Notizie, Informazioni sulle minacce

Se apri il "PDF" sbagliato, gli hacker possono accedere al tuo PC da remoto.

di Pieter Arntz | 5 febbraio 2026
PDF e RAT

I criminali informatici dietro una campagna denominata DEAD#VAX stanno portando il phishing a un livello superiore, distribuendo malware all'interno di dischi rigidi virtuali che fingono di essere normali documenti PDF. Se si apre la "fattura" o l'"ordine di acquisto" sbagliato, non si vedrà alcun documento. Al contrario, Windows un'unità virtuale che installa silenziosamente AsyncRAT, un trojan backdoor che consente agli aggressori di monitorare e controllare da remoto il computer.

Si tratta di uno strumento di accesso remoto, il che significa che gli aggressori ottengono il controllo remoto della tastiera, mentre le tradizionali difese basate sui file non rilevano quasi nulla di sospetto sul disco.

Da un punto di vista generale, la catena di infezione è lunga, ma ogni fase sembra sufficientemente legittima da sfuggire a controlli superficiali.

Le vittime ricevono e-mail di phishing che sembrano normali messaggi commerciali, spesso con riferimento a ordini di acquisto o fatture e talvolta spacciandosi per aziende reali. L'e-mail non allega direttamente alcun documento, ma contiene un link a un file ospitato su IPFS (InterPlanetary File System), una rete di archiviazione decentralizzata sempre più utilizzata nelle campagne di phishing perché i contenuti sono più difficili da rimuovere e sono accessibili tramite normali gateway web.

Il file collegato ha il nome di un PDF e l'icona PDF, ma in realtà è un file di disco rigido virtuale (VHD). Quando l'utente fa doppio clic su di esso, Windows lo Windows come una nuova unità (ad esempio, l'unità E:) invece di aprire un visualizzatore di documenti. Il montaggio dei VHD è Windows perfettamente legittimo Windows , il che rende questo passaggio meno sospetto.

All'interno dell'unità montata si trova quello che sembra essere il documento previsto, ma in realtà si tratta di un fileWindows (WSF). Quando l'utente lo apre, Windows il codice contenuto nel file invece di visualizzare un PDF.

Dopo alcuni controlli per evitare analisi e rilevamenti, lo script inietta il payload (shellcode AsyncRAT) in processi affidabili e firmati da Microsoft, quali RuntimeBroker.exe, OneDrive.exe, taskhostw.exe, o sihost.exeIl malware non scrive mai un file eseguibile effettivo sul disco. Vive e funziona interamente nella memoria all'interno di questi processi legittimi, rendendo molto più difficile il rilevamento e, in una fase successiva, l'analisi forense. Evita inoltre picchi improvvisi di attività o utilizzo della memoria che potrebbero attirare l'attenzione.

Per un singolo utente, cadere vittima di questa e-mail di phishing può comportare:

  • Theft password salvate e digitate, comprese quelle relative a e-mail, servizi bancari e social media.
  • Divulgazione di documenti riservati, foto o altri file sensibili prelevati direttamente dal sistema.
  • Sorveglianza tramite screenshot periodici o, se configurato, acquisizione tramite webcam.
  • Utilizzo del dispositivo come punto di appoggio per attaccare altri dispositivi sulla stessa rete domestica o aziendale.

Come stare al sicuro

Poiché il rilevamento può essere difficile, è fondamentale che gli utenti effettuino determinati controlli:

  • Non aprire gli allegati delle e-mail prima di aver verificato, con una fonte attendibile, che siano legittimi.
  • Assicurati di poter vedere l'effettivo estensioni dei file. Purtroppo, Windows agli utenti di nasconderli. Quindi, quando in realtà il file si chiamerebbe invoice.pdf.vhd l'utente vedrebbe solo invoice.pdfPer scoprire come farlo, vedi sotto.
  • Utilizza una soluzione anti-malware aggiornata e in tempo reale in grado di rilevare il malware nascosto nella memoria.

Visualizzazione delle estensioni dei file su Windows e 11

Per visualizzare le estensioni dei file in Windows e 11:

  • Apri Esplora risorse (Windows + E)
  • In Windows , selezionaVisualizzae seleziona la casellaEstensioni nome file.
  • In Windows , questa opzione si trova inVisualizza > Mostra > Estensioni dei nomi dei file.

In alternativa, cerca Opzioni Esplora file per deselezionare Nascondi le estensioni per i tipi di file conosciuti.

Per le versioni precedenti di Windows, consulta questo articolo.

Non ci limitiamo a segnalare le minacce, ma le eliminiamo.

I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi scaricando Malwarebytes oggi stesso.

Informazioni sull'autore

Pieter Arntz

Pieter Arntz

Ricercatore nel campo della sicurezza informatica

È stato un MVP Microsoft per la sicurezza dei consumatori per 12 anni consecutivi. Sa parlare quattro lingue. Profuma di mogano e di libri rilegati in pelle.

ULTIMI ARTICOLI

AI
Una mano si abbassa per afferrare un asterisco da una password scritta.

Le password generate dall'intelligenza artificiale rappresentano un rischio per la sicurezza

Febbraio 19, 2026

Le password generate dall'intelligenza artificiale sono "altamente prevedibili" e non sono realmente casuali, rendendole più facili da decifrare per i criminali informatici.

Notizie
Logo Tenga

Il produttore di articoli per l'intimità Tenga ha divulgato i dati dei propri clienti

Febbraio 19, 2026

Un attacco di phishing ai danni di un dipendente di Tenga potrebbe aver compromesso i dati dei clienti statunitensi. I clienti devono prestare attenzione ai tentativi di phishing a sfondo sessuale.

Violazioni dei dati
Logo Betterment

La violazione dei dati di Betterment potrebbe essere più grave di quanto pensassimo

Febbraio 18, 2026

Questa violazione appare ora molto più grave. I dati trapelati includono dettagli personali e finanziari che potrebbero essere utilizzati dai phisher.

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe