Scattered Spider riemerge con nuovi attacchi al settore finanziario

I ricercatori di cyber security hanno collegato una nuova ondata di attacchi ai servizi finanziari a Scattered Spider, smentendo le affermazioni del gruppo di essere “sparito”. Secondo gli esperti, il collettivo ha spostato l’attenzione sul settore finanziario, utilizzando domini sosia e prendendo di mira una grande banca statunitense. Gli attaccanti hanno ottenuto l’accesso tramite ingegneria sociale dell’account di un dirigente e il reset della sua password di Azure Active Directory. Successivamente si sono mossi lateralmente negli ambienti Citrix e VPN, hanno compromesso VMware ESXi, elevato i privilegi in Azure e tentato di esfiltrare dati da Snowflake e AWS. Gli esperti avvertono che l’attività indica un ritiro tattico piuttosto che un vero pensionamento. Scattered Spider, collegato a ShinyHunters e LAPSUS$, è noto per campagne di estorsione e furto di dati. Gli analisti raccomandano alle organizzazioni di non abbassare la guardia, poiché i gruppi criminali spesso si ribrandizzano o si riorganizzano sotto nuove identità. L’episodio evidenzia la necessità di vigilanza continua contro attacchi di social engineering e basati sulle credenziali nei settori critici.

Campagna di frode pubblicitaria SlopAds raggiunge 2,3 miliardi di richieste giornaliere prima dello smantellamento

Una vasta operazione di frode pubblicitaria su Android chiamata “SlopAds” è stata smantellata dopo che 224 app dannose su Google Play generavano oltre 2,3 miliardi di richieste pubblicitarie al giorno. I ricercatori hanno scoperto la campagna, che utilizzava offuscamento e steganografia per nascondere le attività alle misure di sicurezza di Google. Scaricate oltre 38 milioni di volte in 228 Paesi, le app prendevano di mira soprattutto utenti negli Stati Uniti (30%), in India (10%) e in Brasile (7%).
Le app si comportavano normalmente se installate direttamente, ma quando scaricate tramite le campagne pubblicitarie degli attaccanti, recuperavano una configurazione cifrata per installare il malware “FatModule”. Questo modulo, nascosto all’interno di immagini PNG, utilizzava WebView occulte per imitare interazioni reali degli utenti, generando miliardi di impression e clic pubblicitari falsi. Google ha rimosso le app identificate e aggiornato Play Protect, ma HUMAN avverte che il gruppo dietro SlopAds potrebbe adattarsi e rilanciare schemi simili in futuro, sottolineando la portata e la resilienza della frode pubblicitaria mobile.

Microsoft e Cloudflare smantellano la rete di phishing-as-a-service Raccoono365

Microsoft e Cloudflare hanno interrotto congiuntamente una vasta operazione di Phishing-as-a-Service (PhaaS) nota come RaccoonO365, che ha facilitato il furto di migliaia di credenziali Microsoft 365. Nel settembre 2025 l’unità Digital Crimes di Microsoft, collaborando con Cloudforce One e i team Trust and Safety di Cloudflare, ha sequestrato 338 siti web e account Worker collegati allo schema.
Tracciato da Microsoft come Storm-2246, il gruppo ha rubato almeno 5.000 credenziali Microsoft in 94 Paesi dal luglio 2024, utilizzando kit di phishing con pagine CAPTCHA e tattiche anti-bot per apparire legittimi. Una campagna a tema fiscale nell’aprile 2025 ha preso di mira oltre 2.300 organizzazioni statunitensi, incluse 20 strutture sanitarie. Le credenziali e i cookie rubati da OneDrive, SharePoint e account e-mail sono stati poi usati per frodi finanziarie, estorsioni e come accesso iniziale per ulteriori attacchi.
RaccoonO365 operava tramite un modello in abbonamento su un canale Telegram privato, con tariffe da 355 a 999 dollari in criptovalute. Microsoft ha identificato il leader del gruppo, il programmatore nigeriano Joshua Ogundipe, e ha segnalato il caso alle forze dell’ordine internazionali.

Sonicwall invita a reimpostare le credenziali dei firewall dopo una violazione

SonicWall ha avvisato i clienti di reimpostare tutte le credenziali relative ai firewall a seguito di una violazione che ha esposto file di backup delle configurazioni di alcuni account MySonicWall. L’azienda afferma che gli attaccanti hanno avuto accesso a meno del 5% dei file di backup dei firewall tramite attacchi brute force al servizio API cloud. Sebbene i file rubati contenessero password cifrate, includevano anche informazioni che potrebbero facilitare lo sfruttamento dei firewall interessati.
SonicWall ha pubblicato linee guida dettagliate per gli amministratori per ridurre i rischi, inclusa la disattivazione o la restrizione dell’accesso WAN prima di reimpostare tutte le credenziali, le chiavi API e i token di autenticazione legati a utenti, account VPN e servizi. L’azienda ha sottolineato che password e chiavi configurate in SonicOS potrebbero dover essere aggiornate anche presso ISP, peer VPN o server di autenticazione.
La società afferma di non avere prove che i file siano stati diffusi online e sottolinea che l’incidente non è stato un attacco ransomware. I clienti sono invitati a seguire il bollettino Essential Credential Reset per mettere in sicurezza rapidamente i propri ambienti.

Google corregge il sesto zero-day di Chrome del 2025 sfruttato attivamente

Google ha rilasciato aggiornamenti di sicurezza urgenti per il browser Chrome per correggere quattro vulnerabilità, tra cui CVE-2025-10585 – una falla zero-day già sfruttata in attacchi attivi. Il problema, descritto come un bug di “type confusion” nel motore V8 JavaScript e WebAssembly di Chrome, può consentire agli aggressori di eseguire codice arbitrario o far crashare i programmi manipolando la memoria in modi imprevisti.
Il Threat Analysis Group di Google ha scoperto e segnalato la falla il 16 settembre 2025 ma ha trattenuto ulteriori dettagli per evitare sfruttamenti imitativi finché gli utenti non aggiornano il browser. CVE-2025-10585 è il sesto zero-day di Chrome divulgato o sfruttato quest’anno.
Si invita a aggiornare immediatamente Chrome alla versione 140.0.7339.185/.186 su Windows e macOS o 140.0.7339.185 su Linux tramite Altro > Guida > Informazioni su Google Chrome > Riavvia. Anche altri browser basati su Chromium, tra cui Edge, Brave, Opera e Vivaldi, dovrebbero applicare gli aggiornamenti appena disponibili per ridurre il rischio di attacchi.

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización.

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.