche di ingegneria sociale sempre più sofisticate. La varietà dei messaggi e dei pulsanti suggerisce l’utilizzo di AI generativa per aggirare i filtri antispam e aumentare il realismo degli attacchi.

Check Point mette in guardia utenti e aziende: in periodi di alta attività online, come quello estivo, i cybercriminali intensificano le operazioni, approfittando dell’abitudine delle persone a compiere azioni rapide e impulsive.

Per proteggersi, CPR consiglia alcune buone pratiche:

• Prenotare solo da fonti ufficiali e digitare manualmente gli indirizzi web.

• Verificare gli URL, diffidando di domini sospetti (.today, .info).

• Attivare l’autenticazione a più fattori (MFA) per tutti gli account.

• Evitare il Wi-Fi pubblico o usare una VPN per operazioni sensibili.

• Utilizzare software di sicurezza avanzati su desktop e dispositivi mobili.

Leggi anche: “La sicurezza informatica non va in ferie“

Per l’analisi del traffico dei siti, Google Analytics è la soluzione più diffusa, ma presenta diverse criticità in termini di privacy ed etica. Il trasferimento dei dati negli Stati Uniti contrasta con il GDPR e può esporre gli utenti alla sorveglianza governativa, mentre il tracciamento invasivo e la profilazione degli utenti attraverso cookie e tecniche alternative, come il fingerprinting, sollevano preoccupazioni sulla raccolta eccessiva di dati. Inoltre, i proprietari dei siti non hanno pieno controllo sui dati, che vengono elaborati da Google e utilizzati per scopi pubblicitari. Il modello di business di Google Analytics si basa, infine, sulla monetizzazione delle informazioni raccolte ed è in contrasto con i principi di privacy by design del GDPR. Diverse autorità europee per la protezione dei dati, come quelle di Francia, Austria e Italia, hanno dichiarato problematica l’adozione di Google Analytics senza adeguate misure di protezione. Questi fattori rendono rischioso il suo utilizzo per le aziende e i professionisti che vogliono rispettare la privacy degli utenti e restare conformi alle normative europee, ma ci sono ottime alternative.

Una soluzione leggera e Open Source

Plausible Analytics è una piattaforma Open Source estone per l’analisi Web, progettata per offrire un’alternativa semplice, leggera e rispettosa della privacy a strumenti come Google Analytics. Non utilizza cookie e non raccoglie dati personali o informazioni identificabili, garantendo così la conformità alle normative sulla privacy come il GDPR e il CCPA. Tutte le misurazioni del sito vengono effettuate in modo completamente anonimo, senza l’uso di identificatori persistenti o tracciamenti incrociati tra siti o dispositivi. Plausible offre un’interfaccia intuitiva che consente di visualizzare tutte le statistiche essenziali in una singola pagina, facilitando la comprensione del traffico del sito senza la necessità di formazione specifica, e permette di monitorare metriche come le visualizzazioni di pagina, le visite uniche, la durata media della sessione e le fonti di traffico. Inoltre, supporta il tracciamento delle conversioni, l’analisi delle campagne utilizzando parametri UTM e l’integrazione con Google Search Console per una visione completa delle performance del sito. Un altro vantaggio significativo di Plausible è la leggerezza del suo script di tracciamento, che pesa meno di 1 KB. Questo riduce il peso complessivo delle pagine Web, contribuendo a tempi di caricamento più rapidi e a un’esperienza utente migliorata. Offre anche un plug-in Open Source per
WordPress.

L’interfaccia completamente in italiano, oltre alla ricca documentazione nella nostra lingua e ai numerosi strumenti forniti, rendono Vantevo uno strumento potente ma relativamente semplice da usare

Una proposta italiana

Vantevo Analytics è una piattaforma italiana concepita come alternativa a Google Analytics, con un forte focus sulla privacy degli utenti e la conformità al GDPR. La piattaforma non utilizza cookie e non raccoglie dati personali, eliminando la necessità di banner per il consenso e garantendo un monitoraggio rispettoso della
privacy. Le sue funzionalità includono l’analisi delle tendenze di traffico, il comportamento degli utenti e il monitoraggio delle conversioni. L’integrazione è facilitata da plug-in disponibili per piattaforme come WordPress e Shopify, oltre a SDK ufficiali per linguaggi come PHP e JavaScript, disponibili su GitHub. Vantevo ospita i propri server all’interno dell’Unione Europea, assicurando che i dati siano trattati in conformità con le nostre leggi, e il modello di business si basa su abbonamenti a pagamento, evitando la monetizzazione dei dati degli utenti attraverso terze parti. La sua compatibilità è ampia, grazie alla possibilità di integrarsi con qualsiasi piattaforma Web e backend. La ricca documentazione ufficiale in italiano e le risorse disponibili, come le API per registrare visualizzazioni di pagine ed eventi personalizzati lato server, facilitano l’implementazione su diversi sistemi operativi e
ambienti di sviluppo.

Leggi anche: “Hacker sfruttano Google Analytics per rubare carte di credito”

*illustrazione articolo progettata da Freepik

Il team GReAT di Kaspersky ha identificato una pericolosa campagna di cybercriminalità che sfrutta la crescente popolarità dei modelli linguistici generativi (LLM). Al centro dell’attacco c’è un malware mascherato da “DeepSeek-R1 Large Language Model”, una falsa applicazione IAper PC che inganna gli utenti promettendo l’uso offline di strumenti AI, ma in realtà installa un trojan chiamato BrowserVenom, con lo scopo di intercettare dati sensibili.

Un sito web falso che imita DeepSeek

Come si propaga la minaccia?

Il malware viene distribuito tramite un sofisticato sito di phishing che replica fedelmente la homepage di DeepSeek, un noto LLM open-source. Questo sito truffaldino viene promosso su Google Ads, sfruttando keyword mirate come “deepseek r1”, così da apparire in alto nei risultati di ricerca e attirare ignari utenti.
Una volta giunto sul sito, l’utente trova un’interfaccia convincente che propone il download di strumenti per usare l’LLM offline, come Ollama o LM Studio. Dopo aver superato un CAPTCHA e selezionato il pacchetto desiderato, il sistema avvia il download sia del software legittimo che del malware BrowserVenom. L’installazione riesce solo se l’utente dispone di privilegi di amministratore su Windows.

Le due opzioni per installare i framework LLM contenenti il malware

Il comportamento malevolo del trojan è particolarmente subdolo: modifica le impostazioni di tutti i browser presenti sul dispositivo per forzare l’uso di un proxy controllato dagli attaccanti, reindirizzando così tutto il traffico Internet e permettendo la raccolta di dati privati, come credenziali, cronologia e altre informazioni sensibili. Le infezioni confermate si sono verificate in paesi come Brasile, Cuba, Messico, India, Nepal, Sudafrica ed Egitto, ma la campagna ha tutte le caratteristiche per diventare globale.

L’esperto Lisandro Ubiedo di Kaspersky GReAT sottolinea come “l’uso offline dei modelli linguistici presenti vantaggi, soprattutto per la privacy, ma rappresenta anche una nuova superficie di attacco per i cybercriminali. Questi sfruttano la fiducia nei tool open-source per diffondere software dannosi, capaci di installare infostealer, keylogger o cryptominer sotto mentite spoglie.”

Gli esperti consigliano

Per difendersi da BrowserVenom e minacce simili, Kaspersky raccomanda agli utenti di:

• Controllare sempre l’indirizzo web dei siti da cui si scaricano strumenti AI.

• Usare solo fonti ufficiali, come ollama.com o lmstudio.ai.

• Dotarsi di soluzioni di sicurezza affidabili in grado di rilevare ed eliminare file dannosi.

• Verificare l’autenticità dei link sponsorizzati nei motori di ricerca.

• Evitare l’utilizzo di account con privilegi di amministratore, quando non necessario.

Leggi anche: “Deepseek: bersaglio su larga scala“

*illustrazione articolo progettata da SecureList

Kaspersky ha annunciato il lancio di Kaspersky eSIM Store, una nuova soluzione pensata per semplificare la connettività mobile durante i viaggi internazionali. Accessibile da web e app mobile, il servizio consente di attivare piani dati digitali in oltre 150 Paesi, scegliendo tra più di 2.000 pacchetti senza bisogno di SIM fisiche, riducendo così i costi di roaming e i rischi legati all’uso di reti Wi-Fi pubbliche non sicure.
Secondo la GSMA, entro il 2028 la metà delle connessioni mobili globali avverrà tramite eSIM. Con Kaspersky eSIM Store, l’azienda risponde a questa crescente esigenza, offrendo una piattaforma intuitiva per selezionare, acquistare, attivare e gestire piani dati in modo rapido e sicuro. La soluzione è stata sviluppata in collaborazione con BNESIM, operatore esperto di eSIM a livello globale.

Per soddisfare le esigenze di ogni viaggiatore, sono disponibili molti modi per scegliere e gestire in modo flessibile i piani dati.

Sicurezza e flessibilità in viaggio

Grazie a Kaspersky eSIM Store, chi viaggia può restare connesso senza dover acquistare SIM locali o condividere informazioni personali. Il servizio è pensato per chi vuole condividere momenti del viaggio in tempo reale o accedere a documenti di lavoro, email e videochiamate in qualsiasi momento e luogo, garantendo protezione e continuità operativa. La piattaforma permette la gestione del traffico dati in tempo reale, con notifiche per evitare di esaurire i gigabyte disponibili, e consente la programmazione dell’attivazione del piano dati prima della partenza.
La eSIM si installa una sola volta e può essere utilizzata per viaggi futuri, anche con piani attivi in più Paesi contemporaneamente.

Ampia scelta di piani per ogni esigenza

Gli utenti possono selezionare piani in base alla destinazione (nazionali, regionali o globali), alla durata (con o senza scadenza) e alle modalità di attivazione, con la massima libertà di configurazione. I piani mini-globali, per esempio, sono ideali per chi si muove all’interno di specifiche aree geografiche, mentre quelli globali offrono copertura in 122 destinazioni.
Kaspersky eSIM Store si affianca agli altri prodotti dell’azienda come Kaspersky VPN Secure Connection e Kaspersky Premium, per garantire una connessione sicura e affidabile ovunque nel mondo. Il servizio rappresenta un ulteriore passo avanti nella missione di Kaspersky di offrire strumenti che uniscano tecnologia, sicurezza e semplicità d’uso. Disponibile su Kasperskyesimstore.com e negli store mobile, Kaspersky eSIM Store è destinato a diventare un punto di riferimento per tutti coloro che viaggiano e vogliono farlo in sicurezza, senza rinunciare alla connettività.

Leggi anche: “Kaspersky protegge la posta elettronica“

*illustrazione articolo progettata da Kaspersky

Google e colossi analoghi memorizzano ogni ricerca associandola a un account o a un indirizzo IP per personalizzare i risultati e mostrare annunci mirati. Il regolamento GDPR presente in Europa impone restrizioni più severe sulla raccolta e il trattamento delle informazioni personali degli utenti, quindi la vostra cronologia delle ricerche e i dati di navigazione non vengono tracciati per creare profili dettagliati. Vale la pena, allora, di valutare i motori di ricerca europei!

Privacy e risultati senza filtri

Qwant è un motore di ricerca francese che pone al centro della sua missione la tutela della privacy degli utenti e la neutralità nei risultati di ricerca. Non traccia le vostre attività online, non memorizza le ricerche effettuate e non utilizza cookie per scopi pubblicitari. Inoltre, i risultati non sono personalizzati ma ordinati per pertinenza e i suoi algoritmi non favoriscono siti o contenuti specifici, rendendo più facile per tutti arrivare nelle prime posizioni dei risultati di ricerca. In questo modo, come sottolinea il suo sito, si evitano le gabbie di filtri che intrappolano le persone mostrando loro sempre più idee simili a quelle da cui sono partite (perché quelle contrarie vengono nascoste) o offrendo prodotti solo sulla base del loro presunto potere d’acquisto. Qwant integra anche nel motore di ricerca un modello di Intelligenza Artificiale e offre un’estensione per Chrome e una per Mozilla Firefox (dal codice Open Source) per impostarlo come motore di ricerca predefinito e bloccare i tracker online. C’è, inoltre, Qwant Lite, una versione del motore di ricerca destinata a browser più datati, dispositivi meno recenti e connessioni Internet a bassa velocità. Infine, nel novembre 2024, Qwant ha annunciato una collaborazione con il motore di ricerca tedesco Ecosia per sviluppare un indice di ricerca europeo indipendente, con l’obiettivo di ridurre ulteriormente la dipendenza dalle API di Microsoft e Google. Questa iniziativa mira a rafforzare la sovranità digitale europea e a promuovere l’innovazione tecnologica locale.

La schermata principale del motore di ricerca francese Qwant, che si focalizza sulla privacy degli utenti senza tracciare le ricerche o raccogliere dati personali. Le impostazioni permettono di modificare vari parametri e ci sono estensioni per Chrome e Firefox

Più tutela e supporto all’ecologia

Ecosia ha sede a Berlino e la sua missione principale è utilizzare i profitti derivanti dalle ricerche degli utenti per finanziare progetti di riforestazione in tutto il mondo. Ha contribuito a piantare centinaia di milioni di alberi in più di 35 Paesi, tra cui Brasile, Senegal e Indonesia. I risultati delle ricerche sono forniti principalmente da Bing, integrati con l’algoritmo proprietario di Ecosia per garantire pertinenza e qualità. Le ricerche sono criptate, non vengono memorizzate permanentemente, e l’azienda non vende dati a inserzionisti terzi. Inoltre, Ecosia non crea profili personali basati sulla cronologia delle ricerche e non utilizza strumenti di tracciamento esterni come Google Analytics. Potete impostarlo come motore di ricerca predefinito su Firefox, Chrome e altri browser scaricando l’estensione dedicata dal rispettivo app store. Per dispositivi mobili, Ecosia ha sviluppato un proprio browser basato su Chromium.

Una VPN senza VPN

Startpage è un motore di ricerca con sede nei Paesi Bassi che mette al centro la privacy degli utenti. Fa da intermediario tra voi e motori come Google e Bing tutelando la vostra riservatezza. Non memorizza gli indirizzi IP e la cronologia delle ricerche e non utilizza tracker per monitorare il comportamento online. Offre, inoltre, una modalità anonima per visitare i siti presenti nei risultati di ricerca attraverso un proxy integrato, nascondendo il vostro indirizzo IP sia su dispositivi desktop sia mobili e operando in modo simile a una VPN. Per usarla, basta fare clic sull’icona della mascherina accanto al sito che volete visitare. Dato che utilizza una connessione HTTPS protetta, consente di mantenere la privacy anche su reti non sicure, come quelle di aeroporti, stazioni e locali pubblici.

Leggi anche: “Il pericolo corre sul browser”

*illustrazione articolo progettata da Freepik

Check Point Research (CPR) ha scoperto una nuova e sofisticata operazione di spionaggio informatico condotta dal gruppo APT Stealth Falcon, attivo nel cyberspionaggio almeno dal 2012. L’operazione ha sfruttato una vulnerabilità zero-day di Windows (CVE-2025-33053), fino ad allora sconosciuta e sfruttata attivamente contro obiettivi strategici. Dopo la segnalazione, Microsoft ha rilasciato una patch il 10 giugno 2025 durante il consueto Patch Tuesday. L’attacco, altamente mirato, è stato rilevato nel marzo 2025 contro un’importante organizzazione del settore difesa in Turchia, ed è stato condotto tramite un file di collegamento (URL) camuffato da documento PDF. Il file attivava in modo silenzioso un malware, abusando del comportamento nativo delle API Windows e sfruttando una condivisione remota WebDAV.

Attacco silenzioso e invisibile

Il file di collegamento fungeva da trigger iniziale della catena di infezione, facendo leva su un tool di sistema legittimo per eseguire codice malevolo senza alcun intervento da parte dell’utente. Questa tecnica ha permesso agli attori della minaccia di evitare il rilascio di file direttamente sul dispositivo e di sfuggire al rilevamento, utilizzando esclusivamente componenti di Windows affidabili.

L’attacco è proseguito con Horus Loader, un loader multistadio progettato per:

• Eliminare le tracce precedenti

• Bypassare i meccanismi di difesa base

• Eseguire un documento esca per distrarre la vittima

• Rilasciare il payload spyware finale in background

Il loader ha quindi installato Horus Agent, un impianto di spionaggio personalizzato basato su Mythic, un framework C2 open source noto per essere usato nei red team.

La catena di infezione

Horus Agent: il cuore dell’operazione

Scritto in C++ e costruito da zero, Horus Agent rappresenta una versione altamente furtiva e personalizzata di un agente Mythic. Include solo le funzionalità minime richieste per funzionare sulla piattaforma, ma è stato progettato per:

• Evitare analisi e rilevamento

• Eseguire comandi selezionati in modo mirato

• Facilitare il rilascio modulare di ulteriori payload

La sua struttura semplificata, unita a funzionalità avanzate anti-analisi e comunicazioni con server C2 remoti, suggerisce un’operazione con alto livello di competenza tecnica, specificamente mirata a evitare qualsiasi attività sospetta che possa attirare l’attenzione delle difese aziendali.

Il gruppo Stealth Falcon

Attribuita l’operazione a Stealth Falcon (noto anche come FruityArmor), CPR conferma il modus operandi tipico del gruppo: attacchi mirati a entità governative e strategiche nel Medio Oriente e in Africa, con uso combinato di zero-day, malware custom e tecniche di living-off-the-land. Il nome “Horus” utilizzato per il loader e l’agente spyware è un chiaro riferimento al dio egizio e simboleggia, nel contesto dell’attacco, visione strategica, sorveglianza continua e invisibilità.

Implicazioni e difese

Questo attacco evidenzia la crescente capacità degli attori APT di sfruttare vulnerabilità nascoste e di orchestrare catene di infezione altamente evasive, facendo leva su caratteristiche di sistema apparentemente innocue come WebDAV e il comportamento delle directory di lavoro di Windows. Secondo Check Point, è fondamentale che le organizzazioni adottino un approccio proattivo alla sicurezza, basato sull’osservazione dei comportamenti anomali e su un’analisi approfondita dei log.

Tra i segnali d’allarme indicati, troviamo:

• File .url o .lnk mascherati da documenti legittimi
• Connessioni anomale a server WebDAV avviate da processi Windows
• Utilizzo insolito di tool interni come iediagcmd.exe, CustomShellHost.exe
• Processi legittimi come ipconfig.exe o explorer.exe lanciati da contesti non attesi

Leggi anche: “Vulnerabilità Zero-day in Chrome”

*illustrazione articolo progettata da Check Point

IBM ha annunciato il lancio di IBM z17, l’ultima generazione del mainframe pensato per integrare nativamente l’Intelligenza Artificiale (AI) nel cuore dell’infrastruttura IT. Basato sul nuovo processore IBM Telum® II, z17 porta l’IA direttamente nei dati aziendali, con un’accelerazione di seconda generazione capace di eseguire oltre 450 miliardi di operazioni AI al giorno con una latenza di appena 1 millisecondo.

La novità principale è l’integrazione di funzionalità AI generativa e LLM su scala enterprise. Z17 permette alle aziende di valutare in tempo reale il 100% delle transazioni, con un incremento del 50% nelle operazioni di inferenza AI rispetto alla generazione precedente (z16). Il sistema è pensato per casi d’uso critici: dalla sicurezza informatica alla prevenzione delle frodi, dall’analisi delle immagini mediche alla gestione di chatbot avanzati.

Nuove funzionalità IA multi-modello

Il sistema introduce nuove funzionalità di sicurezza per proteggere i dati e strumenti che utilizzano l’IA per migliorare l’usabilità e la gestione del sistema. Tra le innovazioni più rilevanti:

• IBM Spyre™ Accelerator, disponibile dal Q4 2025, aggiungerà capacità di AI generativa al mainframe tramite scheda PCIe, permettendo di eseguire assistenti e agenti AI aziendali direttamente sulla piattaforma.

• L’integrazione di watsonx Code Assistant for Z e watsonx Assistant for Z con Z Operations Unite, consente il rilevamento automatico degli incidenti IT tramite interazioni in linguaggio naturale, migliorando la risposta agli eventi critici.

Per quanto riguarda la sicurezza, z17 consolida l’approccio “security by design”, con avanzamenti chiave:

• IBM Vault, basato su tecnologia HashiCorp, garantisce una gestione sicura dei segreti aziendali (token, chiavi, certificati) in ambienti cloud ibridi.

• Il sistema è in grado di scoprire e classificare automaticamente dati sensibili, grazie a capacità di NLP integrate nel chip Telum II.

• IBM Threat Detection for z/OS sfrutta l’AI per identificare comportamenti anomali che potrebbero indicare attacchi cyber.

Nuovo sistema operativo

L’OS z/OS 3.2, atteso per il Q3 2025, è progettato per supportare elaborazioni IA su vasta scala, anche con database NoSQL e ambienti cloud ibridi. Inoltre, la piattaforma supporta IBM Z Operations Unite, che utilizza dati operativi in formato OpenTelemetry per semplificare la gestione IT e migliorare la resilienza attraverso l’uso dell’intelligenza artificiale. Infine, IBM z17 si integra perfettamente con lo storage IBM DS8000 Gen10, offrendo prestazioni elevate, continuità operativa e un’infrastruttura sicura per la gestione di carichi critici. Con oltre 300 brevetti e il contributo di più di 100 clienti, IBM z17 rappresenta un salto generazionale nel mondo dei mainframe, portando l’IA al centro delle operazioni aziendali in modo sicuro, scalabile e integrato.

Leggi anche: “IBM acquisisce RED HAT“