La catena malware segnalata prende di mira il flusso OAuth di Google, mostrando come una sessione browser attiva possa diventare il vero obiettivo in una compromissione della posta elettronica.
Una presunta operazione ToddyCat indica una forma più silenziosa di abuso degli account: sideloading su Windows, debug remoto del browser e flusso di token OAuth invece del furto diretto delle credenziali.
Un sito appartamento-esca, un APK scaricato e una catena di loader che trasforma un semplice richiamo in un rischio di abuso di account mobile.
Una campagna soprannominata Boss Scam combina impersonificazione, sideloading di DLL su Windows e furto di sessioni di WhatsApp Web, mostrando come i criminali possano concatenare strumenti aziendali di uso quotidiano in un percorso di frode.
KuinaExtractor, un infostealer basato su Rust segnalato e collegato anche al nome k0to, evidenzia uno schema familiare ma pericoloso: rubare lo stato del browser può significare rubare la sessione.
Gli attacchi man-in-the-middle sono meno un singolo exploit e più una classe di tattiche di intercettazione che abusano della fiducia tra dispositivi, reti e infrastrutture.
Una presunta truffa payroll usa phishing e tattiche adversary-in-the-middle per aggirare l'MFA, quindi modifica in modo discreto i dettagli dell'account nei portali HR e finance.
Una build di Lucid Stealer segnalata usa un wrapper Node.js Single Executable Application, mostrando come il packaging software familiare possa sfumare il confine tra consegna innocua e strumentazione criminale.
Le Sessioni attive e la Modalità lockdown si stanno ampliando, trasformando ChatGPT in uno spazio di lavoro più rigidamente controllato in cui visibilità e restrizioni contano quanto la comodità.
Un file di stato lato client Windows in StrongDM potrebbe consentire la riproduzione di un token copiato nelle giuste condizioni, trasformando l'accesso locale ai file in un rischio di autenticazione.
Google ha reso generalmente disponibile in Chrome per Windows Device-Bound Session Credentials, rendendo più difficile la riproduzione della sessione al di fuori del dispositivo quando browser, piattaforma e servizio la supportano tutti.
L'avviso di ABB su EIBPORT ricorda che negli edifici intelligenti una debolezza nella sessione web può contare quanto un difetto di protocollo quando le interfacce di gestione sono troppo vicine a reti non attendibili.
L'IA può rendere il phishing più rapido e curato, ma il problema più profondo è più vecchio: una volta che gli aggressori catturano una password, un cookie di sessione o un token, spesso possono agire come un vero utente.
La parte pericolosa dell'estorsione moderna spesso non è la routine di crittografia, ma il punto d'appoggio per l'accesso remoto che consente agli operatori di tornare, muoversi in silenzio e fare pressione sulle vittime dall'interno della rete.
Un servizio di phishing costruito attorno al flusso OAuth device code mostra come gli aggressori possano trasformare un percorso di accesso legittimo in furto di token, hijacking di sessione e bypass dell'MFA.
Una piattaforma di phishing-as-a-service sta trasformando l'accesso con device-code di Microsoft in un percorso chiavi in mano per il furto di token, il dirottamento di sessione e una compromissione cloud più silenziosa.
VoidStealer ricorda che il rafforzamento del browser può ancora essere vanificato quando il malware aspetta che i segreti compaiano nella memoria, dove la crittografia non aiuta più.
Una vulnerabilità a bassa gravità sulla carta può comunque contare nelle infrastrutture critiche quando il difetto si trova all’interno di una sessione web usata per gestire apparecchiature di protezione industriale.
Un trojan bancario brasiliano monitorato come REF3076 mostra come gli attaccanti possano trasformare chat e posta autenticate in un canale di distribuzione, non solo in un’esca.
Le attività segnalate attorno a TCLBANKER mostrano come un trojan bancario possa prendere in prestito la credibilità di un installer firmato e la portata di account compromessi per diffondersi ulteriormente.