Un sofisticato kit scareware ha condotto 2,8 milioni di attacchi dall'inizio del 2026. Blocca il browser, evade i sistemi di analisi e spinge le vittime a chiamare numeri di supporto tecnico fraudolenti.
Autore: Redazione SecurityOpenLab
I ricercatori di Barracuda Research hanno individuato CypherLoc, un sofisticato kit scareware che combina tecniche di evasione avanzate, blocco del browser e manipolazione psicologica per convincere le vittime a contattare falsi numeri di supporto tecnico. Dall'inizio del 2026 il kit ha generato circa 2,8 milioni di attacchi ed è la dimostrazione lampante che lo scareware si è evoluto ben oltre il semplice blocco dello schermo. Siamo di fronte a framework interamente basati sul browser, privi di malware tradizionale, che fanno perno unicamente sulla paura dell'utente. Le novità tecniche più rilevanti sono l'uso di loader cifrati, l'esecuzione condizionata da hash e la sostituzione della pagina a runtime.
Il vettore iniziale è tipicamente una email di phishing con un link malevolo, incorporato nel corpo del messaggio o in un allegato. La pagina di destinazione appare innocua, ma contiene un payload cifrato nascosto in un elemento HTML che si attiva solo se ricorrono le condizioni giuste: la presenza del frammento URL corretto e il superamento di controlli di integrità crittografica. Se la pagina viene aperta in una sandbox il payload non si decifra e la pagina reindirizza a uno schermo vuoto. Questo meccanismo rende CypherLoc praticamente invisibile agli strumenti automatici di analisi.
Quando le condizioni vengono soddisfatte, la pagina originale viene rimpiazzata da un'interfaccia scareware a schermo intero che blocca il browser, disabilita il menu contestuale, nasconde il cursore, copre lo schermo e riproduce automaticamente suoni di allarme a ogni clic. Qualsiasi tentativo di riprendere il controllo innesca un nuovo blocco. Se l'utente cerca di analizzare la pagina con tool per sviluppatori si scatena un'ondata di attività che sovraccarica gli strumenti di analisi e manda in tilt il browser.
CypherLoc sfrutta diverse leve psicologiche per massimizzare il panico. La pagina recupera l'indirizzo IP pubblico della vittima e lo mostra in chiaro, simulando un monitoraggio attivo del sistema. Vengono presentati moduli di login fasulli che richiedono username e password: gli input non vengono mai elaborati, ma prolungano il tempo sulla pagina e amplificano il senso di urgenza quando l'inserimento delle credenziali non risolve nulla. Per tutta la durata dell'attacco, sul monitor campeggia un numero di telefono di supporto fraudolento presentato come unica via d'uscita. Quando la vittima chiama, operatori umani che si spacciano per tecnici Microsoft proseguono la truffa in tempo reale.
La difesa passa per protezioni anti-phishing, per browser ed endpoint capaci di rilevare comportamenti sospetti e per la formazione degli utenti. è importante infatti ricordare che i messaggi di sicurezza legittimi non mostrano mai numeri di telefono, non bloccano il browser e non sollecitano azioni immediate via pop-up.