I criminali informatici hanno lanciato una nuova ondata di attacchi che utilizzano file SVG per distribuire pagine di phishing. Gli esperti di VirusTotal hanno segnalato che gli aggressori si spacciano per la procura colombiana, distribuendo allegati email contenenti codice JavaScript nascosto. L’analisi automatica ha rivelato comportamenti che i programmi antivirus non erano in grado di rilevare.

Il formato SWF, formalmente “deceduto” da quando Flash è stato disattivato nel 2020, continua a comparire nel traffico. In 30 giorni, VirusTotal ha ricevuto 47.812 file SWF univoci precedentemente sconosciuti e 466 di questi hanno attivato almeno un motore antivirus. In un caso, solo 3 trigger su 63 indicavano segnali “sospetti” di una vecchia vulnerabilità, ma un’analisi dettagliata ha rivelato che si trattava di un gioco complesso con rendering 3D, audio e un editor di livelli integrato.

Classi offuscate , utilizzo di RC4/AES e raccolta di informazioni di sistema sembravano allarmanti, ma erano coerenti con la logica di protezione contro cheat e modifiche. In tali artefatti non è stato rilevato alcun comportamento dannoso.

SVG è l’opposto di entrambi, sia nello spirito che nell’epoca: uno standard aperto per il web e il design. Ecco perché è il preferito dagli aggressori. Negli ultimi 30 giorni, VirusTotal ha ricevuto 140.803 file SVG univoci precedentemente sconosciuti, di cui 1.442 segnalati da almeno un motore. Uno dei campioni non è stato rilevato da alcun motore, ma durante il rendering ha eseguito uno script incorporato che ha decodificato e incorporato una pagina HTML di phishing che copiava il portale del sistema giudiziario colombiano. Per renderlo più plausibile, la pagina simulava il caricamento di documenti con una barra di avanzamento e, in background, un archivio ZIP veniva scaricato e forzato. Il comportamento è stato confermato nella sandbox: elementi visivi, numeri di, “token di sicurezza” erano presenti, sebbene si trattasse solo di un’immagine SVG.

Secondo VirusTotal, questo non è un caso isolato. Una richiesta di tipo type:svg con menzione della Colombia ha restituito 44 SVG univoci, tutti privi di rilevamento antivirus, ma con le stesse tattiche: offuscamento, polimorfismo, codice “spazzatura” di grandi dimensioni per aumentare l’entropia. Allo stesso tempo, gli script contenevano ancora commenti in spagnolo come “POLIFORMISMO_MASIVO_SEGURO” e “Funciones dummy MASIVAS“, un punto vulnerabile adatto a una semplice firma YARA.

Una ricerca durata un anno ha prodotto 523 risultati. Il campione più antico era datato 14 agosto 2025, scaricato anch’esso dalla Colombia, e anch’esso non è stato rilevato. Una nuova analisi ha confermato lo stesso schema di phishing e download stealth. I primi campioni erano più grandi, circa 25 MB, poi le dimensioni sono diminuite, indicando un perfezionamento del payload.

Il canale di distribuzione era la posta elettronica, che ci ha permesso di collegare la catena in base ai metadati del mittente, agli oggetti e ai nomi degli allegati.

L'articolo Se Flash è morto, ecco a voi l’SVG Assassino! Il phishing 2.0 è in alta definizione proviene da il blog della sicurezza informatica.

Un recente studio condotto dal team di Offensive Security di Workday ha evidenziato una vulnerabilità nei driver di Windows che consente di bypassare efficacemente gli strumenti di Endpoint Detection and Response (EDR).

Questa tecnica sfrutta la lettura diretta del disco, eludendo controlli di accesso, blocchi di file e misure di sicurezza come Virtualization-Based Security (VBS) e Credential Guard. Il driver vulnerabile identificato, eudskacs.sys, espone strutture di codice semplici che permettono la lettura diretta del disco fisico, consentendo l’accesso a file sensibili senza interagire direttamente con essi.
Percorso che una richiesta di lettura del disco segue quando viene richiamata dallo spazio utente
Tradizionalmente, Windows implementa diverse difese per proteggere i dati sensibili. Ad esempio, i file di credenziali come SAM.hive e SYSTEM.hive sono protetti da Access Control Lists (ACL) e da blocchi esclusivi che impediscono l’accesso simultaneo da parte di più processi.

Inoltre, VBS e Credential Guard isolano il processo LSASS in un contenitore virtualizzato, rendendo più difficile l’estrazione delle credenziali dalla memoria. Tuttavia, l’accesso diretto al disco elude questi controlli, poiché non richiede l’uso delle API standard per l’accesso ai file e non genera log di sistema.

Per eseguire un attacco di lettura diretta del disco, un attore malintenzionato può sfruttare un driver vulnerabile o utilizzare driver di basso livello come disk.sys. Il processo coinvolge l’apertura di un handle al driver del disco fisico, l’invio di richieste di lettura e la ricezione dei dati grezzi. Una volta ottenuti i dati, è necessario un parser del file system NTFS per estrarre i file desiderati. Questa tecnica è particolarmente efficace per l’estrazione di file sensibili, poiché non interagisce direttamente con i file stessi e quindi non attiva i controlli di sicurezza.

Una delle principali sfide, riportano i ricercatori, è implementare questa tecnica è la necessità di comprendere la struttura del file system NTFS. Elementi come il Master Boot Record (MBR), la GUID Partition Table (GPT) e il Volume Boot Record (VBR) i quali contengono informazioni cruciali sulla disposizione dei dati sul disco. L’accesso diretto al disco consente di bypassare i controlli di accesso e di leggere questi dati senza restrizioni, facilitando l’estrazione di informazioni sensibili.

Per contrastare questa minaccia, è fondamentale adottare misure di sicurezza preventive. Limitare i privilegi amministrativi è una delle strategie più efficaci, poiché riduce la possibilità per un attaccante di installare driver dannosi o di accedere direttamente al disco fisico. Inoltre, monitorare le chiamate API come CreateFile, in particolare quando interagiscono con driver di basso livello, può aiutare a rilevare attività sospette. L’implementazione di queste misure può contribuire a ridurre il rischio associato a questa vulnerabilità.

In sintesi, l’accesso diretto al disco rappresenta una tecnica potente per eludere gli strumenti di sicurezza tradizionali. Comprendere le vulnerabilità nei driver di Windows e adottare misure di sicurezza appropriate sono passi essenziali per proteggere i sistemi da attacchi sofisticati. Le organizzazioni dovrebbero rivedere regolarmente i driver in uso e implementare controlli di sicurezza per mitigare i rischi associati a questa minaccia.

L'articolo Il Lato Oscuro dei Driver Windows: Come Rubare Dati Ignorando l’EDR proviene da il blog della sicurezza informatica.