Netcrook Logo
👤 TRUSTBREAKER
🗓️ 20 Apr 2026   🌍 North America

Firmato, Sigillato, Sovvertito: come i cybercriminali hanno abusato di Microsoft per scatenare malware invisibile

Una piattaforma clandestina di Malware-as-a-Service dirotta la firma affidabile di Microsoft per distribuire payload non rilevabili e abilitati ai comandi - senza bisogno di scrivere codice.

Immagina questo: un hacker, senza alcuna competenza tecnica, carica un file e riceve in cambio un pacchetto malware furtivo e cangiante - firmato crittograficamente dalla stessa Microsoft. Non è un cyber-thriller futuristico, ma la realtà portata alla luce dai ricercatori di sicurezza che hanno indagato sul servizio FUD Crypt, avvolto nell’ombra. La piattaforma ha reso l’armamento del malware facile quanto sottoscrivere un abbonamento a Netflix, catapultando anche i cybercriminali dilettanti nelle grandi leghe.

Fatti in breve

  • FUD Crypt è una piattaforma Malware-as-a-Service in abbonamento che offre malware non rilevabile per $800–$2.000 al mese.
  • Il malware viene firmato tramite Azure Trusted Signing di Microsoft, facendolo apparire legittimo alle difese di Windows.
  • I ricercatori hanno trovato oltre 200 utenti e 2.093 comandi malevoli impartiti su 32 macchine infette.
  • I payload usano crittografia polimorfica e vengono distribuiti da Dropbox o Catbox, senza mai toccare il disco.
  • La piattaforma impiega evasione avanzata: DLL sideloading, bypass di AMSI/ETW ed elevazione UAC senza alcun prompt per l’utente.

L’anatomia del crimine perfetto

Il funzionamento di FUD Crypt sembra la lista dei desideri di un cybercriminale. Gli abbonati - oltre 200, secondo dati di backend trapelati - caricano semplicemente qualsiasi programma Windows. In cambio ricevono un pacchetto malware polimorfico a più stadi, firmato dall’infrastruttura cloud della stessa Microsoft. Questa firma, indistinguibile da quella di un software legittimo, consente al malware di scivolare oltre anche gli strumenti di sicurezza più vigili.

La kill chain inizia con il DLL sideloading: il malware viene impacchettato insieme ad applicazioni comuni e firmate come Zoom, Discord o persino un eseguibile di Windows Defender camuffato. All’avvio, l’app legittima carica inconsapevolmente la DLL malevola, annidando l’attacco all’interno di un processo fidato.

Da lì, FUD Crypt impiega una cascata di tattiche di evasione. Neutralizza l’Antimalware Scan Interface (AMSI) di Microsoft con patch in memoria e breakpoint hardware, accecando i motori antivirus. Anche Event Tracing for Windows (ETW), uno strumento prediletto dai sistemi di endpoint detection, viene silenziato con una patch di un solo byte. Il malware riscrive persino l’ambiente del proprio processo per impersonare Windows Explorer, ottenendo privilegi amministrativi senza attivare gli avvisi di User Account Control (UAC).

Ogni build viene cifrata tre volte - prima con XOR, poi con RC4 e infine con un cifrario S-box personalizzato - rendendo inutile il rilevamento tramite hash o strumenti basati su firme. Il payload vero e proprio viene recuperato su richiesta da uno storage cloud, eseguito interamente in memoria e non lascia alcuna traccia forense su disco.

Con canoni mensili a partire da $800, FUD Crypt ha abbassato la soglia d’ingresso del cybercrimine, permettendo a una nuova ondata di attaccanti di distribuire minacce avanzate con pochi clic e senza alcuna conoscenza di programmazione.

Conclusione: la trappola della fiducia

L’abuso, da parte di FUD Crypt, della stessa infrastruttura di sicurezza di Microsoft è un monito netto: la fiducia, una volta trasformata in arma, può diventare una vulnerabilità. Man mano che gli strumenti dei cybercriminali diventano più accessibili e sofisticati, i difensori devono mettere in discussione persino le firme su cui un tempo facevano affidamento. In questa nuova era, la linea tra amico e nemico è sfocata - e il prossimo programma “fidato” che eseguirai potrebbe essere tutt’altro.

TECHCROOK

YubiKey 5 NFC è una chiave di sicurezza hardware pensata per ridurre il rischio che malware e campagne di abuso delle identità compromettano gli account cloud e gli accessi amministrativi. Supporta autenticazione a più fattori resistente al phishing tramite FIDO2/WebAuthn e U2F, oltre a funzioni smart card (PIV) e OTP, utili per proteggere accessi a Microsoft 365, Azure e workstation Windows. L’uso di una chiave fisica limita l’impatto di furto credenziali, session hijacking e accessi non autorizzati che spesso precedono l’esecuzione di payload “invisibili”. È compatibile con USB-A e NFC, non richiede batterie e si integra con policy aziendali di accesso condizionale. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

  • Malware: Il malware è un software dannoso progettato per infiltrarsi, danneggiare o rubare dati da dispositivi informatici senza il consenso dell’utente.
  • DLL Sideloading: Il DLL sideloading avviene quando gli attaccanti ingannano programmi fidati inducendoli a caricare file di supporto (DLL) malevoli al posto di quelli legittimi, consentendo attacchi nascosti.
  • Polymorphic Encryption: La crittografia polimorfica consente al malware di cambiare il proprio codice o le proprie chiavi a ogni iterazione, rendendo più difficile per gli antivirus rilevare e bloccare le minacce.
  • AMSI (Antimalware Scan Interface): AMSI è una funzionalità di Windows che consente ai software di sicurezza di analizzare e bloccare malware nascosto in script o applicazioni, migliorando la protezione del sistema.
  • Command: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
Malware Cybercrime Microsoft
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news