CypherLoc: le vittime truffate contatteranno falsi numeri di assistenza tecnica

Barracuda Research ha individuato e analizzato CypherLoc, un sofisticato kit di scareware basato sul web che combina tecniche avanzate di elusione dei sistemi di rilevamento – inclusi scanner e sandbox di sicurezza – con controlli aggressivi del browser e meccanismi di manipolazione psicologica, con l’obiettivo di indurre le vittime a contattare falsi numeri di assistenza tecnica. 

Dall’inizio del 2026, i ricercatori di Barracuda hanno rilevato circa 2,8 milioni di attacchi riconducibili a questo kit. CypherLoc dimostra come lo scareware si sia evoluto, passando da semplici truffe basate sul blocco dello schermo a framework di attacco furtivi operanti direttamente nel browser, che fanno leva sulla paura dell’utente piuttosto che sull’installazione di malware. 

La dinamica di attacco

L’attacco prende generalmente avvio da un’e-mail di phishing contenente un link, inserito nel corpo del messaggio oppure in un allegato. Cliccando sul collegamento, l’utente viene indirizzato verso una pagina che, a un primo sguardo, appare del tutto legittima.

Il codice malevolo è nascosto all’interno della pagina web e viene attivato solo al verificarsi di specifiche condizioni, ad esempio la presenza di una determinata chiave di codice e l’assenza di scanner di sicurezza o ambienti di test. Una volta attivata, la pagina passa a una visualizzazione a tutto schermo controllata dagli attaccanti, che blocca il browser, disabilita i comandi e mostra falsi avvisi di sicurezza dal tono allarmistico.

A questo punto, gli aggressori ostacolano qualsiasi tentativo di uscita. Se l’utente prova a esaminare la pagina, il browser rallenta o va in crash; il cursore viene nascosto, i menu disabilitati e la pagina si blocca nuovamente a ogni tentativo di chiusura. 

Le tattiche di pressione psicologica comprendono forti segnali acustici di avvertimento, la visualizzazione dell’indirizzo IP della vittima sullo schermo, falsi moduli di accesso non funzionanti e messaggi di errore ripetuti, con l’obiettivo di creare panico e un senso di emergenza.

Durante l’attacco, sullo schermo compare un numero di telefono presentato come l’unica soluzione per risolvere il problema. Le vittime che chiamano vengono messe in contatto con truffatori che si spacciano per un servizio di assistenza tecnica legittimo, mentre nel frattempo gli hacker proseguono con l’attacco ricorrendo a tecniche di ingegneria sociale, ad esempio per sottrarre le credenziali di accesso.

“CypherLoc dimostra come lo scareware moderno si stia allontanando dal malware tradizionale per orientarsi verso truffe basate sul browser e incentrate sull’utente, difficili da individuare e molto efficaci”, spiega Saravanan Mohankumar, responsabile del team di analisi delle minacce presso Barracuda. “Questo tipo di minaccia sfrutta il browser stesso per spingere le vittime ad agire. Combinando codice nascosto, attivazione differita e comportamento aggressivo sullo schermo, simula in modo convincente un grave problema di sistema, lasciando pochissime tracce tecniche”.

I ricercatori raccomandano l’adozione di solide misure di protezione anti-phishing, oltre a strumenti di sicurezza per browser ed endpoint in grado di rilevare e bloccare comportamenti sospetti degli script. Altrettanto importante rimane la sensibilizzazione degli utenti, in quanto gli avvisi di sicurezza legittimi non riportano numeri di telefono, non bloccano i browser e non sollecitano azioni immediate tramite finestre pop-up.