Netcrook Logo
👤 CRYSTALPROXY
🗓️ 16 Apr 2026  

Trappola “Adobe”: un loader fileless introduce un tool di accesso remoto in un’operazione stealth

I cybercriminali dirottano la fiducia in Adobe per distribuire ScreenConnect tramite una sofisticata catena d’attacco solo in memoria.

Sembrava un normale aggiornamento software - l’ennesimo download di Adobe Acrobat Reader. Ma per le vittime ignare, un singolo clic su un sito falso ma convincente ha innescato una presa di controllo silenziosa. Dietro le quinte, gli attaccanti hanno orchestrato un balletto tecnico, aggirando gli strumenti di sicurezza e lasciando quasi nessuna traccia. Quando la polvere si è posata, gli hacker avevano ottenuto il controllo remoto totale - senza scrivere su disco nemmeno un singolo file malevolo.

Dentro l’attacco: prestidigitazione tecnica

Scoperta per la prima volta da Zscaler ThreatLabz nel febbraio 2026, questa campagna ha trasformato in arma la fiducia che gli utenti ripongono nei marchi familiari. Le vittime finivano su una pagina di phishing che imitava perfettamente il portale di download di Adobe. Al posto del software reale, la pagina consegnava un file VBScript trappola - con codice contorto e camuffato per eludere sia il controllo umano sia quello automatizzato.

Una volta eseguito, lo script avviava un comando PowerShell con le restrizioni di sicurezza disabilitate. Questo script PowerShell recuperava un payload secondario da Google Drive e lo compilava direttamente nella memoria del computer - senza mai scrivere un file sospetto che gli antivirus potessero intercettare. Il payload era un assembly .NET, incorporato come array di byte ed eseguito tramite reflection, una tecnica che consente al codice di girare dinamicamente senza lasciare tracce evidenti.

Per nascondere ulteriormente le proprie tracce, il malware alterava le informazioni del processo per impersonare programmi Windows fidati come winhlp32.exe. Sfruttava persino funzionalità poco note di Windows - come oggetti Component Object Model (COM) con elevazione automatica - per ottenere privilegi di amministratore, il tutto senza attivare i consueti avvisi di Controllo dell’Account Utente. Il trucco di elevazione si basava sulla codifica della richiesta al contrario, vanificando le regole di rilevamento più basilari.

Nell’atto finale, il loader scaricava e installava in modo silenzioso una versione rinominata di ScreenConnect, un legittimo strumento IT di supporto remoto. Con esso, gli attaccanti ottenevano accesso completo e persistente alla macchina compromessa, pronti a esfiltrare dati o distribuire ulteriori minacce. La catena d’attacco poi si smontava silenziosamente, cancellando le prove e rilasciando i privilegi elevati.

Questa operazione è un colpo di avvertimento per chiunque si fidi di download “familiari” provenienti da fonti non ufficiali. La combinazione degli attaccanti - magia negli script, esecuzione solo in memoria e abuso di strumenti legittimi - mostra che le difese tradizionali basate su firme non sono più sufficienti. Al contrario, i difensori devono monitorare i comportamenti anomali - anche quando su disco non sembra esserci nulla fuori posto.

Conclusione: non fidarti di nulla, verifica tutto

Quest’ultima campagna è un esempio da manuale di come i cybercriminali stiano evolvendo. Mimetizzandosi nella normale attività di sistema e sfruttando software legittimo, eludono il rilevamento convenzionale e rivoltano contro gli utenti la loro stessa fiducia. La lezione è chiara: verifica sempre i download, esamina con attenzione le fonti del software e non sottovalutare mai l’ingegnosità degli attaccanti moderni.

TECHCROOK

Bitdefender Total Security è una suite di protezione pensata per contrastare minacce moderne come catene d’attacco fileless, script offuscati e abuso di tool legittimi di accesso remoto. Integra difesa comportamentale e anti-exploit per intercettare attività anomale di PowerShell e processi “mascherati”, oltre a moduli anti-phishing utili contro pagine di download contraffatte. Include protezione web, controllo delle applicazioni e funzioni di hardening di sistema che aiutano a ridurre l’impatto di escalation dei privilegi e persistenza. È adatto a PC Windows e spesso copre più dispositivi con un’unica licenza, utile in contesti domestici o SOHO dove i download non ufficiali restano un rischio frequente. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

Bitdefender Total Security è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

  • Loader fileless: Un loader fileless è un malware che gira solo in memoria, senza lasciare file su disco, rendendo difficile il rilevamento da parte dei tradizionali strumenti antivirus.
  • Offuscamento: L’offuscamento è la pratica di camuffare codice o dati per renderli difficili da comprendere, analizzare o rilevare per gli esseri umani o per gli strumenti di sicurezza.
  • Reflection: La reflection consente al codice, incluso il malware, di ispezionare e modificare sé stesso a runtime, abilitando tecniche elusive che complicano il rilevamento e l’analisi in ambito cybersecurity.
  • Escalation dei privilegi: L’escalation dei privilegi si verifica quando un attaccante ottiene un accesso di livello superiore, passando da un account utente normale ai privilegi di amministratore su un sistema o una rete.
  • ScreenConnect: ScreenConnect è uno strumento di desktop remoto per il supporto IT, che consente accesso remoto sicuro ma talvolta viene sfruttato dagli hacker per ingressi non autorizzati.
Adobe Fileless Loader Cybersecurity
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news