Contenuto Scopri anche Backdoor FIRESTARTER: CISA aggiorna la direttiva dopo violazione federale Retrospettiva NGate: il malware Android che ha aperto la strada al relay NFC Zero-Day SharePoint: perché il CVSS 6.5 è ingannevole Bitwarden CLI compromesso: attacco supply chain viola npm Trusted Publishing Scattered Spider: hacker Buchanan si dichiara colpevole, rischia 22 anni Tre zero-day di Microsoft Defender sfruttati attivamente: le vulnerabilità BlueHammer, RedSun e UnDefend Ransomware The Gentlemen: 1.570 reti violate nell'ombra Phishing Apple 2026: attacchi sincronizzati eludono iOS 26 Oracle traina il rimbalzo del software: l'infrastruttura AI riaccende i mercati Malware Lotus wiper: analisi della minaccia cyber in Venezuela Attacco hacker a Booking.com: dati utenti esposti e rischio phishing mirato Oracle traina il rimbalzo del software: ricavi cloud +84%, partnership AI da 300 miliardi BRIDGE:BREAK: 22 vulnerabilità critiche scoperte in convertitori Serial-to-IP Lantronix e Silex Malware e minacce digitali: l'evoluzione delle tecniche di attacco e le strategie di difesa Microsoft valuta un nuovo tier di Game Pass esclusivo per i titoli first-party Apache ActiveMQ: zero-day sfruttato attivamente, patch urgente L'Italia nel mirino: attacchi informatici +42% e una sicurezza ancora sotto tono LinkedIn rivoluziona ricerca e feed con intelligenza artificiale generativa DarkSword: l'exploit kit iOS che combina sei vulnerabilità per il controllo silenzioso dei dispositivi Vulnerabilità zero-day in Microsoft Defender: exploit BlueHammer e RedSun sfruttati in attacchi reali UNC6692: nuova minaccia Teams colpisce decisori aziendali Quanto è affidabile una richiesta di supporto IT che arriva su Microsoft Teams subito dopo che la tua casella email è stata sommersa da centinaia di messaggi? Questa è la domanda che le aziende devono porsi di fronte alla campagna UNC6692, un cluster di minacce precedentemente non documentato che combina tecniche di social engineering avanzate con una suite malware modulare personalizzata. Le rivelazioni, emerse il 23 aprile 2026, mostrano un incremento significativo degli attacchi verso dipendenti di livello senior. Cos'è UNC6692 e come opera la campagna UNC6692 rappresenta un cluster di attività malevola identificato per la prima volta nei report pubblicati il 23 aprile 2026. Si tratta di un attore che ha sviluppato un approccio articolato per infiltrarsi nelle organizzazioni, sfruttando la fiducia intrinseca dei dipendenti verso gli strumenti di comunicazione aziendale. La campagna è attiva almeno dal primo trimestre 2026 e si distingue per l'uso coordinato di email bombing e impersonazione via Microsoft Teams. Tale denominazione "UNC" (Unclassified) indica che non è stato ancora attribuito questa attività a un gruppo threat actor noto. La suite malware utilizzata prende il nome di "SNOW", con componenti denominati SNOWBELT, SNOWGLAZE e SNOWBASIN, a formare un ecosistema modulare progettato per accesso persistente, ricognizione interna ed esfiltrazione dati. Email bombing e impersonazione helpdesk: il vettore iniziale L'attacco si apre con una fase di email bombing mirata a sommergere la casella postale della vittima. Questo crea un falso senso di urgenza e disorientamento nel destinatario. Successivamente, l'attaccante avvia una chat su Microsoft Teams spacciandosi per un dipendente del supporto IT, proveniente da un account esterno all'organizzazione target. I tempi di esecuzione sono estremamente rapidi: in alcuni casi osservati, le chat Teams sono state avviate a soli 29 secondi di distanza tra l'inizio dell'email bombing e il contatto diretto con la vittima. Questa sincronizzazione suggerisce un processo parzialmente automatizzato o quantomeno un coordinamento operativo preciso da parte degli aggressori. Nello specifico, la pagina di phishing utilizzata nella campagna è denominata "Mailbox Repair and Sync Utility v2.1.5" e presenta un pulsante "Health Check" che richiede le credenziali della casella postale. Una volta inserite, le credenziali vengono esfiltrate verso un bucket Amazon S3 controllato dall'attaccante. Come evidenziato dalle analisi, uno script gatekeeper garantisce che il payload venga consegnato solo ai target previsti evitando i sandbox di sicurezza automatizzati. La suite malware SNOW: architettura modulare Dopo la fase iniziale di compromissione, UNC6692 distribuisce un payload che scarica uno script AutoHotkey da un bucket AWS S3 sotto il controllo dell'attaccante. Da qui si attiva la catena di infezione che porta all'installazione della suite malware SNOW. Il componente SNOWBELT è un'estensione browser malevola progettata per browser Chromium-based. Viene installata su Microsoft Edge in modalità headless tramite lo switch --load-extension , permettendo l'esecuzione silenziosa senza interfaccia grafica visibile all'utente. Questa tecnica consente all'estensione di operare in background intercettando sessioni e rubando dati sensibili. SNOWGLAZE è un tunnele...