La notifica della tua spedizione è ora un malware dropper

Una nuova ricerca condotta dagli esperti di sicurezza informatica di Forcepoint X-Labs rivela che le aziende stanno affrontando un forte aumento degli attacchi via email, in cui i criminali nascondono software dannosi all'interno di file apparentemente normali. Questo rapporto, condiviso con Hackread.com, indica una tendenza nel terzo trimestre del 2025, citando un forte aumento delle campagne che utilizzano allegati JavaScript per infiltrare malware nelle difese.

Mayur Sewani, ricercatore di sicurezza di Forcepoint, osserva che gli aggressori "nascondono le loro esche nelle comunicazioni aziendali quotidiane". Ciò significa che le email dannose sono attentamente progettate per apparire come normali comunicazioni aziendali, come falsi ordini di acquisto, avvisi di spedizione o preventivi. In pratica, fanno leva sulla fiducia del destinatario, presentandosi come richieste legittime.

Tra gli oggetti ricorrenti individuati dal team di ricerca figurano "RE: Payment Swift MT103" e "DHL Shipment Notification", solitamente localizzati nella lingua del destinatario. La ricerca rileva che gli aggressori utilizzano queste esche in molte lingue diverse, come lo spagnolo (Solicitud de cotización), per prendere di mira aziende che non parlano inglese.

L'attacco inizia in genere con un file di archivio compresso (ZIP, RAR, 7z o TAR) contenente un file JavaScript. Questo JavaScript è fortemente offuscato, il che significa che il codice è volutamente codificato per renderlo difficile da leggere e bloccare per gli strumenti di sicurezza.

Una volta che un utente viene indotto ad aprirlo, lo script agisce come un downloader, avviando silenziosamente la fase successiva dell'attacco utilizzando strumenti Windows legittimi come PowerShell e WMI (Windows Management Instrumentation) per gestire 'Living off the Land' (LotL) ed eseguire i suoi comandi senza mostrare una finestra.

La catena di distribuzione del malware utilizza una tecnica chiamata steganografia, che consiste nell'occultare un file, un messaggio o un'informazione all'interno di un altro file. In questi attacchi, il codice dannoso è nascosto all'interno di un file immagine dall'aspetto innocuo, come un file PNG. Il payload dannoso è codificato in Base64 all'interno del flusso di dati dell'immagine. Lo script di download estrae e decodifica questi dati Base64 per ricostruire il binario finale.

La domanda rimane: cosa stanno trasmettendo? I payload finali sono in genere Trojan di Accesso Remoto (RAT) e programmi che rubano informazioni. Tra gli esempi individuati durante l'indagine figurano DarkCloud , Remcos , Agent Tesla e Formbook , tutti progettati per rubare dati critici.

Il payload finale è un file binario DLL o EXE. Dopo l'installazione, questi payload avviano la comunicazione di Comando e Controllo (C2) per esfiltrare credenziali rubate, informazioni bancarie e dati di sistema.

Vale la pena notare che questi attacchi sono piuttosto complessi e utilizzano metodi come il process hollowing (in cui il codice dannoso viene eseguito all'interno di un programma attendibile come RegASM.exe per nascondere la propria attività) e funzioni per eludere il rilevamento da parte delle macchine virtuali utilizzate per l'analisi della sicurezza.

Sewani consiglia alle organizzazioni di "combinare filtri avanzati per la posta elettronica, protezione degli endpoint e consapevolezza degli utenti" per proteggersi da questa minaccia.