Passa ai contenuti principali

DPRK, attacchi ClickFix in finti colloqui crypto diffondono BeaverTail e InvisibleFerret. Lazarus Group inganna i candidati con malware travestiti da test di lavoro

Negli ultimi mesi i ricercatori di sicurezza hanno scoperto una nuova campagna legata ad hacker nordcoreani che sfrutta la tecnica di social engineering nota come ClickFix. L’operazione prende di mira chi cerca lavoro nel settore delle criptovalute, in particolare candidati per posizioni di marketing e trading, attirandoli con annunci e colloqui falsi. Durante l’intervista viene simulato un problema tecnico, ad esempio un malfunzionamento della webcam o dell’accesso alla piattaforma. Alla vittima viene chiesto di copiare e incollare dei comandi nel terminale o in PowerShell per “risolvere” l’errore, ma in realtà quei comandi installano malware.

Due tra i software dannosi osservati in queste campagne sono BeaverTail e InvisibleFerret, strumenti che consentono agli attaccanti di ottenere accesso remoto, rubare credenziali e monitorare le attività degli utenti. Diversi ricercatori collegano l’operazione al Lazarus Group, già noto per attacchi a catene di fornitura, furti di criptovalute e compromissioni di piattaforme di scambio. La novità, in questo caso, è che la tecnica ClickFix viene impiegata in maniera sistematica e su larga scala, dimostrando come strumenti nati in ambienti criminali stiano ormai diventando parte integrante dei kit usati da attori sponsorizzati da stati.

Il pericolo principale non è soltanto la diffusione del malware, ma il fatto che la tecnica stessa aggira molte difese automatiche: è l’utente, con le proprie mani, a eseguire i comandi dannosi, convinto di risolvere un problema legittimo. Questo riduce drasticamente l’efficacia di antivirus e sistemi di rilevamento tradizionali, spostando l’attenzione sulla necessità di riconoscere i segnali sociali di un attacco.

Le conseguenze potenziali sono gravi, soprattutto perché i bersagli appartengono a un settore come quello crypto, dove un furto di chiavi o di credenziali può tradursi in perdite immediate e difficilmente recuperabili. Per questo la prevenzione passa innanzitutto dalla consapevolezza: imparare a riconoscere richieste sospette, verificare sempre la legittimità delle aziende che propongono colloqui e diffidare da chi invita a inserire manualmente comandi nel sistema operativo. Parallelamente è cruciale rafforzare le difese tecniche, con politiche di esecuzione più restrittive e con strumenti di sicurezza in grado di monitorare comportamenti anomali, piuttosto che limitarsi alla firma del malware.
Tag:

Commenti

Posta un commento

Popolari

CTF, talento e gioco di squadra. Il Team Italy pronto alla sfida europea

A Torino è stata presentata la squadra nazionale italiana di cybersicurezza, il Team Italy 2025-2026, composta da dieci studenti selezionati tra licei, istituti tecnici e università chiamati a rappresentare l’Italia nelle prossime competizioni nazionali e internazionali. La squadra parteciperà, a ottobre, allo European Cybersecurity Challenge che si terrà a Varsavia: una vetrina importante dove i giovani talenti mettono alla prova tecniche di difesa e attacco in scenari simulati e controllati. Alla base della preparazione c’è un approccio pratico e collettivo: training e addestramento gratuiti organizzati dal Cybersecurity National Lab del CINI, che trasformano il gioco in formazione concreta per professionisti di domani. Questo percorso mostra come il mondo delle CTF (capture the flag) non sia solo svago ma una palestra fondamentale per allenare competenze applicabili alla protezione di infrastrutture strategiche come ospedali, scuole e aeroporti. Le CTF vanno celebrate: offrono scena...
Posta un commento
Continua a leggere »

Il trader criminale dietro il furto da $300M su Coinbase perde quasi $1 milione

Da qualche tempo monitoro attentamente i movimenti on‐chain associati al furto gigantesco che ha colpito Coinbase – l’evento da circa $300 milioni in criptovalute, causato da una sofisticata operazione di social engineering. Recentemente ho osservato che l’attore dietro questo furto ha commesso un errore significativo nel trading, dimostrando che neanche chi opera illegalmente è immune dalla volatilità (e dai rischi) tipici dei mercati crypto. Il 13 settembre 2025, il wallet etichettato come “Coinbase hacker” ha acquistato 3.976 ETH per un valore totale di circa $18,9 milioni, al prezzo medio di $4.756 per ETH. Due giorni dopo, il 15 settembre, quel medesimo saldo di ETH è stato venduto a $4.522 per ETH, totalizzando $17,98 milioni. Il risultato è una perdita netta di circa $932.000 in meno di 48 ore. L’identità del wallet è stata collegata al furto mediante analisti come ZachXBT e piattaforme come Arkham Intelligence e Lookonchain. Queste entità sfruttano dati pubblici, pattern di mov...
Posta un commento
Continua a leggere »

Mai rubare l’iPhone alla fidanzata di un hacker. La gang che rivendeva smartphone rubati smantellata grazie a un ricercatore di sicurezza

Un furto di smartphone avvenuto a Barcellona si è trasformato in un’indagine tech che ha portato alla luce — e al collasso parziale — di una complessa rete internazionale che rubava telefoni, li inviava all’estero e poi cercava di “sbloccarli” con truffe mirate per depredare la vita digitale delle vittime. La vicenda è emersa dopo che il ricercatore di sicurezza Martín Vigo ha scoperto SMS e siti fraudolenti collegati al furto del cellulare della sua compagna e ha documentato le tecniche usate dagli autori; la sua analisi si è incrociata con un’operazione congiunta di polizia che ha portato a diversi arresti in Spagna e in paesi latinoamericani. Come funzionava l’organizzazione (passo-passo) - Sottrazione: i telefoni venivano rubati (idealmente sbloccati, ma anche bloccati possono essere preziosi) in contesti affollati come concerti. - Messa fuori rintraccio: i dispositivi spesso vengono isolati (es. avvolti in foglio metallico) per bloccare il segnale GPS e poi accumulati in “deposit...
Posta un commento
Continua a leggere »