Infostealer e minacce Android in aumento, ESET contribuisce allo smantellamento di due malware-as-a-service. Il ransomware rende meno, tra instabilità interne e calo di credibilità. Frodi NFC in forte crescita, trainate da nuovi strumenti per il furto digitale
ESET, leader europeo globale nel mercato della cybersecurity, ha pubblicato il nuovo Threat Report, che riassume le principali tendenze emerse dai dati di telemetria ESET e dalle analisi condotte dai ricercatori dell’azienda, nel periodo compreso tra dicembre 2024 e maggio 2025. Tra gli sviluppi più significativi del semestre si segnala ClickFix, un nuovo e ingannevole vettore d’attacco che ha registrato un’impennata superiore al 500% rispetto al secondo semestre 2024. ClickFix è oggi il secondo vettore di attacco più rilevato dopo il phishing, ed è responsabile di quasi l’8% di tutti gli attacchi bloccati nella prima metà del 2025.
Gli attacchi ClickFix sfruttano un falso messaggio d’errore che induce la vittima a copiare, incollare ed eseguire comandi malevoli sul proprio dispositivo. Questo tipo di attacco colpisce tutti i principali sistemi operativi, inclusi Windows, Linux e macOS.
“L’elenco delle minacce associate a ClickFix si allunga ogni giorno: infostealer, ransomware, trojan per accesso remoto, cryptominer, strumenti di post-exploitation e persino malware personalizzati sviluppati da gruppi legati a Stati-nazione,” afferma Jiří Kropáč, Director of Threat Prevention Labs di ESET.
Anche l’ambito degli infostealer ha subito variazioni significative. Con il progressivo declino di Agent Tesla, ha preso piede SnakeStealer (noto anche come Snake Keylogger), diventato il malware per il furto di informazioni più frequentemente rilevato da ESET. SnakeStealer è in grado di registrare i tasti digitati, sottrarre credenziali salvate, catturare schermate e prelevare i dati copiati negli appunti.
Parallelamente, ESET ha partecipato a importanti operazioni internazionali di contrasto contro due minacce malware-as-a-service estremamente attive: Lumma Stealer e Danabot. Prima dello smantellamento, l’attività legata a Lumma Stealer era cresciuta del 21% rispetto al semestre precedente, mentre Danabot aveva registrato un incremento ancora più marcato, pari al 52%. Dati che confermano l’urgenza e l’efficacia delle azioni di contrasto.
Lo scenario legato al ransomware ha registrato una crescente instabilità, con conflitti interni tra gruppi rivali che hanno colpito diversi operatori, incluso il principale ransomware-as-a-service, RansomHub. Secondo i dati del 2024, mentre il numero complessivo di attacchi e gruppi attivi è aumentato, i pagamenti dei riscatti sono in calo. Un segnale che potrebbe riflettere da un lato il successo delle operazioni di smantellamento, dall’altro l’impatto negativo delle truffe interne (exit scam) e la conseguente perdita di fiducia nella possibilità di ottenere il ripristino dei dati da parte delle vittime.
Sul fronte Android, i rilevamenti di adware sono aumentati del 160%, in gran parte a causa di Kaleidoscope, un nuovo malware sofisticato che adotta una strategia evil twin per diffondere app dannose. Una volta installate, queste app inondano i dispositivi di pubblicità intrusive, compromettendone le prestazioni.
Nello stesso periodo, le frodi basate sulla tecnologia NFC sono cresciute di oltre 35 volte, trainate da campagne di phishing e tecniche di relay attack sempre più ingegnose. Sebbene i volumi assoluti siano ancora contenuti, la crescita esponenziale evidenzia quanto rapidamente si stiano evolvendo le modalità di attacco basate su NFC.
Le analisi di ESET sul malware GhostTap rivelano come questo strumento venga utilizzato per sottrarre i dati delle carte di pagamento, che vengono poi caricati su portafogli digitali controllati dagli attaccanti, consentendo pagamenti contactless fraudolenti in tutto il mondo. In alcuni casi, vere e proprie “fabbriche di frode” gestiscono numerosi telefoni in parallelo per scalare l’attacco.
SuperCard X, invece, è una versione semplificata e minimale del furto NFC in modalità malware-as-a-service: si presenta come un’app apparentemente innocua legata alla tecnologia NFC ma, una volta installata, acquisisce e trasmette in tempo reale i dati delle carte di pagamento, consentendo incassi immediati agli attaccanti.
“Dalle nuove tecniche di social engineering alle minacce mobili sempre più complesse, passando per le operazioni di contrasto ai principali infostealer, il primo semestre del 2025 ha dimostrato quanto lo scenario delle minacce sia in continua evoluzione,” conclude Kropáč a proposito dei contenuti dell’ultimo ESET Threat Report.
Per maggiori informazioni, è possibile consultare l’ESET Threat Report H1 2025 su WeLiveSecurity.com. Per rimanere aggiornati sulle ultime novità è possibile seguire ESET Research su X (precedentemente noto come Twitter), BlueSky e Mastodon.
