Barracuda full logo

Threat Spotlight: Come si sono evoluti i kit di phishing nel 2025

Argomenti:
7 gen 2026
|
Ashok Sakthivel

I principali temi, team e tattiche di phishing degli ultimi 12 mesi

Conclusioni

  • Il numero di kit di phishing noti è raddoppiato durante il 2025
  • I nuovi arrivati sono sofisticati, evasivi e furtivi.
  • Bypass MFA, offuscamento degli URL e abuso di CAPTCHA osservati nella metà di tutti gli attacchi
  • Le truffe di phishing tradizionali e i kit prosperano grazie alla continua innovazione: ci sono stati 10 milioni di attacchi Mamba 2FA alla fine del 2025.

Nel 2025, il 90% delle campagne di phishing ad alto volume ha sfruttato i kit di Phishing-as-a-Service (PhaaS). Questi kit hanno trasformato il panorama del phishing, consentendo anche ai criminali informatici meno esperti di accedere a strumenti avanzati e automazione e di lanciare campagne di phishing su larga scala e mirate, spesso impersonando servizi e istituzioni legittime.

Questo articolo fornisce una panoramica dell'attività e dell'evoluzione dei kit di phishing durante il 2025. È un articolo complementare alle previsioni di phishing per il 2026 pubblicate a dicembre 2025.

Principali temi di attacco PhaaS

I temi di phishing più comuni osservati dagli analisti delle minacce di Barracuda durante il 2025 erano preoccupantemente familiari. Includevano messaggi falsi riguardanti pagamenti, questioni finanziarie, legali, firme digitali e risorse umane, tutti progettati per ingannare gli utenti inducendoli a cliccare su un link, scansionare un codice QR o aprire un allegato e condividere informazioni personali con gli attaccanti.

Questi sono approcci provati e testati che esistono da anni, sfruttando l'impersonificazione di marchi fidati come Microsoft, DocuSign, SharePoint e altri. Continuano ad avere successo nonostante la crescente consapevolezza degli utenti e le misure di sicurezza in continuo miglioramento.

Questo successo è dovuto all'innovazione continua negli strumenti e nelle tattiche sottostanti, rendendo le e-mail più autentiche e convincenti. Gli attaccanti stanno sfruttando l'IA, le nuove tecniche di elusione della sicurezza e offuscamento e abusando di una gamma più ampia di piattaforme fidate per ospitare e distribuire contenuti.

Le innovazioni legate al tema viste nel 2025 includono:

Truffe di pagamento e fatturazione

  • Gli attaccanti hanno utilizzato l'IA generativa per produrre e-mail di "fatture scadute" e richieste di pagamento altamente convincenti che corrispondevano strettamente al tono, allo stile e al branding del servizio legittimo che stavano impersonando.
  • I codici QR sono stati incorporati nelle fatture per spingere le vittime da ambienti desktop sicuri a dispositivi mobili meno protetti, aumentando le probabilità di un attacco riuscito.

Truffe tramite casella vocale ('vishing')

  • E-mail inclusi link a portali di "casella vocale sicura" che raccoglievano credenziali.
  • Gli attaccanti hanno anche utilizzato l'intelligenza artificiale generativa per generare più varianti di e-mail e script di phishing, aiutando le e-mail a bypassare i rilevamenti e ad aumentare la credibilità.
  • Gli indirizzi e-mail attendibili sono stati falsificati per far sembrare legittimi gli attacchi, e le e-mail hanno persino copiato il design e i modelli familiari utilizzati da servizi noti che gestiscono le notifiche di casella vocale.

Truffe di documenti finanziari e legali

  • Gli attaccanti hanno utilizzato trucchi di ingegneria sociale insieme all'IA generativa per eliminare eventuali errori evidenti che potrebbero allertare le vittime. Rendendo i messaggi più personali e adattando costantemente i loro schemi, hanno reso molto più difficile per le vittime distinguere le e-mail dannose da quelle reali.
  • Gli attaccanti hanno utilizzato tecniche di spear phishing per ricercare attentamente ogni organizzazione, ottenendo informazioni sui dirigenti chiave e impersonandoli da vicino. In alcuni casi, hanno dirottato o utilizzato account compromessi per ingannare i dipendenti e far approvare trasferimenti fraudolenti.

Truffe di revisione di firme e documenti

  • Gli attaccanti hanno impersonato un numero crescente di piattaforme fidate con marchi di alta qualità e richieste "urgenti" di revisione e firma.
  • Incorporare codici QR dannosi in richieste di firma dall'aspetto autentico ha spostato l'attacco su dispositivi mobili al di fuori del perimetro di sicurezza aziendale.

Truffe legate alle risorse umane (benefici, buste paga, manuale del dipendente)

  • Gli attacchi erano allineati con le scadenze fiscali e i cicli di buste paga per sfruttare l'urgenza.
  • I codici QR sono stati incorporati negli "aggiornamenti delle politiche" per bypassare i filtri e-mail.

Tecniche popolari utilizzate nel phishing nel 2025

Le tecniche utilizzate dai kit di phishing durante il 2025 sono state varie e inventive. Includevano:

  • Offuscamenti per nascondere gli URL dalla rilevazione e ispezione, osservati nel 48% degli attacchi. Gli attaccanti hanno anche aggiunto reindirizzamenti aperti e passaggi di verifica umana, rendendo gli URL di phishing apparentemente autentici e più difficili da bloccare.
  • Attacchi che bypassano l'autenticazione multifattore (MFA), ad esempio rubando i cookie di sessione (osservato anche nel 48% degli attacchi).
  • Attacchi che hanno sfruttato CAPTCHA per maggiore autenticità e per nascondere destinazioni sospette (43%).
  • Codici QR dannosi (osservato nel 19%). Gli attaccanti hanno iniziato a dividere i codici QR in più immagini o a inserire codici dannosi all'interno o intorno a quelli legittimi per eludere la rilevazione da parte degli strumenti di sicurezza e-mail.
  • attacchi 'polimorfici'che variavano l'intestazione dell'e-mail, il corpo e la destinazione per confondere o ritardare il rilevamento (20%).
  • Allegati dannosi (18%).
  • L'abuso di piattaforme online fidate e legittime, come quelle utilizzate per la collaborazione o il design (10%).
  • Attacchi che sfruttano l'IA generativa, ad esempio l'uso di piattaforme no-code, CAPTCHA generati dall'IA, commenti e codice (10%).
  • L'uso di ‘Blob URIs’, un tipo di indirizzo web utilizzato per memorizzare dati localmente in memoria rendendo gli attacchi difficili da rilevare utilizzando misure tradizionali (2%).
  • L'uso di tecniche di ingegneria sociale “ClickFix”, in cui un utente viene indotto con l'inganno a eseguire manualmente un comando dannoso (1%).

I kit di phishing sono raddoppiati di numero con l'arrivo di nuovi operatori.

Gli analisti delle minacce di Barracuda hanno registrato un raddoppio del numero di kit PhaaS in uso attivo durante il 2025, con operatori persistenti e adattabili come Tycoon 2FA e Mamba 2FA che affrontano la concorrenza di nuovi aggressivi come Cephas, Whisper 2FA e GhostFrame. Il team ha riferito regolarmente su alcuni dei kit di phishing più diffusi nel corso dell'anno.

I nuovi kit di phishing sono sofisticati e condividono un'attenzione per le misure avanzate di anti-analisi, il bypass dell'MFA e il dispiegamento furtivo.

Di seguito sono riportati cinque nuovi attori degni di nota e le loro caratteristiche principali:

Sneaky 2FA

Sneaky 2FA è un kit di phishing avanzato che utilizza tecniche di adversary-in-the-middle (AitM) per bypassare l'autenticazione a due fattori.

Caratteristiche distintive:

  • Interazione con l'API Microsoft: Il kit interagisce direttamente con le API Microsoft legittime per convalidare le credenziali acquisite e i token di sessione, garantendo il successo del furto di account.
  • Funzionalità anti-bot/anti-analisi: Include tecniche di evasione progettate per bloccare strumenti automatizzati e ambienti sandbox.
  • Funzionalità BitB (browser-in-the-browser): Il kit genera finestre del browser false che imitano perfettamente i pop-up di accesso legittimi, nascondendo l'URL dannoso reale alle vittime.
  • Reindirizzamento: Reindirizza inoltre le vittime a una pagina di Wikipedia correlata a Microsoft dopo la cattura delle credenziali per mantenere l'autenticità e ridurre i sospetti, incluso nei casi in cui venga rilevata qualsiasi forma di analisi, automazione o attività di sandbox.

CoGUI

Un kit sofisticato progettato con capacità avanzate di evasione e anti-rilevamento, comunemente utilizzato da attori di minacce di lingua cinese.

Caratteristiche distintive:

  • Tecniche di evasione: Implementa il geofencing (limitazione dell'accesso in base alla posizione), l'header fencing (filtraggio degli header delle e-mail) e il fingerprinting (acquisizione delle caratteristiche del dispositivo) per evitare il rilevamento da parte dei sistemi automatizzati.
  • Non cattura MFA: A differenza di molti kit di phishing moderni, le campagne CoGUI viste fino ad oggi non presentano il furto delle credenziali MFA.
  • Somiglianze con Darcula: Condivide caratteristiche con il kit di phishing Darcula, inclusi sovrapposizioni infrastrutturali e schemi di targeting.
  • Impersonificazione del bersaglio: Impersonifica frequentemente piattaforme principali come Amazon, PayPal, Rakuten e Apple.

Cephas

Cephas è un kit di phishing pesantemente offuscato con tecniche avanzate anti-bot e anti-analisi e una forte integrazione con le API di Microsoft.

Caratteristiche distintive:

  • Integrazione API di Microsoft: Garantisce che le credenziali catturate e i token di sessione siano validi e immediatamente utilizzabili.
  • Offuscamento del codice: Utilizza JavaScript denso e altamente offuscato.
  • Anomalie della pagina tematica: Include commenti insoliti sulle pagine (ad esempio, "degustazione di vini su Riverside Avenue", "Quasar Spettrale"), possibilmente come tecniche di evasione delle impronte digitali o diversificazione dei contenuti.

Whisper 2FA

Whisper 2FA è un kit di phishing leggero e incentrato sulla furtività, ottimizzato per semplicità, velocità e aggiramento dell'MFA.

Caratteristiche distintive:

  • Esfiltrazione semplificata: Utilizza il furto di credenziali e token MFA basato su AJAX, evitando proxy inversi pesanti e riducendo la complessità di distribuzione.
  • Anti-analisi aggressiva: Il codice utilizza offuscamento Base64 + XOR, rafforzato da più livelli di offuscamento, trappole anti-debugging e blocchi di ispezione a livello di script.
  • Capacità di bypass MFA: Include un elenco codificato in Base64 di metodi MFA (notifiche push, SMS, chiamate vocali, codici delle app) per gestire vari scenari di autenticazione.

GhostFrame

Visto per la prima volta da Barracuda nel settembre 2025, GhostFrame è un kit inventivo, evasivo e super-stealth che dà priorità all'offuscamento del codice e al mascheramento degli URL.

Caratteristiche distintive:

  • abuso di iframe: Una tattica di attacco in due fasi con un file HTML esterno dall'aspetto innocuo che punta a iframe incorporati che nascondono il contenuto di phishing.
  • Misure anti-analisi: Utilizza tecniche simili ad altri kit avanzati per eludere il rilevamento automatico.
  • Creazione e convalida dinamica dei sottodomini: Il kit di phishing genera un sottodominio diverso e casuale ogni volta che qualcuno visita il sito ed esegue controlli di verifica prima di visualizzare il contenuto di phishing.
  • L'uso dello streaming di immagini blob (oggetti binari di grandi dimensioni) per i moduli di phishing effettivi per eludere l'ispezione statica dei link.

Conclusione

Il 2025 ha assistito a un'esplosione nel numero di kit di phishing. I nuovi arrivati si stanno sviluppando e scalando rapidamente, creando un panorama delle minacce vario e affollato che porta nuove sfide per i difensori.

Tuttavia, mentre ci spostiamo nel 2026, è importante ricordare che i kit tradizionali continuano a essere estremamente pericolosi. Alla fine del 2025, gli analisti di Barracuda hanno rilevato un aumento dell'attività del noto kit di phishing Mamba 2FA, che ha rappresentato quasi 10 milioni di attacchi.

I kit stabiliti non sono né giù né fuori. C'è solo di più per i team di sicurezza da comprendere e difendere.

Protezione contro tecniche in evoluzione

Un attacco di phishing riuscito può avere conseguenze di vasta portata per le vittime, dalla perdita di credenziali e dati sensibili a ransomware, estorsione, tempi di inattività operativa, perdita di produttività e danni alla reputazione.

Gli approcci tradizionali non sono più sufficienti per tenere a bada questa minaccia in rapida evoluzione e sempre più avanzata. Le organizzazioni hanno bisogno di una piattaforma di sicurezza integrata basata su IA come BarracudaONE con supervisione 24/7.

Questo dovrebbe essere accompagnato da una cultura della sicurezza resiliente, un training regolarmente aggiornato sulla consapevolezza della sicurezza informatica per i dipendenti, un forte focus sull'autenticazione e l'accesso, nonché aggiornamenti software e altri elementi essenziali di base della sicurezza informatica.

Ottieni il rapporto sulle violazioni della sicurezza e-mail 2025
Ashok Sakthivel

Ashok Sakthivel è Direttore dell'ingegneria del software presso Barracuda Networks.

Post correlati:
Why layered protection matters for Google Workspace
Why layered protection matters for Google Workspace
 Celebrating back-to-back award wins for email security and XDR
Celebrating back-to-back award wins for email security and XDR
 Minacce email potenziate dall'IA sono arrivate in massa. Barracuda ha fermato il flusso.
Minacce email potenziate dall'IA sono arrivate in massa. Barracuda ha fermato il flusso.
 Costruire la resilienza informatica su larga scala: novità in BarracudaONE e come il nostro programma partner modernizzato la amplifica.
Costruire la resilienza informatica su larga scala: novità in BarracudaONE e come il nostro programma partner modernizzato la amplifica.
Cerca nel blog

Rapporto sulle violazioni della sicurezza e-mail 2025

Risultati chiave sull'esperienza e l'impatto delle violazioni della sicurezza e-mail sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

The MSP Customer Insight Report 2025

Uno sguardo globale su ciò di cui le organizzazioni hanno bisogno e vogliono dai loro provider di servizi gestiti per la sicurezza informatica

Scarica il report

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Ricevi tutte le ultime notizie, ricerche e analisi direttamente nella tua casella di posta.