Icone dell’Inganno: Come Falsi Avvisi Antivirus Hanno Preso di Mira Aziende Israeliane in un Attacco Informatico ad Alto Rischio

Quando arriva un’email dal reparto IT con un aggiornamento di sicurezza urgente, la maggior parte dei dipendenti non ci pensa due volte prima di aprirla. Ma nella più recente serie di attacchi contro aziende israeliane, quella fiducia è diventata un’arma - maneggiata con precisione inquietante da criminali informatici che sfruttano proprio i marchi destinati a proteggere.

Il nuovo cluster di minacce scoperto, con nome in codice UNG0801, sta orchestrando una campagna sofisticata - Operazione IconCat - contro imprese israeliane. Secondo il team APT di SEQRITE Labs, questi attacchi sono iniziati a metà novembre 2025 e hanno preso di mira principalmente fornitori di servizi IT, agenzie di collocamento e aziende di software.

La strategia degli aggressori è tanto astuta quanto efficace: email di phishing, scritte in ebraico autentico, imitano promemoria interni o avvisi di cybersicurezza. Le vittime ricevono allegati che sembrano guide antivirus ufficiali o inviti a webinar, completi di loghi familiari di Check Point o SentinelOne. Il vero colpo arriva quando gli utenti seguono le istruzioni per scaricare “scanner di sicurezza” o abilitare macro Word - azioni che innescano la catena d’infezione.

Sono state documentate due catene d’infezione. La prima si spaccia per Check Point, distribuendo un PDF chiamato help.pdf che istruisce gli utenti a recuperare uno “Scanner di Sicurezza” da Dropbox. Il file, protetto dalla password “cloudstar”, rilascia PYTRIC - un impianto basato su Python costruito con PyInstaller. Una volta attivato, PYTRIC esegue la scansione dei file locali, verifica i privilegi di amministratore e impartisce comandi per cancellare dati di sistema e backup. La sua comunicazione con un bot Telegram suggerisce intenti da wiper, più orientati al sabotaggio che al furto.

La seconda campagna si traveste da SentinelOne, distribuendo un impianto basato su Rust, RUSTRIC, tramite documenti Word infetti da macro dannose. RUSTRIC si presenta come uno strumento legittimo ma in realtà effettua ricognizione digitale, catalogando prodotti antivirus e di sicurezza endpoint, ed eseguendo classici comandi di spionaggio come whoami e nslookup. Questo malware si connette a server remoti, ampliando l’accesso e la raccolta di informazioni da parte degli aggressori.

Entrambe le campagne sfruttano abilmente la fiducia riposta nei marchi di cybersicurezza, utilizzando icone e linguaggio familiari per abbassare la guardia delle vittime. Indizi infrastrutturali - come certificati riutilizzati e server VPS a basso costo - fanno pensare ad attori di minaccia ingegnosi, forse basati nella regione, ma l’attribuzione rimane sfuggente.

L’Operazione IconCat è un chiaro promemoria: nell’era digitale, la fiducia è un’arma a doppio taglio. Poiché gli aggressori si camuffano sempre più spesso sotto le spoglie della sicurezza, le organizzazioni devono ripensare a come autenticare le comunicazioni - anche quelle che sembrano provenire dai propri difensori.

WIKICROOK

• Phishing: Il phishing è un crimine informatico in cui gli aggressori inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o cliccare su link dannosi.
• Wiper: Un wiper è un malware che elimina o corrompe dati per causare danni o coprire le tracce, rendendo difficile o impossibile il recupero.
• VBA Macro: Le macro VBA sono script nei documenti Office che automatizzano attività ma possono anche essere usate per diffondere malware o eseguire codice dannoso se abusate.
• Implant: Un impianto è uno strumento software o hardware nascosto utilizzato dagli aggressori per accedere, monitorare o controllare segretamente un sistema o dispositivo bersaglio.
• Command: Un comando è un’istruzione inviata a un dispositivo o software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi dannosi.