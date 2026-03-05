 Ordine di acquisto usato per rubare le password
Un innocuo ordine di acquisto in PDF potrebbe nascondere malware che raccolgono dati sensibili dal computer e rubano le credenziali degli account email.
I cybercriminali trovato sempre nuovi modi per ingannare gli utenti e cercare di rubare i dati personali. La tecnica più utilizzata è quella del phishing. Gli esperti di Malwarebytes hanno individuato una recente campagna che prende di mira le aziende. I dipendenti ricevono un ordine di acquisto, ma consegnano le credenziali di login dell’account di posta elettronica.

Come funziona il trucco del falso ordine

I responsabili delle vendite e della contabilità ricevono centinaia di email al giorno. Una di esse è un ordine di acquisto piuttosto dettagliato. Il cliente vuole conoscere tutti i dettagli su un prodotto, tra cui il prezzo e i tempi di consegna. In allegato all’email c’è un file PDF o almeno così sembra dall’icona. In realtà, il file ha una seconda estensione HTML, oltre a PDF.

Quando l’ignara vittima (un dipendente dell’azienda) apre il file avvia la catena di infezione. Nel browser viene mostrata una finestra con il logo PDF e l’indirizzo email già inserito. Deve quindi essere inserita la password dell’account email per visualizzare il presunto ordine di acquisto. Nel frattempo, il malware ha iniziato a raccogliere varie informazioni in background, tra cui user agent, posizione geografica e indirizzo IP del dispositivo.

Dopo aver inserito la password viene mostrato un messaggio di errore che inviata l’utente a inserire di nuovo la password. Questa volta viene accettata, ma invece di un documento PDF appare un’immagine sfocata su ImgBB, un servizio di hosting legittimo. Tutti i dati rubati sono inviati ad un bot Telegram in forma cifrata per aggirare i software di sicurezza.

Gli utenti più esperti non cadranno sicuramente nella trappola, in quanto la richiesta di password per aprire un PDF è piuttosto insolita. Per evitare la divulgazione di dati sensibili è preferibile attivare l’autenticazione multi-fattore o usare metodi di login più sicuri, come passkey e chiavi hardware FIDO2.

Fonte: Malwarebytes

Pubblicato il 5 mar 2026

Luca Colantuoni
5 mar 2026
