Il software che dovrebbe proteggerti diventa il vettore d'attacco. È il paradosso al centro di RedSun, un exploit proof-of-concept pubblicato il 15 aprile 2026 che trasforma il processo di rimedio di Windows Defender in un meccanismo di scrittura arbitraria di file con privilegi massimi (SYSTEM). La vulnerabilità, ancora senza patch al momento della pubblicazione, colpisce Windows 10, Windows 11 e Windows Server 2019 e versioni successive - anche con gli aggiornamenti di aprile 2026 regolarmente installati. A renderla pubblica è un ricercatore noto con l'alias Chaotic Eclipse (account GitHub: Nightmare-Eclipse), che nel giro di tredici giorni ha rilasciato tre exploit distinti contro il motore antivirus integrato di Microsoft.
Se pensavate che installare estensioni esclusivamente da Chrome Web Store fosse una garanzia di sicurezza, è il momento di rivedere quella convinzione. Un'indagine pubblicata dal team di ricerca di Socket ha portato alla luce una campagna coordinata di 108 estensioni malevole, tutte presenti nel negozio ufficiale di Google. Non stiamo parlando di software distribuito su forum oscuri o repository sconosciuti: queste estensioni erano disponibili con pagina pubblica, recensioni e contatore di installazioni. Il totale supera le 20.000 installazioni. Al momento della pubblicazione del rapporto, risultavano ancora attive.
Un falso aggiornamento di Windows 11 che ruba password e credenziali bancarie. A lanciare l'allarme è Malwarebytes, che ha identificato una campagna di distribuzione malware mascherata proprio da update cumulativo per Windows 11 versione 24H2. Il file malevolo passa indenne attraverso 69 motori antivirus su VirusTotal: zero rilevamenti, nessuna regola YARA corrispondente, classificazione comportamentale a basso rischio. Il tutto confezionato in un pacchetto dall'aspetto impeccabile, ospitato su un dominio che scimmiotta quello ufficiale Microsoft.
Basta aprire un PDF. Non serve cliccare su un link sospetto, non serve abilitare macro, non serve confermare alcun dialogo. Un file con un nome innocuo come fattura.pdf è sufficiente a compromettere il sistema. È questo lo scenario concreto dietro CVE-2026-34621, una vulnerabilità in Adobe Acrobat Reader che Adobe ha confermato essere attivamente sfruttata e per cui ha rilasciato un aggiornamento d'emergenza.
fattura.pdf
Un ricercatore di sicurezza acquista un proiettore Android economico da un marketplace online. Ma poi ne smonta il firmware, e ci trova dentro un malware preinstallato in fabbrica. Non un'app sospetta scaricata per errore, non un adware finito lì per negligenza, ma un trojan ad accesso remoto pienamente funzionante, piazzato nel dispositivo prima ancora che qualcuno lo sigillasse nella scatola. Il malware comunica silenziosamente con un server di comando e controllo in Cina. Dispositivi identici si vendono a migliaia su Amazon, AliExpress ed eBay.
Spegnere e riaccendere il router. Un consiglio che sembra provenire dall'operatore del call center prima ancora di capire il problema. Eppure stavolta a darlo è la National Security Agency (NSA) degli Stati Uniti, affiancata dall'FBI e da una serie di partner internazionali. L'avviso è legato a un'operazione giudiziaria concreta contro una rete di router domestici compromessi dall'intelligence militare russa. Il messaggio della NSA è sintetizzato in uno slogan che non lascia margini: «Don't be a victim!».
Aggiornare i plugin di WordPress o Joomla è uno di quei gesti quasi automatici per chi gestisce un sito web. Anzi: su molte istanze, è letteralmente un automatismo. Ma cosa succede quando il canale di aggiornamento stesso diventa il vettore d'attacco? Il 7 aprile 2026 è accaduto esattamente questo agli utenti di Smart Slider 3 Pro, plugin diffuso su WordPress e Joomla con oltre 800.000 installazioni attive sulla sola piattaforma WordPress. Un attaccante ha compromesso l'infrastruttura di aggiornamento di Nextend, lo sviluppatore del plugin, sfruttandola poi per distribuire una versione con malware incorporato. Chiunque abbia premuto "aggiorna" - o avesse gli aggiornamenti automatici attivi - ha installato una backdoor sul proprio sito
Per anni il furto di cookie di sessione è stata una tecnica particolarmente efficace per rubare gli account degli utenti. Il motivo è semplice e brutale: un cookie di sessione già autenticato scavalca qualsiasi protezione a più fattori, perché rappresenta una sessione già validata. L'attaccante non ha bisogno di password né di codici temporanei. Ha bisogno solo di quel piccolo file di testo. Con Chrome 146, Google prova a chiudere questa scappatoia introducendo Device Bound Session Credentials (DBSC), un meccanismo che lega crittograficamente le credenziali di sessione al dispositivo fisico dell'utente. Un cookie rubato e trasferito su un'altra macchina diventa, in teoria, completamente inutilizzabile
Una vulnerabilità con punteggio CVSS 9.8 su 10 colpisce il componente aggiuntivo Ninja Forms - File Uploads, estensione premium del popolare plugin per moduli WordPress. La falla, tracciata come CVE-2026-0740, consente a un attaccante non-autenticato di caricare file arbitrari sul server - incluse webshell PHP pronte all'uso - e ottenere l'esecuzione di codice da remoto. Nessuna credenziale, nessuna interazione dell'utente, nessun privilegio elevato. Il tipo di scenario che fa perdere il sonno a chi amministra siti WordPress.
Un ricercatore di sicurezza noto con l'alias Chaotic Eclipse ha pubblicato su GitHub il codice di un exploit per una vulnerabilità di Windows ancora priva di patch. L'exploit, ribattezzato BlueHammer, sfrutta una falla che consente a un attaccante di ottenere permessi di livello SYSTEM - il massimo grado di controllo su una macchina Windows. Nessuna correzione ufficiale è disponibile: per definizione, siamo dunque di fronte a uno zero-day.
Un attore malevolo che si fa chiamare «Mr. Raccoon» sostiene di aver sottratto ad Adobe oltre 13 milioni di ticket di assistenza clienti, dati su 15.000 dipendenti, documenti interni e - dettaglio potenzialmente esplosivo - l'intero archivio delle segnalazioni di vulnerabilità inviate tramite la piattaforma HackerOne. Il punto di ingresso non sarebbe stato un attacco diretto all'infrastruttura di Adobe, ma la compromissione di un'azienda indiana alla quale era stata affidata la gestione del supporto clienti. Adobe, al momento, non ha rilasciato alcun commento ufficiale.
Un ransomware scritto in Rust neutralizza Windows Defender - e non solo - su un sistema Windows 11 Pro completamente aggiornato. Nessuna vulnerabilità zero-day, nessuna iniezione di codice in memoria. Solo un driver firmato, legittimo, distribuito con un prodotto commerciale di sicurezza.
SparkOnSoft, SparkleDocument, PDFSparkware o Sparklin Doc, è un malware che si trova in giro per il Web, principalmente si diffonde attraverso banner pubblicitari o popup che invitano a scaricare programmi a pagamento per la gestione e conversione dei file PDF. Ogni tanto cambiano nome ai file, o cambiano il certificato con cui lo firmano, il tutto per cercare di sfuggire alla rilevazione degli antivirus.
Microsoft Defender è ormai diventato un affidabile antivirus, ma anche lui, come qualsiasi altro software di protezione, può avere delle errate, o esagerate, rilevazioni e bloccare dei programmi che sappiamo essere sicuri, solo perché non firmati, magari perché sviluppati da noi stessi, o perché compiono delle azioni che l'antivirus ritiene pericolose. Così l'unico modo per utilizzare questi programmi è quello di metterli nella lista delle esclusioni in modo che non l'antivirus non li controlli.
Al lavoro, chi gestisce l'antivirus e la sicurezza aziendale, ci chiede di eseguire un controllo supplementare quando rilevano qualcosa di strano e sospetto nei computer in uso agli utenti. I tool che ci chiedono di utilizzare sono Microsoft Safety Scanner e Kaspersky Virus Removal Tool, così mi sono messo a cercare un metodo per poterli avviare da remoto, in modo invisibile all'utilizzatore del computer, tramite PowerShell e NinjaOne.
Stinger è un tool portable, definiamolo ancora in questo modo, distribuito dalla Trellix, ex McAfee, che permette una ricerca più veloce di una serie di malware nel proprio computer. Un programma portable non dovrebbe lasciare traccia nel computer dopo che è stato utilizzato, o almeno niente di troppo vistoso o non eliminabile facilmente, dopo aver provato Stinger nel mio computer mi ritrovo invece quattro servizi McAfee attivi, tre di questi riesco anche a terminarli, o disattivarli, ma il McAfee Service Controller risulta intoccabile e non modificabile.
Osprey è una estensione open source, disponibile per Chrome, Edge e Firefox, per il browser e serve ad aumentare la protezione da siti malevoli di vario tipo, come phishing, frodi online, PUA, spam, cryptojacking, malware e malveritising, impedendo di accedervi, lasciando però la possibilità di proseguire a vostro rischio e pericolo.
In alcuni siti possiamo trovare una verifica, simile a quella che vedete nell'immagine, per controllare che ad accedere sia una vera persona. A volte basta mettere il flag nella casellina, oppure compaiono delle immagini da selezionare, prima di poter procedere. Il problema è che si stanno diffondendo dei falsi controlli che invitano l'utente a eseguire del codice, malevolo, per completare la verifica e, dalle discussioni che mi è capitato di leggere, qualcuno lo esegue pure, vedi 1 e 2.
Al lavoro la società che si occupa di gestire l'antivirus aziendale, utilizza anche le analisi di VirusTotal (non chiedetemi perché, sono anni che me lo domando) per decidere se un file è malevolo e, spesso e volentieri, commette degli errori clamorosi bloccando computer, o costringendo noi IT a controlli e formattazioni dei sistemi per dei file normalissimi e più che sicuri. In molti casi si tratta di documenti Office con una macro di troppo o di eseguibili prodotti in azienda, senza firma digitale, e ritenuti non sicuri dall'antivirus installato nei computer. Casi simili capitano anche a molte persone che navigano su Internet e scaricano un file che il loro antivirus blocca perché lo considera un malware.
Con la tipologia "file canarino" (canary) si intendono file dal contenuto irrilevante che vengono usati come "sentinelle" per monitorare eventi all'interno di una cartella: la loro cifratura da parte di un ransomware, l'esfiltrazione durante un attacco hacker, la rimozione dolosa o accidentale, innescheranno un allarme che avviserà l'utente (o l'amministratore di rete) che qualcosa di sospetto sta accadendo in quella cartella. Si possono anche impostare misure difensive che attivano una reazione automatica in base al tipo di allarme, senza richiedere l'intervento dell'operatore.
Può capitare di trovarsi davanti dei file sospetti di documenti (Office, PDF o simili), magari arrivati via mail, che il nostro antimalware reputa sicuri, ma nondimeno esitiamo ad aprirli perché qualcosa non ci convince e al tempo stesso non vogliamo semplicemente cancellarli, magari perché stavamo aspettando di ricevere qualcosa del genere. Purtroppo non abbiamo modo di contattare direttamente la fonte che ce li ha inviati e non è pubblicamente controllabile il loro hash (come quando si scarica un file dai siti più attenti alla sicurezza). Come procedere? Il dilemma amletico "aprire il file o non aprirlo?" può essere sciolto usando, come "ultima spiaggia", il programma Dangerzone (scaricabile da qui).
Ok, lo ammetto: ho esagerato un po' nel titolo. Infatti chi sa cos'è root su un sistema Unix (come Linux, alla base di Android), saprà bene che... non esiste una vera alternativa! Tuttavia è possibile elevare i normali permessi di un applicazione per farla lavorare come un utente con maggiori privilegi, come se fosse l'app Shell, che è l'app che esegue diversi comandi impartiti con ADB. Come? Con Shizuku! L'esagerazione nel titolo però non riguarda "facile" perché, a differenza del root che di solito richiede un computer e un bel po' di lavoro, con Shizuku possiamo fare tutto in pochi minuti dal nostro dispositivo collegato ad un Wi-Fi (anche senza connessione internet)!
Senza aver fatto modifiche particolari al sistema operativo, mi accorgo che la protezione antimanomissione di Windows Defender si è disattivata e risulta gestita dall'amministratore. Vediamo come ripristinarla.
"Non ci sono più i malware di una volta." mi capita di pensare a quanto era rischioso navigare, cliccare su qualche pagina o banner, o provare a installare qualcosa e ritrovarsi il browser pieno di toolbar o adware vario. I malware esistono sempre, non dimentichiamolo mai, solo che sono diventati più subdoli, nascosti e, se non si cercano bene, difficili da trovare ed eliminare.
Per gli utilizzatori e amanti, come il sottoscritto, del mondo Linux, ClamTk è la nota interfaccia grafica per il potente antivirus open-source ClamAV, meglio: "a graphical front-end for ClamAV using Perl and Gtk libraries. It is designed to be an easy-to-use, lightweight, on-demand antivirus scanner for Linux systems" (descrizione ufficiale direttamente tratta dalla home page).
![[Android 11+] Shizuku: un'alternativa facile al root!](https://turbolab.it/immagini/med/5/titolo-23769.avif)
