Nel panorama mondiale, sempre più complesso e varietagato, delle minacce informatiche, i criminal hacker stanno evolvendo le loro tecniche per infettare e compromettere i dispositivi digitali. Un recente report dell'HP Wolf Security Threat Insights, risalente a marzo 2025, ha rivelato una nuova ondata di sofisticati attacchi informatici che sfruttano falsi CAPTCHA per diffondere malware attraverso comandi PowerShell dannosi. Si tratta di un'innovazione che mostra come i criminali informatici stiano sempre più affinando le loro strategie per colpire le vittime in modo efficace e subdolo.
«Nel panorama attuale della minaccia cibernetica, ciò che colpisce non è più l’evoluzione tecnica degli attacchi, bensì la modalità con cui vengono orchestrati. Gli aggressori non puntano necessariamente a superare barriere tecnologiche complesse, ma si concentrano sempre più sul fattore umano, sfruttando comportamenti, abitudini e la naturale predisposizione alla fiducia" spiega Pierguido Iezzi, esperto di cybersecurity. «L’inganno - che sia palese, sottile o sapientemente costruito - rappresenta oggi la direttrice primaria dell’offensiva digitale. Non si tratta più di phishing generico o di automatismi riconoscibili: l’azione malevola si inserisce nel contesto digitale quotidiano dell’utente, ne replica i codici comunicativi e ne sfrutta la routine».
Immagina per esempio di navigare su Internet e di imbatterti in un comune CAPTCHA, quel sistema di verifica che ti chiede di dimostrare di non essere un robot. Fin qui nulla di strano, anzi, sembra quasi rassicurante. Tutti quanti siamo abituati a farlo più volte durante il giorno. Ma cosa succede se questo CAPTCHA, apparentemente innocuo, nasconde in realtà una trappola? Questo è il cuore del nuovo attacco descritto nel report: gli hacker creano falsi CAPTCHA, convincendo gli utenti a completare una serie di passaggi che li portano, senza volerlo, a danneggiare loro stessi.
Il processo inizia quando l’utente viene indirizzato verso un sito web compromesso. Qui, un CAPTCHA sembra chiedere una semplice azione, ma in realtà sta preparando il terreno per eseguire uno script di PowerShell dannoso. Una volta completato il «test di verifica», l'utente, senza rendersi conto, copia ed esegue un comando che scarica e installa malware, come il temuto Lumma Stealer, capace di rubare dati sensibili, tra cui per esempio portafogli di criptovalute.
Il malware, una volta attivato, innesca un metodo che consente al malware di eludere i tradizionali sistemi di rilevamento. In sostanza, il codice dannoso si camuffa sotto il profilo di processi solo in apparenza affidabili, rendendo così più difficile individuarlo. Le vittime, ignare, continuano a interagire con il loro dispositivo, mentre il malware lavora nell'ombra, raccogliendo informazioni e causando danni.
«L’obiettivo non è forzare una rete, ma fare in modo che sia l’utente stesso a fornire l’accesso, spesso senza nemmeno rendersene conto» aggiunge Iezzi. «Il fine resta invariato: la raccolta di dati. Informazioni, credenziali, frammenti di identità digitale che, una volta aggregati, generano vantaggio competitivo, economico o strategico per l’attore ostile. Non è la sofisticazione tecnica a fare la differenza, ma la capacità di posizionare la raccolta informativa in modo invisibile e mirato. La finalità non è il danno immediato, ma l’acquisizione silenziosa di elementi - credenziali, abitudini, informazioni di contesto - che consentano un’escalation lenta ma potenzialmente devastante».
Le nuove minacce emergenti includono l'utilizzo di immagini Svg (Scalable Vector Graphics)infette, che contengono codice JavaScript dannosi. Questi file possono nascondere trojan di accesso remoto che consentono agli aggressori di rubare dati in tempo reale, senza che l'utente se ne accorga.
Non solo le immagini, ma anche i Pdf sono diventati un veicolo per le minacce. Recenti attacchi hanno visto l'uso di documenti Pdf camuffati da richieste di preventivo per colpire le aziende del settore ingegneristico. Questi pdf contenevano malware come il Vip Keylogger, che, una volta aperto, consentiva agli hacker di monitorare le attività degli utenti e raccogliere informazioni riservate.
«Questa dinamica si innesta perfettamente in un ecosistema geopolitico dove la guerra dell’informazione e il furto di dati strategici sono strumenti di pressione, influenza e destabilizzazione» conclude Iezzi. «Il cyberspazio, per sua natura ibrido, si conferma il terreno ideale per operazioni a bassa visibilità, capaci di incidere su economia, sicurezza nazionale e percezione pubblica senza clamore. La vera innovazione non risiede più negli strumenti impiegati, ma nella capacità di sfruttare la relazione tra individuo e tecnologia. Per questo la cybersicurezza deve necessariamente evolvere, spostandosi dal piano puramente tecnico a quello comportamentale e cognitivo. Serve investire in consapevolezza, formazione e nella capacità di riconoscere l’inganno, perché nello scenario globale contemporaneo i dati non sono solo un obiettivo: sono il campo di battaglia».
