È lunedì di nuovo.
Questa settimana il panorama delle minacce resta sorprendentemente prevedibile: integrazioni abusate, strumenti fasulli, siti infettati, gruppi di ransomware che cercano di disattivare gli strumenti di sicurezza e malware mobile che chiede troppi permessi. La parte più fastidiosa è che quasi nulla sembra davvero nuovo: credenziali deboli, download sospetti, estensioni browser con troppi diritti e siti WordPress continuano a essere usati per diffondere attacchi. Niente di estremamente creativo, solo strategie semplici, economiche e spesso efficaci.
Ecco il riepilogo di questa settimana. Prepariamoci a entrare nel caos.
minaccia della settimana
FortiBleed: oltre 80.000 dispositivi Fortinet compromessi
Una campagna di larga scala, denominata FortiBleed, ha preso di mira e compromesso firewall Fortinet FortiGate e gateway SSL VPN in tutto il mondo. Secondo le analisi, l’attività è in corso almeno da febbraio 2026 e sarebbero stati identificati oltre 80.000 dispositivi con username e password già testate da presunti attaccanti di lingua russa, che usano strumenti automatizzati in esecuzione continua. L’agenzia statunitense per la sicurezza informatica e delle infrastrutture (CISA) ha invitato i clienti Fortinet con dispositivi FortiGate a rafforzare le misure di sicurezza contro questo tipo di attività malevola. Fortinet ha inoltre indicato che gli attaccanti riutilizzano probabilmente credenziali già trapelate in incidenti precedenti, come CVE‑2026‑24858, CVE‑2025‑59718 e CVE‑2025‑59719, combinandole con tecniche di brute‑force su dispositivi che usano password deboli e senza autenticazione a più fattori (MFA).
Perché è importante: se la tua organizzazione usa FortiGate o SSL VPN Fortinet, è essenziale verificare che le password siano forti, che sia attiva la MFA e che i dispositivi siano aggiornati alle ultime versioni consigliate.
principali notizie
Salesforce disattiva l’integrazione Klue dopo un’estorsione
Salesforce ha disattivato l’integrazione Klue Battlecards sulla sua piattaforma a seguito di un incidente di sicurezza che ha coinvolto l’azienda di intelligence competitiva Klue il 11 giugno 2026. In una nota, Salesforce ha spiegato che la sicurezza ha rilevato attività insolite legate all’app, che potrebbero aver portato ad accessi non autorizzati a un sottoinsieme di dati dei clienti tramite la connessione dell’app. L’azienda ha sottolineato che il problema riguarda esclusivamente la connessione dell’app Klue e non una vulnerabilità interna alla piattaforma Salesforce. Un gruppo definito Icarus avrebbe infatti compromesso e copiato dati da alcuni clienti di Klue, sfruttando credenziali legacy di un servizio di integrazione. Diversi clienti hanno pubblicamente confermato l’incidente, ma hanno anche precisato che l’impatto appare limitato.
Il Gentlemen sviluppa GentleKiller, suite EDR killer
L’operazione ransomware‑as‑a‑service (RaaS) The Gentlemen sta sviluppando e mantenendo una suite di strumenti per disabilitare le soluzioni Endpoint Detection and Response (EDR), che vengono distribuiti agli affiliati prima dell’esecuzione del criptatore. Il cuore di questa capacità è GentleKiller, un framework sviluppato internamente che esiste in otto varianti diverse, ognuna delle quali imita un prodotto legittimo e abusa di driver kernel diversi, vulnerabili o malevoli. GentleKiller è in grado di colpire oltre 400 processi appartenenti a 48 prodotti di sicurezza, tra cui CrowdStrike, SentinelOne, Microsoft Defender, Sophos, Kaspersky ed ESET.
Splunk: CVE‑2026‑20253 sfruttata in produzione
Il team di sicurezza di Splunk ha confermato che la vulnerabilità critica CVE‑2026‑20253 in Splunk Enterprise è stata sfruttata in modo limitato. Nei sistemi precedenti alle versioni 10.2.4 e 10.0.7, un utente non autenticato può creare o troncare file arbitrari attraverso un endpoint del servizio PostgreSQL sidecar, poiché quest’ultimo non prevede controlli di autenticazione. Un’analisi indipendente descrive la vulnerabilità come particolarmente pericolosa perché permette di passare da accesso non autenticato a operazioni di file arbitrarie e, concatenando più debolezze, a esecuzione remota di codice (RCE). Un compromesso riuscito può esporre log sensibili, credenziali, allarmi di sicurezza e dati operativi, offrendo agli attaccanti una base per persistenza, evasione delle difese e movimento laterale.
Exploit hardware usbliter8 su chip Apple A12 e A13
I ricercatori di Paradigm Shift hanno pubblicato i dettagli di un exploit, usbliter8, che permette di ottenere esecuzione di codice arbitrario nel SecureROM dei chip Apple A12 e A13. La vulnerabilità risiede nel controller USB Synopsys DWC2, trattandosi di un difetto hardware non patchabile. Per sfruttarla è però necessario l’accesso fisico al dispositivo. Un proof‑of‑concept è stato reso pubblico.
Operazione Endgame: socgHolish e 15.000 siti WordPress ripuliti
Autorità olandesi, insieme a partner di Canada, Germania e Stati Uniti, hanno interrotto l’infrastruttura associata alla botnet SocGholish e rimosso il malware da quasi 15.000 siti WordPress. L’operazione fa parte di Endgame, un’iniziativa internazionale avviata nel 2024 per contrastare botnet e infrastrutture criminali. Sono stati chiusi 106 server legati a SocGholish e sono stati avvisati i proprietari dei siti per aggiornare il CMS, cambiare credenziali e eliminare account sospetti.
Campagna di clipper cripto che finge popolarità
Un malware che ruba criptovalute sta colpendo possessori di asset cripto e giocatori online, presentando strumenti fasulli come sniper bot e predictor di crash‑game, con GitHub stellati artificiali, download gonfiati e tutorial YouTube narrati da AI. Il malware, scritto in Rust, colpisce Windows e macOS e utilizza pagine di phishing WordPress come hub per indirizzare le vittime ai download.
Trojan Android Rokarolla: banking, sovraimpressioni e controllo schermo
Un nuovo trojan Android, Rokarolla, si diffonde tramite siti malevoli e si spaccia per app popolari come TikTok o Google Chrome. È progettato per colpire 217 app bancarie e di criptovalute mostrando schermate di login fasulle e sfruttando 137 comandi per controllare completamente il dispositivo. Può rubare credenziali dello schermo di blocco, contatti e SMS, monitorare lo schermo per catturare dati WhatsApp, fare screenshot usando i servizi di accessibilità, dirottare transazioni in cripto, usare keylogger e nascondere la propria icona dalla schermata iniziale. Blocca anche chiamate, sovraimpressioni ingannevoli, disattiva Google Play Protect e si spaccia per questo servizio per bypassare le restrizioni di Android.
cve in evidenza
Le vulnerabilità continuano a emergere ogni settimana e il tempo tra patch e exploit si riduce. Tra quelle più critiche o già sfruttate figurano CVE‑2026‑20262 (Cisco SD‑WAN Manager), CVE‑2026‑54420 (LiteSpeed cPanel plugin), CVE‑2026‑48907 (Widget Factory per Joomla), CVE‑2026‑4020 (Gravity SMTP per WordPress), CVE‑2026‑47101, CVE‑2026‑47102, CVE‑2026‑40217, CVE‑2026‑49468 (LiteLLM), CVE‑2026‑24190 (driver NVIDIA per Windows e Linux), CVE‑2026‑48558 (SimpleHelp), CVE‑2026‑39449 (Contact Form to Any API per WordPress), CVE‑2026‑39849, CVE‑2026‑44693 (Pi‑hole FTL), CVE‑2026‑49980, CVE‑2026‑41179, CVE‑2026‑41176 (Rclone), CVE‑2026‑54157 (@lobehub/lobehub), CVE‑2026‑48746 (vllm), CVE‑2026‑48519 (Langflow), CVE‑2026‑38329 (Bludit CMS), CVE‑2026‑39949 (Cacti), CVE‑2026‑8444 (WP Review Slider Pro per WordPress), CVE‑2026‑52697 (Taskbuilder per WordPress), CVE‑2026‑52700 (WCMultiShipping per WordPress), CVE‑2026‑3326 (tema XStore per WordPress), CVE‑2026‑2418 (Login with Salesforce per WordPress), CVE‑2026‑6379 (WP Photo Album Plus per WordPress), CVE‑2026‑2446 (PowerPack per LearnDash per WordPress), CVE‑2025‑15445 (tema Restaurant Cafeteria per WordPress), CVE‑2026‑8443 (WP Review Slider Pro per WordPress), CVE‑2026‑6933 (Premmerce Dev Tools per WordPress), CVE‑2026‑9848 (WP Ticket Customer Service Software & Support Ticket System per WordPress), CVE‑2026‑52707 (tema Kastell per WordPress), CVE‑2026‑52703 (FastDup per WordPress), CVE‑2026‑52706 (JetEngine per WordPress), CVE‑2026‑27429 (tema Nifty per WordPress), CVE‑2025‑69129 (plugin WordPress & WooCommerce Scraper per WordPress), CVE‑2026‑27400 (BookPro per WordPress), CVE‑2026‑8713 (Avada Builder per WordPress), CVE‑2026‑12437–CVE‑2026‑12443 (Google Chrome), CVE‑2026‑12326, CVE‑2026‑12327, CVE‑2026‑12328 (Mozilla Firefox), CVE‑2026‑8049, CVE‑2026‑8050 (driver SignalRGB), CVE‑2026‑20266 (Splunk AI Toolkit), CVE‑2026‑41293, CVE‑2026‑43512, CVE‑2026‑42579, CVE‑2026‑42584, CVE‑2026‑43515 (Atlassian Confluence Data Center e Server), CVE‑2026‑20181, CVE‑2026‑20190 (Cisco Identity Services Engine e ISE Passive Identity Connector), CVE‑2026‑48933, CVE‑2026‑48618 (Node.js), CVE‑2026‑9862 (Fortra Core Privileged Access Manager) e molte vulnerabilità in Crawl4AI Docker API (senza CVE assegnati). Per chi gestisce infrastrutture, è fondamentale verificare quali sistemi siano colpiti e applicare le patch urgenti per prime.
webinar di sicurezza informatica
La tua azienda usa più AI di quanto credi. Ecco come proteggerla
Molti bot AI accedono ai dati sensibili aziendali senza un responsabile chiaro. Un webinar dedicato spiega come individuare questi strumenti nascosti, limitarne i permessi e riportare il controllo sulla rete prima che un punto cieco si trasformi in una grossa violazione.
Gli attacchi in tempo macchina sono arrivati. Come fermarli
Attaccanti alimentati da AI lanciano attacchi estremamente rapidi e convincenti, che superano facilmente difese pensate per il ritmo umano. Un altro webinar mostra come funzionano queste minacce e offre un piano pratico per rafforzare la rete contro gli attacchi in tempo macchina.
notizie di sicurezza informatica
Vulnerabilità critiche in estensioni Chrome SiderAI e MaxAI
Sono state divulgare falle critiche in due estensioni Chrome “side‑panel” con badge “Featured”: SiderAI (Spyder) e MaxAI (MaXSS). Grazie ai permessi richiesti, siti malevoli possono fare screenshot di qualsiasi pagina o eseguire codice arbitrario, compromettendo tutte le sessioni browser e potenzialmente rubando file dal sistema operativo. Con quasi 7 milioni di installazioni totali e senza patch disponibili, gli utenti sono invitati a rimuoverle finché i problemi non vengono risolti.
Popa: botnet su Android TV box collegata a un’azienda israeliana
La botnet Popa, che trasforma box Android TV in nodi di proxy residenziale per frodi pubblicitarie e scraping, è stata collegata a NetNut, proprietà della società israeliana quotata in borsa Alarum Technologies. Secondo le analisi, Popa è una famiglia di software residenziale che usa un SDK per trasformare i dispositivi in nodi di relay, aprendo tunnel su richiesta senza connettersi direttamente a server C2 fissi. L’SDK è stato usato anche in altri contesti commerciali, come il servizio VPN RoboVPN. Alarum e NetNut contestano le accuse, affermando che l’SDK serve solo per condividere banda e non trasforma i dispositivi in sistemi compromessi.
Ransomware Prinz Eugen: cifra file recentemente modificati
Un nuovo ransomware scritto in Go, Prinz Eugen, cifra in modo ricorsivo i file modificati di recente, usando ChaCha20‑Poly1305 con controlli di integrità e senza lasciare nota di riscatto. Si sospetta che l’accesso iniziale avvenga tramite credenziali RDP compromesse, e il binario include misure per ostacolare analisi forensi e recupero. L’attore collegato, ROOTBOY, ha già venduto dati rubati su forum criminali.
Widget Okendo compromesso in un attacco di supply chain
Il widget Okendo Reviews, usato da oltre 18.000 marchi, è stato compromesso in un attacco di supply chain in cui codice JavaScript malevolo è stato inserito nello script del widget. L’attività, rilevata il 14 maggio 2026, è stata collegata al gruppo SmartApeSG, già noto per campagne ClickFix e FakeUpdates. Lo script usava offuscamento, controlli ambientali ed esecuzione a stadi, comportandosi come un loader che preparava il terreno per i download di malware. L’obiettivo finale era mostrare prompt falsi di ClickFix per distribuire malware. Okendo ha ripristinato lo script pulito.
Siti generati da AI per diffondere SmartRAT
Domini typosquatting con contenuti generati da strumenti AI ospitano pagine che imitano banche brasiliane o promozioni ClickFix, invitando le vittime a eseguire comandi PowerShell che scaricano SmartRAT (Banana RAT). Questo trojan supporta comunicazioni C2 cifrate, controllo remoto di schermo, tastiera e mouse, furto di credenziali e persistenza tramite task pianificati e servizi Windows.
ClickFix e EtherHiding consegnano GuLoader
Un’altra catena di attacco combina un sito WordPress compromesso, EtherHiding tramite BSC Testnet, ingegneria sociale ClickFix e il caricamento di GuLoader tramite percorsi UNC, creando un flusso di intrusione che riesce a eludere molte difese tradizionali.
UnregStealer: trojan bancario latinoamericano con operatore umano
Un nuovo trojan bancario, UnregStealer, colpisce istituzioni finanziarie in America Latina. A differenza di molti trojan automatici, UnregStealer è gestito da un operatore umano che osserva le sessioni in tempo reale e attiva il payload manualmente, rendendo il malware quasi invisibile a sandbox e sistemi di rilevamento comportamentale. Le campagne partono da inganni che simulano aggiornamenti di certificati SSL, portando all’installazione di un’estensione Chrome “Certificado SSL Chrome” che ruba e trasmette dati. Il gruppo è di lingua spagnola e opera in due fasi: uno strato web‑inject che intercetta informazioni sensibili, seguito da un RAT che concede pieno controllo remoto.
Pushka: malware Android con RAT e overlay
Pushka è un trojan Android che combina frodi in‑device e capacità RAT, abusando dei servizi di accessibilità per mostrare sovraimpressioni di phishing e rubare dati. È stato osservato per la prima volta nel settembre 2025 in vari paesi europei e usa app TV fasulle come esca. Il dropper usa PackageInstaller.Session API per installare il payload principale in modo silenzioso, bypassando le restrizioni di Android 13 e imitando il flusso di installazione del Play Store.
Consolidamento dell’ecosistema ransomware nel primo trimestre 2026
I dati indicano che l’ecosistema ransomware si sta riconcentrando attorno a pochi operatori più capaci, dopo un periodo frammentato. LockBit, Qilin e The Gentlemen dominano il panorama, con i primi 10 gruppi che coprono il 71% delle vittime del primo trimestre 2026.
Trojan bancario basato su estensione browser per banche australiane
Un trojan sofisticato, distribuito come estensione browser, mira a clienti di banche australiane. A differenza dei tradizionali virus, opera in modo invisibile all’interno della sessione autenticata del browser, alterando saldi, storico transazioni e limiti di trasferimento, intercettando OTP, rubando cookie di sessione e mantenendo un collegamento C2 WebSocket in tempo reale. La modalità di distribuzione non è ancora chiara, ma il fatto che agisca direttamente nella sessione autenticata neutralizza molte protezioni tradizionali.
Operazione Escaneo: attacchi a governo e finanza messicani
Un’operazione sofisticata, denominata Escaneo, colpisce enti governativi e finanziari dell’America Latina. Un server esposto ha rivelato gli strumenti e la catena di exploit usata dagli attaccanti, che includono un motore di ricognizione distribuito (Kimera), un arsenale di exploit per dispositivi perimetrali (Fortinet, Ivanti, Cisco), toolkit portatili per il movimento laterale e un’infrastruttura C2 multi‑strato che sfrutta Neo‑reGeorg, Chisel e router Cisco compromessi. Il gruppo, attribuito con media certezza a PanchoVilla (aka MexicanMafia), opera su Windows e Linux, compromette sistemi SAP ERP e Oracle, estrae materiali crittografici e dataset Active Directory e mantiene accesso persistente con meccanismi ridondanti.
Falla di 27 anni nella stack PPP di OpenBSD
È stata scoperta una falla di autenticazione bypass nella stack PPP di OpenBSD, presente dal luglio 1999. Il problema risiede nella funzione sppp_pap_input, che usa campi di lunghezza controllati dall’attaccante come parametro di confronto per la validazione delle credenziali. Inviando campi nome e password di lunghezza zero, la funzione bcmp restituisce 0, bypassando completamente l’autenticazione PAP. Una correzione è stata rilasciata il 14 giugno 2026.
Abuso di funzioni AI in SQL Server 2025 per C2
Ricercatori hanno mostrato come le funzioni AI native di Microsoft SQL Server 2025, come sp_invoke_external_rest_endpoint, CREATE EXTERNAL MODEL e AI_GENERATE_EMBEDDINGS, possano essere usate per esfiltrazione dati e canali C2, se un attaccante ha accesso con ruolo sysadmin. Per contrastare il rischio, è necessario rivedere i logins, auditare l’uso di xp_cmdshell, SQL Agent Jobs e CLR Assemblies e impostare avvisi su cambiamenti in sys.external_models o sull’abilitazione di sp_invoke_external_rest_endpoint.
ErrTraffic: TDS come servizio per ClickFix
ErrTraffic è un sistema di distribuzione del traffico (TDS) offerto come malware‑as‑a‑service, che inietta framework JavaScript in siti WordPress compromessi per indirizzare il traffico verso lures ClickFix. Il framework usa la tecnica EtherHiding come dead drop resolver per nascondere l’infrastruttura C2 nella blockchain. Sekoia ha identificato due cluster principali: Analytics, che interagisce con Polygon per recuperare Vidar Stealer, e Beer, che distribuisce stealer come Vidar, Stealc, Remus e Salat. Il cluster Analytics usa anche annunci di malvertising che imitano strumenti AI (es. Google Antigravity, OpenAI ChatGPT) per diffondere DanaBot e Hijack Loader. Un attore di nome LenAI vende il framework per 380 dollari al mese, usando attacchi di credential stuffing per ottenere accesso a account WordPress e installare backdoor PHP come plugin must‑use.
CV malevoli e Xctdoor
Una campagna usa file shortcut Windows (LNK) camuffati da CV che, una volta eseguiti, mostrano documenti decoy e avviano script che usano DLL side‑loading per distribuire Xctdoor, un backdoor Go attribuito ad attori nordcoreani. L’attacco sfrutta pianificatore di attività e programmi di avvio per la persistenza, eseguendo il malware tramite un eseguibile legittimo.
Bypass di Microsoft Entra Conditional Access Policies
È stato scoperto un modo per bypassare le policy Conditional Access di Microsoft Entra sfruttando i flussi di Nested App Authentication (BroCI). Questa tecnica permette di ottenere token di accesso per Microsoft Graph API, ma richiede un token di refresh ottenuto tramite phishing. Microsoft ha già rilasciato una correzione.
GitBait: phishing serverless contro istituti finanziari messicani
Un’infrastruttura modulare di phishing, GitBait, sfrutta GitHub Pages e la API SheetBest per raccogliere credenziali bancarie in modo serverless. Il gruppo‑IB stima che la campagna sia attiva da tre anni e colpisca almeno una dozzina di banche messicane. Le vittime ricevono URL fraudolenti tramite SMS, app di messaggistica, email o social, che le indirizzano a pagine che imitano il flusso di autenticazione bancaria. I dati raccolti vengono spesso esportati a un bot Telegram, oltre alla modalità SheetBest. Sono stati identificati oltre 100 domini.
Bomba di email e RAT basato su Deno
Un’ampia campagna di flood di email viene usata come pretesto per convincere dipendenti a rispondere a “chiamate Microsoft Teams” da un finto supporto IT. Le vittime scaricano un archivio malevole da un portale self‑service falso, contenente un RAT modulare basato su Deno e un framework proxy TCP in quattro file JavaScript. Il backdoor principale si collega a un endpoint C2 WebSocket ospitato da CloudFront, registra metadati del vittima e agisce come proxy per il traffico interno, trasformando l’host compromesso in un punto di pivot.
strumenti di sicurezza informatica
Aether
Aether è uno strumento open‑source per la ricerca di minacce su Windows che ispeziona la memoria attiva dei processi in esecuzione per individuare payload nascosti, iniezioni di codice e comportamenti malevoli. Usa un modello di validazione a più livelli per ridurre i falsi positivi durante le risposte agli incidenti.
AzureRedOps
AzureRedOps è un toolkit open‑source per la sicurezza offensiva che semplifica le attività di red team su Microsoft Entra ID e Azure. Riunisce in un’unica interfaccia a riga di comando token management multi‑flusso, enumerazione della directory e azioni post‑exploitation su Microsoft Graph.
riepilogo finale e consiglio rapido
La lezione di questa settimana è semplice: molti attacchi non richiedono mosse da genio, ma solo una singola app di cui ci si fida troppo, un login vecchio, un plugin rumoroso o un utente che cerca una scorciatoia. Il punto di ingresso è spesso noioso: una password debole, un’estensione non necessaria, un sito WordPress trascurato.
Cosa fare subito:
- Rivedi password e MFA su tutti i dispositivi critici (firewall, VPN, VPN aziendali, database, sistemi di logging).
- Aggiorna e pulisci siti WordPress e altri CMS, rimuovi plugin e temi non necessari.
- Disinstalla estensioni browser non essenziali, soprattutto quelle con permessi ampi e nessuna necessità reale.
- Limita l’accesso fisico a dispositivi critici e monitora i dispositivi collegati via USB.
- Forma gli utenti sulle trappole di phishing, CV sospetti, prompt di “aggiornamento” e strumenti “troppo buoni per essere veri”.
deep dive tecnico
Per gli operatori di sicurezza e gli amministratori di sistema, la settimana evidenzia diversi pattern ricorrenti che meritano un approfondimento:
Autenticazione e gestione credenziali: FortiBleed, OpenBSD PPP, UnregStealer e altri casi mostrano come il re‑uso di credenziali e l’assenza di MFA siano ancora vettori di primo livello. L’implementazione di MFA su tutti i sistemi critici, la rotazione periodica delle password e l’uso di gestori password o vault centralizzati sono passi indispensabili.
Sfruttamento di channel e protocolli legittimi: da PostgreSQL sidecar in Splunk, a EtherHiding sulla blockchain, fino a SQL Server 2025 con funzioni AI, gli attaccanti stanno spostando il focus verso canali già presenti nell’infrastruttura. Questo richiede log di audit più granulari, monitoraggio delle chiamate a funzioni specifiche e regole di rilevamento su anomali pattern di accesso.
Ingegneria sociale e phishing serverless: GitBait, Okendo, SmartRAT e altri casi mostrano come l’uso di infrastrutture serverless (GitHub Pages, SheetBest, API di terze parti) riduca i costi per gli attaccanti e rende più difficile il blocco. La difesa richiede filtri DNS avanzati, controlli sulle richieste a endpoint sospetti e campagne di awareness mirate.
Malware mobile e accessibilità: Rokarolla, Pushka e altri trojan Android sfruttano i servizi di accessibilità e le API di installazione per ottenere controllo elevato sul dispositivo. Limitare l’installazione di app da fonti non ufficiali, disattivare servizi di accessibilità non necessari e monitorare i permessi delle app sono misure chiave.
Ransomware e persistenza: Prinz Eugen, The Gentlemen e altri gruppi usano tecniche di persistenza sofisticate e criptaggio mirato per massimizzare l’impatto. Backup coerenti, isolamento di sistemi critici e segmentazione di rete sono fondamentali per contenere i danni.
In sintesi, la settimana conferma che la sicurezza deve essere vista come un processo continuo di hardening, monitoraggio e formazione, piuttosto che come un insieme di strumenti isolati.
Fonte: https://thehackernews.com/2026/06/weekly-recap-browser-bugs-edr-killers.html
