La catastrofe da 10 dollari: come un dominio dimenticato ha quasi consegnato agli hacker le chiavi di 25.000 sistemi critici

Tutto è iniziato come una normale indagine su adware del browser, ma ciò che i ricercatori di Huntress hanno scoperto era una bomba a orologeria: un singolo dominio web non reclamato, disponibile per appena 10 dollari, che avrebbe potuto consegnare ai cybercriminali un controllo non rilevabile su oltre 25.000 computer in tutto il mondo - including sistemi all’interno di aziende elettriche, agenzie governative e università.

Dati rapidi

• Un dominio non registrato collegato a malware avrebbe potuto consentire il controllo remoto di 25.000 endpoint.
• Tra i bersagli figuravano 41 reti di tecnologia operativa (OT), 35 enti governativi e centinaia di istituti educativi.
• Il malware disattivava le protezioni antivirus, rendendo i sistemi infetti indifesi.
• Le infezioni si estendevano a 124 paesi, con Stati Uniti, Francia, Canada, Regno Unito e Germania tra i più colpiti.
• I ricercatori hanno “sinkholato” il dominio per prevenire uno sfruttamento su larga scala.

L’anatomia di un mancato disastro

Al centro di questo dramma informatico c’è un pacchetto software dall’aspetto innocuo, firmato da una società con sede negli Emirati Arabi Uniti, Dragon Boss Solutions. A lungo liquidato come un semplice hijacker del browser o “programma potenzialmente indesiderato” (PUP), il software si era evoluto silenziosamente in una minaccia furtiva e altamente capace.

A partire da marzo 2025, gli analisti di Huntress hanno osservato il malware distribuire script PowerShell con privilegi amministrativi. Questi script disattivavano sistematicamente gli strumenti di sicurezza, bloccavano i server di aggiornamento e creavano punti d’appoggio persistenti sulle macchine infette tramite attività pianificate e trigger di eventi WMI. Il malware aggiungeva persino eccezioni in Windows Defender per nascondere i propri payload futuri, aprendo la porta ad attacchi successivi più pericolosi come ransomware o cryptomining.

L’aspetto più inquietante, però, risiedeva nel suo meccanismo di aggiornamento. Tutti gli aggiornamenti dei payload dovevano essere scaricati da un unico dominio: chromsterabrowser[.]com. Ma quando Huntress ha verificato, il dominio non era registrato - il che significa che chiunque, amico o nemico, avrebbe potuto acquistarlo per pochi dollari e ottenere all’istante il comando su ogni endpoint compromesso. Con le difese antivirus già neutralizzate, un attore malevolo avrebbe potuto distribuire silenziosamente qualsiasi codice, dagli strumenti di spionaggio a malware distruttivi, su 25.000 sistemi.

Agendo rapidamente, Huntress ha registrato il dominio e ha predisposto un “sinkhole” per osservare il traffico. I risultati sono stati sconcertanti: le connessioni arrivavano a fiumi da 124 paesi, includendo non solo utenti comuni ma anche aziende Fortune 500, utility elettriche, uffici governativi e università. Tra le 324 reti più sensibili, 41 erano ambienti OT - sistemi che controllano infrastrutture fisiche come reti elettriche e trasporti.

Gli esperti di sicurezza avvertono che, sebbene questo specifico proiettile sia stato evitato, l’incidente mette in luce una debolezza lampante: l’importanza critica della gestione dei domini nella supply chain del software. Una semplice svista - un dominio di aggiornamento non registrato - avrebbe potuto abilitare un disastro informatico globale, il tutto al prezzo di un pranzo da fast food.

Conclusione

Questo episodio è un monito severo: nella cybersecurity, a volte le più piccole mancanze possono avere le conseguenze più catastrofiche. Mentre le organizzazioni si affannano a cercare segnali di compromissione, il quasi-disastro da 10 dollari resta una storia esemplare su vigilanza, sicurezza della supply chain e il margine sottilissimo tra sicurezza e caos nell’era digitale.

TECHCROOK

Per ridurre il rischio di compromissioni “silenziose” legate a supply chain e update malevoli, una soluzione concreta è un endpoint protection con controllo comportamentale e anti-tampering come Bitdefender Total Security. Il pacchetto integra protezione in tempo reale contro malware e PUP, analisi euristica e blocco di script sospetti (inclusi scenari tipici con PowerShell), oltre a funzioni anti-ransomware e web protection per intercettare download e comunicazioni anomale. La componente di hardening aiuta a limitare modifiche non autorizzate alle impostazioni di sicurezza e a ridurre la superficie d’attacco, mentre gli aggiornamenti frequenti mantengono le firme e i modelli di rilevamento allineati alle minacce emergenti. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

Bitdefender Total Security è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

• Endpoint: Un endpoint è qualsiasi dispositivo, come un computer o uno smartphone, che si connette a una rete e deve essere mantenuto sicuro e aggiornato per prevenire minacce informatiche.
• Tecnologia operativa (OT): La tecnologia operativa (OT) include sistemi informatici che controllano apparecchiature e processi industriali, rendendoli spesso più vulnerabili dei tradizionali sistemi IT.
• Persistenza: La persistenza riguarda tecniche usate dal malware per sopravvivere ai riavvii e restare nascosto sui sistemi, spesso imitando processi o aggiornamenti legittimi.
• Sinkhole: Un sinkhole è un metodo di cybersecurity che reindirizza il traffico malevolo verso server controllati, consentendo agli esperti di bloccare gli attacchi e studiare le minacce informatiche.
• Indicatore di compromissione (IoC): Un indicatore di compromissione (IoC) è un indizio, come un file sospetto o un indirizzo IP, che segnala che un sistema potrebbe essere stato violato.