Nel secondo trimestre del 2025 almeno il 13% delle minacce trasmesse via email è riuscito a superare i filtri dei gateway di sicurezza e il 40% dei malware bloccati da HP Sure Click è stato veicolato tramite file compressi. Sono due dati significativi riportati nell’HP Wolf Security Threat Insights Report di settembre 2025, basato sui dati raccolti tramite ambienti virtualizzati di analisi predittiva.

Gli archivi compressi tornano quindi a essere il vettore più utilizzato dai cybercriminali: si tratta di formati come RAR (il più diffuso, impiegato nel 26% dei casi), ZIP, 7Z, GZ e ACE. Gli eseguibili e gli script seguono con il 35% dei casi (+1% rispetto al trimestre precedente), mentre Word e altri documenti Office totalizzano il 9%. Le minacce veicolate da fogli di calcolo (XLS/XLSX) calano al 4% (-2%), mentre il formato PDF rappresenta l’8% dei vettori, segnando una riduzione del 2% rispetto a Q1 2025.

Dal punto di vista dei canali di diffusione, la posta elettronica resta saldamente in testa con il 61% delle infezioni attestate nel secondo trimestre dell’anno, seguita dai download da browser (23%) e dai supporti removibili, cresciuti al 16% (+1%). Un dato che fa riflettere è il ruolo degli attacchi che riescono a bypassare sia i sistemi di difesa degli endpoint, sia i gateway di posta elettronica, con percentuali che testimoniano una costante evoluzione delle tecniche di evasione.

Immagine malevola che contiene il payload XWorm

Una delle evidenze più cruciali emerse dal report riguarda la combinazione di strumenti living-off-the-land da parte degli attaccanti. Le tecniche osservate si basano sull’abuso di tool e binari legittimi già integrati nell’ambiente Windows per ostacolare la distinzione tra le attività malevole e quelle di ordinaria amministrazione.

Un perfetto esempio di campagna multistadio mirata di questo tipo è XWorm. Il vettore di attacco parte da file .chm allegati a email di phishing. Quando l’utente li apre, il programma hh.exe visualizza il contenuto e, contestualmente, esegue gli script malevoli incorporati. Il processo abusa di diverse living-off-the-land binaries dettagliatamente descritti nel report. La sequenza raggiunge il culmine con il download di un’immagine da un dominio affidabile. L’immagine, apparentemente innocua, nasconde dati nascosti nei suoi pixel, che vengono estratti e usati per richiamare funzioni .NET ed eseguire il payload finale, XWorm appunto, che è un RAT con capacità avanzate di controllo remoto e furto di dati.

Inoltre, il report sottolinea il ruolo sempre più centrale delle campagne di phishing che sfruttano file SVG come vettore iniziale. Gli attaccanti realizzano file SVG che replicano fedelmente l’aspetto e le funzioni di un’interfaccia Adobe Acrobat Reader, completa di animazioni, caricamento progressivo e pulsanti interattivi. In realtà è tutto falso: sono elementi di social engineering studiati per ottenere la fiducia dell’utente, che interagendo con la finta interfaccia innesca inconsapevolmente il download di un archivio ZIP. Di per sé, il file SVG non contiene codice malevolo; include un riferimento a un JavaScript esterno controllato dagli attaccanti, che contiene lo script dannoso. Quest’ultimo instaura una persistenza, avvia la raccolta di dati di sistema tramite il Registro di Windows, genera un identificatore unico e si collega a un server di comando e controllo che impartisce ordini da remoto.

Altre minacce

Una porzione consistente delle minacce bloccate nel secondo trimestre da HP Wolf ha origine da file PDF utilizzati in campagne di social engineering. Con un mix delle tecniche descritte sopra, gli attaccanti inviano documenti PDF che includono un pulsante ben visibile che invita a scaricare un archivio ZIP. Al suo interno, uno script VBE crea chiavi di registri personalizzate e inietta payload in memoria usando PowerShell e funzioni .NET. il payload rilevato in queste campagne è MassLogger, un credential stealer capace di intercettare quello che viene digitato sulla tastiera.

L’esca è la richiesta di preventivo

Un altro protagonista è Lumma Stealer, diffuso tramite file IMG allegati alle email di phishing. Si tratta di archivi che vengono automaticamente montati da Windows come drive virtuali, e che permettono agli attaccanti di occultare file malevoli in un ambiente familiare all’utente. Il cuore della catena di attacco è un installer NSIS, progettato per estrarre e avviare il malware.

Ultimo ma non meno importante, il report di HP evidenzia la diffusione di campagne basate su file HTML camuffati e shortcut file (LNK) mascherati da PDF. Qualora l’utente cliccasse su un pulsante che promette di avviare una richiesta di preventivo, attiva una catena di attacco che porta al download di Remcos RAT.