Non è una sfilza di parole alla moda: OAuth Trap, EDR Killer, phishing su Signal, Zombie ZIP e vulnerabilità sfruttate su piattaforme critiche sono davvero il “menù” di queste settimane. Il filo rosso è uno solo: la discrezione. Gli attacchi si mimetizzano dentro accessi apparentemente puliti, traffico cifrato e strumenti che sembrano quelli di un reparto IT.
Il risultato è spiazzante: anche un’organizzazione “in regola” sulla carta, patch, antivirus, policy, può ritrovarsi bucata senza segnali evidenti. Le analisi di settore raccontano una tendenza netta: il phishing aziendale è diventato più difficile da intercettare in anticipo perché sfrutta infrastrutture fidate e percorsi di login legittimi. In parallelo, alcune falle vengono già sfruttate “in the wild”, come quelle che colpiscono Cisco Catalyst SD-WAN Manager, con la CVE-2026-20122 (CVSS 7,1).
OAuth Trap: il furto di sessione passa da login “puliti” e consensi concessi di fretta
OAuth Trap gioca sull’automatismo più umano che ci sia: cliccare, autorizzare, andare avanti. Non ti manda il classico file sospetto. Ti spinge invece dentro un flusso di autenticazione che sembra identico a quello che usi ogni giorno: SSO aziendale, finestra di autorizzazione, richiesta di consenso per accedere a un’app.
Quando il percorso appare credibile, la soglia di attenzione crolla. E l’attaccante può ottenere un token o un accesso persistente senza far scattare allarmi “rumorosi”. Il punto critico è sottile ma decisivo: l’utente crede di “accedere”, in realtà sta “autorizzando” un’applicazione a operare per suo conto.
Il rischio non è solo l’account compromesso: è l’accesso delegato. Una volta concesso il consenso, l’attaccante può mantenere una presenza anche se la password viene cambiata. Per questo i team di sicurezza insistono su tre leve: revisione periodica delle app autorizzate, alert sui consensi anomali e policy di accesso condizionale.
Qui la colpa non è solo “di chi ha cliccato”. Il design stesso di molti flussi OAuth spinge ad accettare in fretta. La difesa efficace sta nel limitare i consensi concessi dagli utenti, far passare le richieste sensibili da un circuito di approvazione e tracciare in modo puntuale eventi legati a OAuth, token e SSO.
EDR Killer e BYOVD: prima si spegne l’allarme, poi arriva il ransomware
EDR Killer è un promemoria brutale: molte intrusioni iniziano neutralizzando i sistemi di difesa. Nei report recenti compaiono tecniche sempre più integrate nelle famiglie ransomware per disattivare gli EDR (Endpoint Detection and Response), spesso con approcci BYOVD (“Bring Your Own Vulnerable Driver”): l’attaccante sfrutta driver vulnerabili per ottenere privilegi elevati e accecare i controlli.
L’aspetto più insidioso è che la catena può sembrare amministrazione ordinaria: driver, comandi con privilegi, componenti disabilitati. Azioni che, in altri contesti, sono legittime. E se l’attaccante usa strumenti ben scelti, magari firmati, anche un EDR di buon livello può perdere visibilità proprio nel tratto decisivo.
In molte aziende italiane la situazione ricorda un copione già visto: si investe tanto sulla “detection”, meno sulla capacità di impedire la disattivazione. La risposta passa da hardening e controlli concreti: blocco dei driver non approvati, regole di riduzione della superficie d’attacco, monitoraggio degli eventi che indicano sabotaggio.
Chi regge meglio l’urto aggiunge livelli: log centralizzati fuori dal singolo PC, controlli d’integrità, segmentazione di rete. E testa davvero lo scenario “EDR down”. Non è una domanda di “se”, ma di “quando”.
Phishing su Signal: la trappola si sposta dalle email alle chat cifrate
Il phishing su Signal fotografa un cambio di abitudini: gli attaccanti non hanno più bisogno dell’email per colpire. Vanno dove i team parlano veloce, dove le notifiche sono continue e dove la fiducia è più alta. Una chat cifrata dà un senso di sicurezza, giusto sul trasporto del messaggio, ma non protegge dall’ingegneria sociale.
Lo schema è semplice e funziona perché è realistico: un falso contatto “interno”, una richiesta urgente, un link a una pagina di login o una procedura “IT” da validare. In chat si legge più in fretta, si controlla meno, si risponde dentro il flusso. E se il link apre un’autenticazione credibile, il meccanismo torna a incastrarsi con le trappole OAuth.
Questo spostamento complica la difesa: i controlli classici sulla posta (filtri, sandbox, DMARC) qui non vedono nulla. Servono regole operative chiare, condivise con i reparti: niente link di autenticazione via chat, niente richieste di codici, doppia verifica per azioni sensibili.
Vietare tutto, spesso produce l’effetto opposto: le persone cambiano canale e si perde controllo. Meglio “mettere in sicurezza l’uso”: canali ufficiali verificati, procedure di verifica dell’identità e formazione basata su esempi reali e recenti.
Zombie ZIP: archivi “normali” che nascondono l’innesco sul PC
Zombie ZIP riporta in primo piano una minaccia vecchia ma sempre efficace: l’archivio compresso che sembra innocuo e invece nasconde altro. La novità non è il formato ZIP, è il modo in cui viene reso ingannevole: nomi che imitano PDF, strutture di cartelle che “seppelliscono” il file pericoloso, comportamenti che emergono solo dopo l’apertura.
In azienda gli archivi circolano ovunque: condivisioni, export, allegati, repository. E se il payload finale viene scaricato dopo, magari via traffico cifrato, gli angoli ciechi aumentano. È qui che molte difese “di base” iniziano a perdere colpi.
La contromossa è meno spettacolare ma concreta: controllo applicativo, limitazioni su macro e script, e monitoraggio comportamentale dopo l’apertura (creazione di processi, connessioni in uscita, persistenza). Se lasci eseguire qualsiasi cosa dalla cartella Download, è un testa o croce.
Attenzione: troppo filtraggio può bloccare flussi legittimi, in settori che lavorano con archivi tutto il giorno. Spesso funziona meglio un modello con eccezioni governate, aree di deposito analizzate e decompressione lato server invece che sul PC.
Cisco Catalyst SD-WAN Manager: due falle già sfruttate, la corsa alle patch non rallenta
Tra le minacce più concrete ci sono le vulnerabilità sfruttate attivamente: trasformano un ritardo di patching in un incidente. Cisco ha segnalato che due falle che colpiscono Catalyst SD-WAN Manager (in passato vManage) sono sfruttate “in the wild”. Tra queste, la CVE-2026-20122 (CVSS 7,1), descritta come una vulnerabilità che consente a un attaccante remoto autenticato di sovrascrivere file arbitrari sul sistema locale.
La dicitura “attaccante autenticato” viene spesso sottovalutata. Nella pratica, le credenziali si rubano, si riutilizzano, si indovinano o si ottengono dopo un primo compromesso. E un gestore SD-WAN è un bersaglio ad alto valore: governa connettività e policy, talvolta anche segreti d’accesso. Entrarci significa avere una leva potente per estendere il controllo o preparare un’interruzione.
Il contesto è quello che molte aziende italiane conoscono bene: finestre tra divulgazione e sfruttamento sempre più strette, patch a raffica, risorse IT tirate. Non esiste la bacchetta magica del “patchare tutto subito”, ma esiste un metodo: inventario accurato, valutazione dell’esposizione reale, segmentazione e monitoraggio dei segnali di exploit sui sistemi critici.
E un piano di aggiornamento che non aspetti l’emergenza. Quando l’exploit è confermato, l’ultima cosa che vuoi scoprire è che nessuno sa chi gestisce quell’apparato o dove sia davvero in rete.
Cosa cambia per le aziende: meno rumore, più disciplina operativa
Il messaggio che arriva da queste campagne è chiaro: gli attacchi non cercano più solo la falla “clamorosa”, ma la normalità. Un consenso OAuth concesso al volo, un EDR accecato prima del colpo, una chat che sembra interna, un ZIP qualunque, una patch rimandata.
Nei prossimi mesi la differenza la farà la capacità di ridurre gli automatismi: controlli sui consensi e sulle app terze, procedure chiare sui canali di messaggistica, hardening che impedisca la disattivazione delle difese, e una gestione patch più vicina alla realtà operativa che alle checklist.
Punti chiave
- Il phishing moderno imita percorsi legittimi, in particolare tramite OAuth e flussi cifrati.
- Le tecniche EDR killer e BYOVD mirano a neutralizzare le difese prima dell’attacco principale.
- Le app di messaggistica come Signal stanno diventando un canale di ingegneria sociale a tutti gli effetti.
- Gli archivi malevoli tipo Zombie ZIP restano efficaci grazie alla banalità dei formati.
- Vulnerabilità sfruttate attivamente, come la CVE-2026-20122 in Cisco, riducono il margine di reazione.
Domande frequenti
Perché OAuth Trap è più difficile da rilevare rispetto a un phishing classico?
Perché l’attacco si basa su percorsi di autenticazione che assomigliano a normali accessi, con pagine credibili e talvolta infrastrutture legittime. Il segnale debole è nel consenso concesso e nell’uso dei token, non in un file malevolo evidente.
Che cos’è un attacco BYOVD contro un EDR?
BYOVD significa “Bring Your Own Vulnerable Driver”. L’attaccante introduce o sfrutta un driver vulnerabile per ottenere capacità elevate sulla macchina, poi tenta di disattivare o aggirare l’EDR. L’obiettivo è ridurre la visibilità e impedire la risposta automatica.
La crittografia di Signal protegge dal phishing?
La crittografia protegge il trasporto dei messaggi, non la decisione dell’utente. Se un messaggio ti spinge a cliccare su un link o a convalidare un’azione, il rischio resta intatto. La difesa si basa su regole d’uso, verifica dell’identità e procedure interne.
Perché un archivio ZIP può essere pericoloso in azienda?
Perché può nascondere file ingannevoli, strutture di cartelle che “annegano” l’elemento pericoloso, oppure innescare una catena di esecuzione dopo l’apertura. I controlli devono includere l’analisi, la limitazione dell’esecuzione dalle cartelle a rischio e il monitoraggio comportamentale.
Una vulnerabilità “attaccante autenticato” è meno urgente da correggere?
Non necessariamente. Le credenziali possono essere rubate, riutilizzate o ottenute dopo un primo compromesso. Su componenti critici come un gestore SD-WAN, uno sfruttamento autenticato può avere un impatto rilevante. La priorità dipende dall’esposizione, dai controlli di accesso e da segnali di sfruttamento attivo.
Fonti
En tant que jeune média indépendant, The Inquirer 🇫🇷 a besoin de votre aide. Soutenez-nous en nous suivant et en nous ajoutant à vos favoris sur Google News. Merci !
