Netcrook Logo
👤 LOGICFALCON
🗓️ 13 Jan 2026  

Dentro la truffa HR: come i cybercriminali trasformano falsi report sui dipendenti in un’arma per invadere il tuo posto di lavoro

Una nuova ondata di email di phishing sfrutta la paura dei licenziamenti per distribuire malware furtivo, esponendo le vittime a una sorveglianza digitale su vasta scala.

Tutto inizia con un sussulto: un’email arriva nella tua casella di posta, apparentemente dall’HR, e avverte di imminenti valutazioni delle prestazioni e possibili licenziamenti. L’ansia è reale - così reale, infatti, che potresti scaricare l’allegato “staff record” senza pensarci. Ma dietro questa cortina di fumo digitale si nasconde qualcosa di molto più sinistro di una lettera di licenziamento: un attacco malware sofisticato progettato per trasformare il tuo computer in una spia al servizio dei cybercriminali.

Fatti rapidi

  • Gli aggressori si spacciano per HR o management, inviando ai dipendenti email false sulle valutazioni delle prestazioni.
  • Le email includono un allegato compresso contenente un file eseguibile camuffato, spesso denominato in modo da sembrare un PDF.
  • L’apertura del file installa Guloader, che recupera di nascosto ulteriore malware da Google Drive.
  • Il payload finale è Remcos RAT, uno strumento di accesso remoto in grado di rubare password, spiare tramite webcam e registrare i tasti premuti.
  • Le infezioni sono state ricondotte a server che comunicano con l’IP 196.251.116.219 sulle porte 2404 e 5000.

L’anatomia di un raggiro digitale

Secondo un recente avviso dell’AhnLab Security Intelligence Center (ASEC), gli aggressori stanno sfruttando l’ansia sul posto di lavoro con email costruite per sembrare comunicazioni urgenti da parte dei vertici aziendali. I messaggi fanno riferimento alle imminenti “valutazioni delle prestazioni di ottobre 2025” e lasciano intendere licenziamenti, spingendo i destinatari a controllare un file allegato per conoscere il proprio stato. L’allegato, spesso una cartella compressa, contiene un file chiamato “staff record pdf.exe”. Se il computer della vittima è impostato per nascondere le estensioni dei file - un’impostazione predefinita comune - il file appare come un innocuo PDF, mascherando la sua vera natura di programma eseguibile.

Una volta aperto, questo file scatena Guloader, un downloader furtivo che elude il rilevamento nascondendosi nella memoria temporanea. Guloader si collega quindi a un link di Google Drive, recuperando ulteriori strumenti malevoli sotto le mentite spoglie di traffico cloud legittimo - rendendo difficile ai sistemi di sicurezza di base bloccare l’attacco. La fase finale è l’installazione di Remcos RAT (Remote Access Trojan). Questo strumento consegna agli hacker le chiavi del regno: controllo remoto della macchina infetta, capacità di guardare attraverso le webcam, ascoltare tramite i microfoni, catturare ogni battitura e raccogliere password e dati di navigazione.

L’indagine di ASEC ha ricondotto le comunicazioni del malware a un server specifico, evidenziando la portata globale e la sofisticazione tecnica di queste campagne. Per quanto le tattiche siano astute, gli obiettivi sono brutali: spionaggio su vasta scala e furto di dati, con il potenziale di mettere a rischio interi ambienti di lavoro.

Restare un passo avanti

Questo attacco è un caso da manuale di social engineering, che sfrutta fiducia e paura per aggirare anche le migliori difese tecniche. Per proteggerti, esamina con attenzione qualsiasi comunicazione HR inattesa - soprattutto quelle con allegati. Assicurati che il sistema mostri le estensioni complete dei file, così un “.exe” camuffato non potrà spacciarsi per un documento innocuo. E ricorda: aggiornamenti regolari delle password e l’autenticazione a più fattori possono limitare i danni se commetti un errore.

Man mano che i cybercriminali diventano più audaci e creativi, la vigilanza è la migliore difesa. Nell’era digitale, anche l’email di lavoro più ordinaria potrebbe essere l’inizio di una violazione - quindi fermati prima di cliccare e pensaci due volte prima di fidarti.

WIKICROOK

  • Phishing: Il phishing è un crimine informatico in cui gli aggressori inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.
  • File eseguibile (.exe): Un file eseguibile (.exe) avvia un programma su Windows. Può installare software o malware, quindi apri file .exe solo da fonti affidabili.
  • Guloader: GuLoader è un loader di malware che distribuisce ulteriore software malevolo, come trojan o ransomware, sui sistemi infetti, spesso tramite campagne di phishing.
  • Trojan di accesso remoto (RAT): Un Trojan di accesso remoto (RAT) è un malware che consente agli aggressori di controllare di nascosto il computer di una vittima da qualsiasi luogo, permettendo furto e spionaggio.
  • Social Engineering: Il social engineering è l’uso dell’inganno da parte degli hacker per indurre le persone a rivelare informazioni riservate o a fornire accesso non autorizzato ai sistemi.
Phishing Malware Social Engineering
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news