Skip to main contentScroll Top
Indirizzo: Via Costanzo Ciano, 67, 97012 Chiaramonte Gulfi (RG) Sicilia, Italia
Contattaci: +39 3450349633
Social-linkedin Twitter Instagram
Visita lo Shop
0
Carrello
  • Nessun prodotto nel carrello.
gli-attaccanti-sfruttano-moduli
  • Home
  • Cyb & Des Consulting
  • Gli attaccanti sfruttano moduli “Contattaci” e falsi NDA in una campagna di phishing contro aziende manifatturiere
by Cyb & Des Consulting
Agosto 31, 2025
Cyb & Des Consulting Cybersecurity

Gli attaccanti sfruttano moduli “Contattaci” e falsi NDA in una campagna di phishing contro aziende manifatturiere

Una sofisticata campagna di phishing, scoperta dai ricercatori di Check Point, sta prendendo di mira aziende manifatturiere industriali e altre realtà cruciali per le catene di fornitura. L’operazione è progettata per eludere i sistemi di sicurezza email e indurre i dipendenti a scaricare file malevoli.

La campagna
Secondo gli esperti, l’attacco è opera di criminali informatici mossi da motivazioni economiche. L’obiettivo finale è diffondere MixShell, un backdoor personalizzato eseguito interamente in memoria. Viene distribuito tramite un archivio ZIP contenente uno script PowerShell e utilizza tunneling DNS TXT con fallback HTTP per le comunicazioni di comando e controllo, consentendo l’esecuzione remota di comandi e la gestione di file.

Ciò che distingue questa campagna è l’uso massiccio di ingegneria sociale. Invece di inviare email sospette, gli aggressori si presentano tramite i moduli “Contattaci” dei siti aziendali, spingendo le vittime stesse ad avviare la conversazione via email—aggirando così i filtri basati sulla reputazione dei mittenti.

Gli attaccanti dedicano giorni o settimane a conversazioni professionali, chiedendo spesso la firma di un NDA (accordo di riservatezza), che funge da esca e da documento fittizio. Per rafforzare la credibilità, usano domini vecchi e legati a società statunitensi reali o un tempo legittime, molti registrati oltre cinque anni fa.

Le vittime

Nuove tattiche
Dopo aver conquistato la fiducia della vittima, gli aggressori invitano a scaricare un file malevolo da un sottodominio di herokuapp.com.
In una fase successiva, hanno cambiato approccio: invece dei moduli di contatto, hanno inviato email dirette ai dipendenti, fingendosi personale interno e presentando l’iniziativa come una “Valutazione dell’impatto dell’IA”. Alle vittime viene chiesto di compilare un breve questionario, con l’aggiunta di urgenza e legittimità affermando che la richiesta arriva direttamente dal management.

La campagna è ancora attiva e non è chiaro se venga sempre utilizzato lo stesso payload malevolo.

Le vittime
Oltre l’80% delle vittime identificate si trova negli Stati Uniti, ma sono state colpite anche aziende a Singapore, Giappone e Svizzera. Sebbene i bersagli principali siano grandi imprese, anche PMI sono state coinvolte. La strategia di ingaggio a lungo termine—con conversazioni che durano settimane—dimostra che gli attaccanti sono disposti a investire tempo per adattare l’approccio, indipendentemente dalle dimensioni dell’azienda, in base al valore percepito o alla facilità di compromissione.

MixShell

Articoli più popolari
Facebook-f Twitter Linkedin-in Instagram
Ultimi Prodotti
Abstract Minimalist Business Card
Biglietti Da Visita, Cyb e Des Consulting Psd, Professional
Abstract Minimalist Business Card
5,00 
Amazon – Gallery Foto Prodotto
Biglietti Da Visita, Cyb e Des Consulting Psd, Professional, Amazon, Consulenze, Amazon, Consulenze
Amazon – Gallery Foto Prodotto
40,00 
Amazon – Apertura Rapporto
Biglietti Da Visita, Cyb e Des Consulting Psd, Professional, Amazon, Consulenze, Amazon, Consulenze, Amazon, Consulenze
Amazon – Apertura Rapporto
40,00 
error: Il contenuto è protetto!!