Netcrook Logo
👤 CRYSTALPROXY
🗓️ 28 Feb 2026  

I Guardiani Silenziosi: le Truffe di Phishing Trasformano un Software di Sorveglianza Legittimo in Strumenti di Spionaggio Furtivi

I cybercriminali sfruttano marchi affidabili di videoconferenza per installare Teramind, uno strumento di monitoraggio legittimo, e spiare di nascosto vittime ignare.

Immagina questa scena: sei in ritardo per un importante colloquio in video. Cerchi freneticamente il link per il download, clicchi su quella che sembra una familiare pagina del Microsoft Store e - senza alcun avviso - il tuo computer diventa gli occhi e le orecchie di un aggressore nascosto. Non è il solito malware, ma uno strumento aziendale affidabile piegato al crimine.

In una svolta inquietante di una truffa classica, i cybercriminali stanno ora facendo leva sulla fiducia che riponiamo in piattaforme di videoconferenza come Zoom e Google Meet. Invece di creare il proprio malware, questi attori della minaccia dirottano Teramind - un legittimo strumento di monitoraggio aziendale - per trasformare i PC delle vittime in dispositivi di sorveglianza, senza far scattare i tradizionali allarmi di sicurezza.

L’infezione inizia con siti di phishing realizzati meticolosamente. Una di queste campagne ha usato uswebzoomus[.]com (ora offline), mentre un’altra opera attualmente da googlemeetinterview[.]click. Entrambi imitano le pagine di download del Microsoft Store in modo così convincente che persino i più cauti potrebbero cascarci. Quando l’utente clicca sul pulsante di download, un installer MSI malevolo si infiltra silenziosamente nel sistema.

Ed è qui che diventa ingegnoso: l’installer è un binario Teramind autentico, intatto, ma il nome del file contiene un codice di 40 caratteri. Questo codice collega l’installazione all’account univoco dell’attaccante, consentendo di riutilizzare un singolo file installer per innumerevoli vittime - semplicemente rinominandolo. All’esecuzione, l’installer verifica la connessione al proprio server di comando e controllo (rt.teramind.co). Se non è raggiungibile, l’installazione si interrompe; se va a buon fine, Teramind viene distribuito in modalità “Hidden Agent”, scomparendo da barre delle applicazioni, elenchi dei programmi e area di notifica.

Questa modalità stealth, combinata con il tunneling proxy integrato, permette agli attaccanti di sottrarre dati e monitorare l’attività senza essere rilevati. Per consolidare la presa, il malware avvia due servizi persistenti - tsvchst e pmon - che si riavviano automaticamente se interrotti, rendendo la rimozione complicata per l’utente medio.

Rilevarlo è una battaglia in salita. I team di sicurezza devono cercare una directory GUID poco nota in ProgramData ({4CEC2908-5CE4-48F0-A717-8FC833D8017A}) e monitorare i servizi sospetti. La rimozione richiede strumenti amministrativi e una sequenza accurata di comandi, ben oltre la portata della maggior parte degli utenti domestici.

L’aspetto più insidioso? Poiché Teramind è ampiamente usato dalle aziende, la sua presenza su un dispositivo raramente fa scattare allarmi - offrendo agli attaccanti una copertura perfetta. Le soluzioni antivirus e di monitoraggio tradizionali potrebbero non segnalare queste installazioni, dato che il software in sé non è intrinsecamente malevolo.

Man mano che le tattiche di phishing evolvono, devono evolvere anche le nostre difese. La prossima volta che ti viene chiesto di aggiornare o installare un’app familiare, fermati e ricontrolla il dominio. In questa nuova era del cybercrimine, persino il software di fiducia può diventare un’arma nelle mani sbagliate.

WIKICROOK

  • Phishing: Il phishing è un crimine informatico in cui gli attaccanti inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.
  • Installer MSI: Un installer MSI è un formato di file Windows usato per installare, aggiornare o rimuovere software. Può anche essere sfruttato per distribuire programmi malevoli.
  • Server di Comando e Controllo (C2): Un server di Comando e Controllo (C2) gestisce da remoto i dispositivi infettati da malware, inviando istruzioni e ricevendo dati rubati dai sistemi compromessi.
  • Persistenza: La persistenza comprende tecniche usate dal malware per sopravvivere ai riavvii e restare nascosto nei sistemi, spesso imitando processi o aggiornamenti legittimi.
  • Tunnel proxy: Un tunnel proxy instrada il traffico di rete attraverso un server proxy per nasconderne l’origine, spesso usato per la privacy, per aggirare controlli o per mascherare attività malevole.
Phishing Scams Cybercrime Surveillance Software
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news