Una campagna malware complessa è stata scoperta, mirata a utenti alla ricerca di programmi gratuiti per modificare PDF. Un’applicazione dannosa, travestita da “AppSuite PDF Editor” legittimo, viene diffusa da criminali informatici. Gli autori della minaccia dietro questa campagna hanno dimostrato un’audacia senza precedenti inviando il loro malware alle aziende antivirus come falsi positivi, nel tentativo di far rimuovere i rilevamenti di sicurezza.

Il programma di installazione, creato utilizzando il set di strumenti open source WiX, scarica immediatamente il programma effettivo dell’editor PDF da vault.appsuites.ai dopo l’esecuzione e l’accettazione del Contratto di licenza con l’utente finale. Il malware, è confezionato come file Microsoft Installer (MSI), è distribuito tramite siti web di alto livello, progettati per apparire come portali legittimi per il download di strumenti di produttività.

La scoperta è stata effettuata dai ricercatori di G Data, i quali hanno identificato il malware come un classico cavallo di Troia contenente un sofisticato componente backdoor. Inizialmente segnalata come programma potenzialmente indesiderato, l’applicazione sembrava offrire funzionalità legittime di modifica dei PDF, nascondendo però la sua vera natura dannosa.

I ricercatori hanno notato che il malware ha generato un’attività di download significativa, con oltre 28.000 tentativi di download registrati nella loro telemetria in una sola settimana, evidenziando l’ampia portata della campagna e il suo potenziale impatto sugli utenti in tutto il mondo.

La loro analisi ha rivelato che l’applicazione è basata sul framework Electron, il che le consente di funzionare come applicazione desktop multipiattaforma utilizzando JavaScript. Il malware opera attraverso un complesso sistema di opzioni della riga di comando che controllano varie funzionalità backdoor. Se eseguita senza parametri specifici, l’applicazione avvia una routine di installazione che registra il sistema infetto presso i server di comando e controllo situati in appsuites.ai e sdk.appsuites.ai.

Il malware utilizza più opzioni della riga di comando che si traducono in quelle che gli sviluppatori chiamano internamente “routine wc”, tra cui le funzioni -install, -ping, -check, -reboot e -cleanup. Ogni routine ha uno scopo specifico: mantenere il sistema compromesso e facilitare il controllo remoto.

Il processo di registrazione prevede l’ottenimento di un ID di installazione univoco e la creazione di attività pianificate persistenti denominate “PDFEditorScheduledTask” e “PDFEditorUScheduledTask” che garantiscono che il malware rimanga attivo sul sistema compromesso. La strategia di persistenza prevede la creazione di più attività pianificate con ritardi di esecuzione attentamente calcolati.

L’attività pianificata principale viene eseguita 1 giorno, 0 ore e 2 minuti dopo l’installazione, ed è progettata specificamente per eludere i sistemi di rilevamento sandbox automatici che in genere non eseguono il monitoraggio per periodi così prolungati. Inoltre, il malware prende di mira i browser più diffusi, tra cui Wave, Shift, OneLaunch, Chrome ed Edge, estraendo le chiavi di crittografia e manipolando le preferenze del browser per mantenere l’accesso a lungo termine ai dati e alle credenziali degli utenti.

L'articolo Vuoi un Editor PDF gratuito? Hai scaricato un malware incluso nel pacchetto premium proviene da il blog della sicurezza informatica.

Secondo un report di Kaspersky Lab, nel secondo trimestre del 2025 l’utilizzo delle vulnerabilità è aumentato in modo significativo: quasi tutti i sottosistemi dei computer moderni sono stati attaccati, dal UEFI ai driver dei browser, ai sistemi operativi e alle applicazioni.

Come in precedenza, gli aggressori continuano a sfruttare tali vulnerabilità in attacchi reali per ottenere l’accesso ai dispositivi degli utenti e a combinarle attivamente con i framework C2 in complesse operazioni mirate. Un’analisi delle statistiche CVE degli ultimi 5 anni mostra un costante aumento del numero totale di vulnerabilità registrate. Se all’inizio del 2024 se ne contavano circa 2.600, a gennaio 2025 questa cifra ha superato le 4.000.

L’unica eccezione è stata maggio, altrimenti la dinamica ha continuato a prendere slancio. Allo stesso tempo, alcune CVE potrebbero essere registrate con identificatori degli anni precedenti, ma pubblicate solo nel 2025. Ciò che è particolarmente allarmante è che nella prima metà del 2025 anche il numero di vulnerabilità critiche con un punteggio CVSS superiore a 8,9 è aumentato significativamente. Sebbene non tutte le vulnerabilità siano valutate su questa scala, si osserva una tendenza positiva: i bug critici sono più spesso accompagnati da descrizioni dettagliate e diventano oggetto di analisi pubblica, il che può contribuire a una più rapida mitigazione del rischio.

Le vulnerabilità più sfruttate in Windows nel secondo trimestre sono state ancora una volta vecchie vulnerabilità di Microsoft Office: CVE-2018-0802, CVE-2017-11882 e CVE-2017-0199, le quali interessano il componente Equation Editor.

Seguono exploit per WinRAR (CVE-2023-38831), una vulnerabilità in Windows Explorer (CVE-2025-24071), che consente il furto di hash NetNTLM, e un bug nel driver ks.sys (CVE-2024-35250), che consente a un aggressore di eseguire codice arbitrario. Tutte queste vulnerabilità vengono utilizzate sia per l’accesso primario che per l’escalation dei privilegi.

Per quanto riguarda Linux, gli exploit più comuni sono stati Dirty Pipe (CVE-2022-0847), CVE-2019-13272, relativo ai privilegi ereditati, e CVE-2021-22555 , una vulnerabilità heap nel sottosistema Netfilter che utilizza la tecnica Use-After-Free tramite manipolazioni con msg_msg. Ciò conferma la continua crescita dell’interesse degli aggressori per i sistemi Linux, principalmente dovuta all’espansione della base utenti.

Gli exploit del sistema operativo continuano a dominare le fonti pubbliche, mentre in questo trimestre non sono apparse nuove pubblicazioni sulle vulnerabilità di Microsoft Office. Per quanto riguarda gli attacchi mirati, le operazioni APT hanno spesso sfruttato vulnerabilità in strumenti di accesso remoto, editor di documenti e sottosistemi di logging. Strumenti low-code/no-code e persino framework per applicazioni di intelligenza artificiale sono al primo posto, il che indica un crescente interesse degli aggressori per i moderni strumenti di sviluppo. È interessante notare che i bug rilevati non riguardavano il codice generato, ma il software infrastrutturale stesso.

Secondo Kaspersky, i framework C2 nella prima metà del 2025, Sliver, Metasploit , Havoc e Brute Ratel C4 erano i leader e supportano direttamente gli exploit e offrono agli aggressori ampie opportunità di persistenza, controllo remoto e ulteriore automazione. Gli strumenti rimanenti venivano solitamente adattati manualmente per attacchi specifici.

Sulla base dell’analisi di campioni con exploit e agenti C2, sono state identificate le seguenti vulnerabilità chiave utilizzate nelle operazioni APT: CVE-2025-31324 in SAP NetWeaver Visual Composer Meta data Uploader (esecuzione di codice remoto, CVSS 10.0), CVE-2024-1709 in ConnectWise ScreenConnect (aggiramento dell’autenticazione, CVSS 10.0), CVE-2024-31839 e CVE-2024-30850 in CHAOS v5.0.1 (XSS e RCE) e CVE-2025-33053 in Windows, che consente l’esecuzione di codice arbitrario tramite l’elaborazione errata dei percorsi di scelta rapida.

Questi exploit hanno consentito sia l’introduzione immediata di codice dannoso sia un approccio graduale, a partire dalla raccolta delle credenziali.

Anche le vulnerabilità pubblicate di recente meritano particolare attenzione. CVE-2025-32433 è un bug RCE nel server SSH del framework Erlang/OTP, che consente l’esecuzione remota di comandi senza verifica anche da parte di utenti non autorizzati. CVE-2025-6218 è un’altra vulnerabilità di attraversamento delle directory in WinRAR , simile a CVE-2023-38831 : consente di modificare il percorso di decompressione dell’archivio ed eseguire codice all’avvio del sistema operativo o dell’applicazione.

CVE-2025-3052 in UEFI consente di bypassare Secure Boot tramite una gestione non sicura delle variabili NVRAM. La vulnerabilità CVE-2025-49113 in Roundcube Webmail è un classico problema di deserializzazione non sicura e richiede l’accesso autorizzato. Infine, CVE-2025-1533 nel driver AsIO3.sys provoca un arresto anomalo del sistema quando si lavora con percorsi più lunghi di 256 caratteri: gli sviluppatori non hanno considerato che il limite moderno in NTFS è di 32.767 caratteri.

La conclusione è chiara: il numero di vulnerabilità continua a crescere, soprattutto quelle critiche.

Pertanto, è importante non solo installare tempestivamente gli aggiornamenti, ma anche monitorare la presenza di agenti C2 sui sistemi compromessi, prestare attenzione alla protezione degli endpoint e definire una policy flessibile di gestione delle patch.

Questo è l’unico modo per ridurre efficacemente i rischi di exploit e garantire la stabilità dell’infrastruttura.

Conclusioni

La conclusione è chiara: il numero di vulnerabilità continua a crescere, soprattutto quelle critiche. Pertanto, è importante non solo installare tempestivamente gli aggiornamenti, ma anche monitorare la presenza di agenti C2 sui sistemi compromessi, prestare attenzione alla protezione degli endpoint e definire una policy flessibile di gestione delle patch. Questo è l’unico modo per ridurre efficacemente i rischi di exploit e garantire la stabilità dell’infrastruttura.

Come abbiamo visto, gli exploit su documenti e allegati continuano a essere largamente utilizzati, confermando la necessità di un aumento della consapevolezza lato utenti: la formazione e la sensibilizzazione diventano strumenti indispensabili per ridurre il rischio di compromissione.

Allo stesso tempo, molte delle CVE più sfruttate derivano da un mancato patching di sicurezza: le organizzazioni devono agire in maniera più immediata nell’applicazione delle correzioni, senza rinvii che possono lasciare finestre di esposizione aperte agli attaccanti. In questo contesto, attività di Vulnerability Assessment e penetration test assumono un ruolo chiave, poiché consentono di identificare falle dimenticate o non rilevate dalle normali attività IT, colmando i gap prima che possano essere sfruttati.

In sintesi, solo combinando aggiornamenti rapidi, monitoraggio costante, controlli di sicurezza avanzati e consapevolezza degli utenti sarà possibile contenere l’impatto crescente degli exploit e difendere in maniera proattiva le infrastrutture digitali.

L'articolo Vulnerabilità critiche in aumento verticale! Consapevolezza, Patching e Controlli la chiave proviene da il blog della sicurezza informatica.

Il caso recente dei documenti rubati degli hotel fa pensare a quanti documenti effettivamente circolino nel dark web, nonostante la possibilità di crearne con l’intelligenza artificiale. Questo significa che è più facile ottenerli che crearli. E forse sono anche più utili.

Ma forse bisogna riflettere e farsi una domanda dirimente: come mai ne circolano così tanti e tanto facilmente?

Insomma: andiamo oltre le facili(ssime) speculazioni sui vari colabrodi di sicurezza che si vedono in giro e vengono ampiamente tollerati. Logica vuole che qualcuno li abbia raccolti e non sia stato in grado di proteggerli.

Benissimo: facciamo un passo indietro, skippiamo al momento ogni commento e riflessione su quel non in grado, e affrontiamo l’amara considerazione di constatare che più di qualcuno li ha raccolti e conservati. E dunque chiediamoci: sentivamo proprio il bisogno di questa raccolta e conservazione?

Che, tradotto in GDPR-ese, suona come: le attività di trattamento di raccolta e conservazione di quei documenti sono lecite? Dubito. Ed ecco che da una violazione della privacy (o della normativa di protezione dei dati personali) segue un problema di sicurezza. E scopriamo che “senza privacy non può esserci sicurezza e viceversa” non era proprio una punchline.

Nel settore dell’hospitality, la registrazione degli ospiti è un obbligo ma non quello di acquisire copia dei documenti. Men che meno è previsto da qualche parte che debbano essere inviate via WhatsApp, e-mail o form online foto o scansioni dei documenti.

La legge applicabile è il TULPS, ed in particolare l’art. 109:

1. I gestori di esercizi alberghieri e di altre strutture ricettive, comprese quelle che forniscono alloggio in tende, roulotte, nonché i proprietari o gestori di case e di appartamenti per vacanze e gli affittacamere, ivi compresi i gestori di strutture di accoglienza non convenzionali, ad eccezione dei rifugi alpini inclusi in apposito elenco istituito dalla regione o dalla provincia autonoma, possono dare alloggio esclusivamente a persone munite della carta d’identità o di altro documento idoneo ad attestarne l’identità secondo le norme vigenti.
2. Per gli stranieri extracomunitari è sufficiente l’esibizione del passaporto o di altro documento che sia considerato ad esso equivalente in forza di accordi internazionali, purché munito della fotografia del titolare.
3. Entro le ventiquattr’ore successive all’arrivo, i soggetti di cui al comma 1 comunicano alle questure territorialmente competenti, avvalendosi di mezzi informatici o telematici o mediante fax, le generalità delle persone alloggiate, secondo modalità stabilite con decreto del Ministro dell’interno, sentito il Garante per la protezione dei dati personali.

Nessun obbligo di acquisizione dei documenti. Il servizio del portale web alloggiati non prevede solo l’inserimento dei dati relativi al documento per la formazione delle schede su ciascun alloggiato per la trasmissione alle autorità competenti di polizia. Insomma: si raccolgono gli estremi dei documenti e non la copia degli stessi.

La raccolta delle copie dei documenti è un problema privacy risolto solo nella forma e non nella sostanza.

Cosa dice il Garante Privacy sulla richiesta di documenti in copia.

Il Garante Privacy già nel 2005 si era espresso sull’identificazione dei clienti e l’acquisizione di documenti in copia da parte di banche e uffici postali, distinguendo la necessità di identificare un interessato dalle modalità con cui ciò avviene.

L’identificazione può avvenire sia per obblighi normativi che per esigenze contrattuali o precontrattuali, e consiste in un’attività di trattamento una tantum. Quel che rileva è la modalità con cui tale identificazione avviene, che deve rispondere alle circostanze del caso ed essere proporzionata.

La richiesta di produrre una copia del documento di riconoscimento e la sua conservazione, è invece lecita solo se sussiste una disposizione normativa che lo preveda (indicando anche la tempistica di conservazione).

Cosa che non cambia con il GDPR. Anzi. Certo, forse sarebbe il caso di avere delle linee guida a questo punto. Fatto sta che il Garante Privacy ha avviato delle verifiche e, in seguito alle notifiche di data breach, anticipato che avrebbe adottato le misure di tutela urgente. Vedremo cosa accadrà e se ci sarà un riepilogo delle indicazioni in questo ambito.

Fra l’altro, il Garante polacco (UODO) in un recente comunicato del 26 agosto ha dato notizia di aver sanzionato una banca per 4 milioni di euro per aver acquisito copie scansionate dei documenti di identità di clienti e potenziali clienti in assenza di una base giuridica valida nell’ambito di adempimenti antiriciclaggio (AML). Peccato che il solo citare finalità antiriciclaggio non sia sufficiente, dal momento che occorre una motivazione fondata su una valutazione di rischio individuale del cliente.

Cosa possiamo fare quando ci chiedono una copia dei documenti?

Facile: il vero sballo è dire no. Ok, forse non è proprio uno sballo.

Meglio chiedere di indicare su quale prescrizione di legge siamo obbligati a farlo.

Fra l’altro, visto lo storico di incidenti di sicurezza e notizie sempre fresche è decisamente più facile dirsi particolarmente prudenti e chiedere alternative rispetto alla copia, o peggio, all’invio di documenti.

La privacy e la sicurezza dei nostri dati non vanno mai in vacanza, quindi il discorso vale non solo per gli hotel ma per chiunque ci chieda di inviare i nostri documenti in copia.

Ma bisogna agire per una tutela attiva dei propri dati personali.

Anche se significa passare per rompic fissati.

Better safe than sorry.

L'articolo Cyber Italia sotto l’ombrellone! Quel brutto vizio di fotocopiare documenti proviene da il blog della sicurezza informatica.