Truffe, informazioni sulle minacce

Come vengono utilizzati inviti a feste fasulli per installare strumenti di accesso remoto

di Stefan Dasic | 2 febbraio 2026
invito alla festa

"Sei invitato!" 

Sembra amichevole, familiare e piuttosto innocuo. Ma in una truffa che abbiamo recentemente individuato, quella semplice frase viene utilizzata per indurre le vittime a installare uno strumento di accesso remoto completo sui loroWindows , consentendo agli aggressori il controllo totale del sistema. 

Quello che sembra essere un invito casuale a una festa o a un evento porta all'installazione silenziosa diScreenConnect, uno strumento di supporto remoto legittimo installato in background e utilizzato in modo improprio dagli aggressori. 

Ecco come funziona la truffa, perché è efficace e come proteggersi. 

L'e-mail: Invito a una festa 

Le vittime ricevono un'e-mail che sembra un invito personale, spesso scritta in modo da sembrare provenire da un amico o un conoscente. Il messaggio è volutamente informale e socievole, per ridurre i sospetti e incoraggiare una risposta rapida. 

Nello screenshot qui sotto, l'e-mail è stata inviata da un amico il cui account di posta elettronica era stato violato, ma avrebbe potuto provenire anche da un mittente sconosciuto.

Finora abbiamo visto questa campagna rivolta solo alle persone nel Regno Unito, ma nulla impedisce che possa espandersi anche altrove. 

Cliccando sul link contenuto nell'e-mail si viene reindirizzati a una pagina di invito ben curata ospitata su un dominio controllato dall'autore dell'attacco. 

Email di invito a una festa da parte di un contatto

L'invito: la pagina di destinazione che rimanda al programma di installazione 

La pagina di destinazione è fortemente incentrata sul tema della festa, ma invece di mostrare i dettagli dell'evento, la pagina spinge l'utente ad aprire un file. Nessuno di essi sembra pericoloso di per sé, ma insieme mantengono l'attenzione dell'utente sul file "invito": 

  • Un titolo audace "Sei invitato!" 
  • Il suggerimento che fosse stato un amico a inviare l'invito 
  • Un messaggio che informa che l'invito è visualizzabile al meglio su unWindows o desktopWindows
  • Un conto alla rovescia che suggerisce che il tuo invito è già in fase di "download". 
  • Un messaggio che suggerisce urgenza e prova sociale ("Ho aperto il mio ed è stato semplicissimo!"

In pochi secondi, il browser viene reindirizzato al download RSVPPartyInvitationCard.msi 

La pagina avvia download il download per impedire alla vittima di fermarsi a riflettere. 

Questo file MSI non è un invito. È un programma di installazione. 

La pagina di destinazione

L'ospite: Cosa fa effettivamente l'MSI 

Quando l'utente apre il file MSI, viene avviato msiexec.exe e viene installato in modo silenziosoScreenConnect Client, uno strumento di accesso remoto legittimo spesso utilizzato dai team di supporto IT.  

Non ci sono inviti, moduli di risposta o appuntamenti in calendario. 

Cosa succede invece: 

  • I file binari di ScreenConnect sono installati in C:\Program Files (x86)\ScreenConnect Client\ 
  • Viene creato Windows persistente (ad esempio, ScreenConnect Client 18d1648b87bb3023) 
  • ScreenConnect installa più componenti basati su .NET 
  • Non vi è alcuna chiara indicazione per l'utente che sia in corso l'installazione di uno strumento di accesso remoto. 

Dal punto di vista della vittima, sembra che non accada nulla. Ma a questo punto, l'aggressore può ora accedere in remoto al suo computer. 

Il dopo-festa: l'accesso remoto è stato stabilito 

Una volta installato, il client ScreenConnect avvia connessioni in uscita crittografate ai server di inoltro di ScreenConnect, incluso un dominio di istanza assegnato in modo univoco.

Questa connessione offre all'autore dell'attacco lo stesso livello di accesso di un tecnico IT remoto, compresa la possibilità di: 

  • Visualizza lo schermo della vittima in tempo reale
  • Controlla il mouse e la tastiera 
  • Caricare o download 
  • Mantieni l'accesso anche dopo il riavvio del computer 

Poiché ScreenConnect è un software legittimo comunemente utilizzato per l'assistenza remota, la sua presenza non è sempre evidente. Su un personal computer, i primi segnali sono spesso comportamentali, come movimenti inspiegabili del cursore, windows da sole o un processo ScreenConnect che l'utente non ricorda di aver installato. 

Perché questa truffa funziona 

Questa campagna è efficace perché punta sul comportamento umano normale e prevedibile. Dal punto di vista della sicurezza comportamentale, sfrutta la nostra naturale curiosità e sembra essere a basso rischio. 

La maggior parte delle persone non considera gli inviti come qualcosa di pericoloso. Aprirne uno sembra un'azione passiva, come dare un'occhiata a un volantino o controllare un messaggio, non come installare un software. 

Anche gli utenti attenti alla sicurezza sono addestrati a prestare attenzione agli avvisi e alle pressioni. Un messaggio amichevole del tipo "sei invitato" non fa scattare questi allarmi. 

Quando ci si accorge che qualcosa non va, il software è già stato installato. 

Segnali che indicano che il tuo computer potrebbe essere stato infettato 

Da tenere d'occhio: 

  • Un file download eseguito denominato RSVPPartyInvitationCard.msi 
  • Installazione imprevista diScreenConnect Client 
  • Windows denominato ScreenConnect Client con caratteri casuali  
  • Il tuo computer stabilisce connessioni HTTPS in uscita ai domini di inoltro ScreenConnect. 
  • Il tuo sistema risolve il dominio ospitante dell'invito utilizzato in questa campagna, xnyr[.]digital. 

Come stare al sicuro  

Questa campagna ricorda che spesso gli attacchi moderni non avvengono con un'intrusione, ma vengono invitati all'interno. Gli strumenti di accesso remoto consentono agli aggressori di ottenere un controllo approfondito sul sistema. Agire rapidamente può limitare i danni.  

Per i privati 

Se ricevi un'e-mail come questa: 

  • Diffida degli inviti che ti chiedono di download aprire software 
  • Non eseguire mai file MSI provenienti da e-mail non richieste. 
  • Verifica gli inviti tramite un altro canale prima di aprire qualsiasi cosa. 

Se hai già cliccato o eseguito il file:  

  • Disconnettiti immediatamente da Internet 
  • Verificare la presenza di ScreenConnect e disinstallarlo se presente. 
  • Esegui una scansione completa della sicurezza 
  • Modifica le password importanti da un dispositivo pulito e non compromesso. 

Per le organizzazioni (in particolare nel Regno Unito) 

  • Avviso relativo alle installazioni non autorizzate di ScreenConnect
  • Limitare l'esecuzione di MSI ove possibile 
  • Considerare gli "strumenti di assistenza remota" come software ad alto rischio
  • Informare gli utenti: gli inviti non vengono forniti come programmi di installazione 

Questa truffa funziona installando uno strumento di accesso remoto legittimo senza un chiaro intento da parte dell'utente. Questo è esattamente il vuoto Malwarebytes progettato per colmare.

Malwarebytes rileva gli strumenti di accesso remoto appena installati e ti avvisa quando ne compare uno sul tuo sistema. Ti viene quindi data una scelta: confermare che lo strumento è previsto e affidabile, oppure rimuoverlo se non lo è.

Non ci limitiamo a segnalare le minacce, ma le eliminiamo.

I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi scaricando Malwarebytes oggi stesso.

Informazioni sull'autore

Stefan Dasic

Stefan Dasic

Appassionato di soluzioni antivirus, Stefan si è occupato di test di malware e di QA di prodotti AV fin da giovane. Come parte del team di Malwarebytes , Stefan si dedica alla protezione dei clienti e alla loro sicurezza.

ULTIMI ARTICOLI

AI
Una mano si abbassa per afferrare un asterisco da una password scritta.

Le password generate dall'intelligenza artificiale rappresentano un rischio per la sicurezza

Febbraio 19, 2026

Le password generate dall'intelligenza artificiale sono "altamente prevedibili" e non sono realmente casuali, rendendole più facili da decifrare per i criminali informatici.

Notizie
Logo Tenga

Il produttore di articoli per l'intimità Tenga ha divulgato i dati dei propri clienti

Febbraio 19, 2026

Un attacco di phishing ai danni di un dipendente di Tenga potrebbe aver compromesso i dati dei clienti statunitensi. I clienti devono prestare attenzione ai tentativi di phishing a sfondo sessuale.

Violazioni dei dati
Logo Betterment

La violazione dei dati di Betterment potrebbe essere più grave di quanto pensassimo

Febbraio 18, 2026

Questa violazione appare ora molto più grave. I dati trapelati includono dettagli personali e finanziari che potrebbero essere utilizzati dai phisher.

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe