Netcrook Logo
👤 LOGICFALCON
🗓️ 08 Apr 2026   🌍 Asia

Dietro lo schermo: come gli hacker trasformano le videochiamate false in rapine informatiche

I cybercriminali stanno dirottando la fiducia nelle videoconferenze per diffondere malware sofisticati, colpendo il cuore del mondo crypto e dell’open source.

Inizia come un qualsiasi giorno di lavoro: un messaggio su Slack da un collega, un DM su LinkedIn da un recruiter o un ping su Telegram da un altro sviluppatore. Poi arriva l’invito: “Facciamo una chiamata su Zoom per parlarne”. Ma dietro l’interfaccia di riunione perfetta al pixel, ti aspetta una nuova razza di cybercriminali, pronta a trasformare il tuo normale aggiornamento in un’imboscata digitale.

Una nuova razza di social engineering

Questa campagna, tracciata dalla Security Alliance (SEAL), segna una gelida evoluzione nelle tattiche del cybercrimine. Invece di affidarsi a rozze email di phishing, il gruppo - che si ritiene abbia legami con attori di minaccia nordcoreani - passa settimane a costruire fiducia. Si infiltra in cerchie professionali, talvolta prendendo il controllo di account legittimi su Telegram, LinkedIn o Slack, e porta avanti conversazioni reali con i propri bersagli. Quando non è possibile, fabbrica interi workspace o identità per simulare credibilità.

La trappola viene preparata con un invito a una riunione, programmato con giorni di anticipo per ridurre i sospetti. All’ora stabilita, la vittima riceve quello che sembra un normale link di Zoom o Microsoft Teams. Ma il link conduce a una pagina clone, che imita alla perfezione l’originale usando kit di sviluppo software (SDK) legittimi. In alcuni casi, l’interfaccia mostra persino volti familiari - clip video recuperate da eventi pubblici - per cullare ulteriormente la vittima in un falso senso di sicurezza.

Malware sotto forma di “assistenza tecnica”

Quando inevitabilmente emergono “problemi audio”, la piattaforma invita l’utente a risolverli - spesso scaricando uno script o incollando un comando nel terminale. Il codice sembra innocuo, ma contatta server controllati dagli attaccanti per scaricare il malware vero e proprio. Poiché non c’è un eseguibile evidente, i software di sicurezza potrebbero non segnalarlo e la vittima crede di stare semplicemente facendo troubleshooting.

Una volta eseguito, il malware è un coltellino svizzero del cybercrimine. Può rubare credenziali del browser, segreti dei wallet crypto, token di sessione e dati dei password manager. Può registrare i tasti premuti, sostituire estensioni del browser ed estrarre file sensibili e chiavi SSH. Spesso gli attaccanti aspettano prima di sfruttare il nuovo accesso, lasciando che le vittime pensino che la “chiamata” sia semplicemente fallita - mentre, in silenzio, ampliano la loro portata verso contatti e reti.

Implicazioni più ampie

Recenti collegamenti a un attacco alla supply chain che ha preso di mira il pacchetto npm “axios” suggeriscono che questi gruppi stiano puntando prede più grandi: maintainer software e progetti open source. La loro pazienza e sofisticazione tecnica li rendono una minaccia formidabile, soprattutto mentre trasformano in armi strumenti di collaborazione familiari.

Gli esperti invitano alla vigilanza: ricontrollare i link delle riunioni, non eseguire mai script o comandi da fonti non affidabili e usare una solida protezione endpoint. In un mondo in cui persino una videochiamata può essere trasformata in un’arma, “fidarsi - ma verificare” non è mai stato così importante.

WIKICROOK

  • Phishing: Il phishing è un crimine informatico in cui gli attaccanti inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.
  • Command: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
  • AppleScript: AppleScript è un linguaggio di scripting per macOS usato per automatizzare attività, ma può anche essere abusato dai malware per eseguire comandi nascosti o non autorizzati.
  • Session Token: Un token di sessione è un codice digitale univoco che mantiene gli utenti connessi a siti web o app. Se rubato, gli attaccanti possono accedere agli account senza password.
  • Supply Chain Attack: Un attacco alla supply chain è un cyberattacco che compromette fornitori di software o hardware fidati, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
Cybercrime Video Conferencing Malware
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news