Doctor Web: panoramica sull'attività di virus in IV trimestre 2025

12 gennaio 2026

Secondo le statistiche di rilevamento dell'antivirus Dr.Web, nel IV trimestre 2025 il numero totale di minacce rilevate è aumentato del 16,05% rispetto al III trimestre. Allo stesso tempo, il numero di minacce uniche è diminuito dell'1,13%. I più diffusi sono stati le applicazioni pubblicitarie indesiderate, gli script malevoli e i programmi malevoli diversi, inclusi i downloader e i trojan pubblicitari.

Nel traffico email venivano rilevate il più frequentemente le applicazioni trojan, tra cui erano i downloader, i password stealer e i dropper. Inoltre, tramite email venivano distribuiti gli exploit, i backdoor e gli svariati script malevoli.

Gli utenti i cui file sono stati colpiti dai trojan ransomware di criptazione il più spesso riscontravano Trojan.Encoder.35534, Trojan.Encoder.41868 e Trojan.Encoder.29750.

Ad ottobre abbiamo parlato di un backdoor per dispositivi Android, Android.Backdoor.Baohuo.1.origin, che i cybercriminali distribuiscono come parte di versioni modificate del programma di messaggistica Telegram X. Questo programma malevolo ruba i login e le password degli account Telegram e anche altri dati confidenziali. Per il suo tramite, gli attori di minacce possono gestire gli account hackerati delle vittime e controllare completamente il programma di messaggistica stesso, effettuando varie azioni a nome degli utenti.

A novembre il nostro laboratorio antivirus ha pubblicato uno studio di un attacco mirato effettuato da un gruppo di hacker, Cavalry Werewolf, a un ente pubblico russo. Durante l'esame effettuato, gli specialisti Doctor Web hanno individuato numerosi strumenti malevoli dei malintenzionati, tra cui strumenti open source, che i cybercriminali utilizzano nelle loro campagne. Sono state esaminate anche le caratteristiche del gruppo di hacker e le sue azioni tipiche all'interno di reti compromesse.

A dicembre sul nostro sito web è stato pubblicato un materiale su un trojan unico, chiamato Trojan.ChimeraWire, che "gonfia" la popolarità di siti, e per questo scopo si finge umano dimodoché le sue attività non vengano bloccate dalla protezione antibot delle piattaforme internet. Il programma malevolo cerca in autonomo i siti necessari nei motori di ricerca, li apre ed esegue clic sulle pagine web in base ai parametri ricevuti dai malintenzionati. Trojan.ChimeraWire entra nei computer come risultato del funzionamento di più applicazioni malevole che sfruttano le vulnerabilità di classe DLL Search Order Hijacking, nonché utilizzano le tecniche antidebug per evitare il rilevamento.

Durante il IV trimestre, gli analisti internet di Doctor Web hanno rilevato nuovi siti fraudolenti che promettevano alle potenziali vittime un guadagno veloce e facile. Sono stati individuati anche ulteriori risorse internet di phishing e falsi siti di marketplace.

I nostri specialisti hanno rilevato ulteriori programmi malevoli sullo store di app Google Play. Tra questi erano i trojan Android.Joker, che abbonano i proprietari di dispostivi Android a servizi a pagamento, nonché le applicazioni malevole Android.FakeApp, che i malintenzionati utilizzano in vari schemi fraudolenti. Le statistiche di rilevamento di Dr.Web Security Space per dispositivi mobili nello stesso tempo hanno mostrato un aumento dell'attività dei trojan bancari per piattaforma Android.

Secondo i dati del servizio delle statistiche Doctor Web

Minacce più diffuse di IV trimestre 2025:

Trojan.Siggen31.34463

Trojan scritto nel linguaggio di programmazione Go e studiato per caricare nel sistema di destinazione vari cryptominer e software pubblicitari. Il programma malevolo è un file DLL e si trova in %appdata%\utorrent\lib.dll. Per avviarsi, sfrutta la vulnerabilità di classe DLL Search Order Hijacking nel client torrent uTorrent.

Adware.Downware.20091

Software pubblicitario utilizzato come installer intermedio di programmi pirata.

VBS.KeySender.7

Script malevolo che in ciclo infinito cerca finestre con il testo mode extensions, разработчика e розробника e invia ad esse un evento di clic sul pulsante Escape, chiudendole forzatamente.

Trojan.BPlug.4268

Rilevamento di un componente malevolo di un'estensione browser WinSafe. Questo componente rappresenta uno script JavaScript che visualizza pubblicità invadenti nei browser.

Adware.Siggen.33379

Falsa estensione di blocco di pubblicità per browser Adblock Plus, che viene installata nel sistema da altre applicazioni malevole allo scopo di visualizzazione di annunci pubblicitari.

Statistiche delle applicazioni malevole nel traffico email

Minacce più diffuse nel traffico email di IV trimestre 2025:

W97M.DownLoader.2938

Famiglia di trojan downloader che utilizzano vulnerabilità in documenti Microsoft Office. Sono studiati per scaricare altri programmi malevoli sul computer attaccato.

Exploit.CVE-2017-11882.123

Exploit.CVE-2018-0798.4

Exploit per l'utilizzo di vulnerabilità nel software Microsoft Office, che consentono di eseguire codice arbitrario.

Trojan.AutoIt.1413

Rilevamento di una versione impacchettata del programma trojan Trojan.AutoIt.289 scritto nel linguaggio di script AutoIt. Viene distribuita come parte di un gruppo di diverse applicazioni malevole: un cryptominer, un backdoor e un modulo per la distribuzione autonoma. Trojan.AutoIt.289 esegue varie azioni malevole che ostacolano il rilevamento del payload principale.

JS.Phishing.791

Script malevolo nel linguaggio JavaScript che genera una pagina web di phishing.

Ransomware di criptazione

Nel IV trimestre 2025, il numero di richieste per la decriptazione di file colpiti da trojan ransomware di criptazione è aumentato dell'1,15% rispetto al III trimestre.

Dinamica del numero di richieste di decriptazione pervenute al Servizio di supporto tecnico Doctor Web:

Ransomware di criptazione più diffusi di IV trimestre 2025:

• Trojan.Encoder.35534 — 24.90% di richieste utente
• Trojan.Encoder.41868 — 4.21% di richieste utente
• Trojan.Encoder.29750 — 3.42% di richieste utente
• Trojan.Encoder.26996 — 2.68% di richieste utente
• Trojan.Encoder.30356 — 0.38% di richieste utente

Frode online

Durante il IV trimestre 2025, gli analisti internet di Doctor Web hanno registrato la comparsa di nuovi falsi siti di marketplace. I truffatori, presumibilmente a nome delle piattaforme di commercio, invitano le potenziali vittime a partecipare a un gioco di tipo "carosello" (analogo della roulette) con una chance di vincere un premio. Dopo diversi tentativi, l'utente "ha un colpo di fortuna", ma per ricevere la vincita, gli viene chiesto prima di pagare la presunta consegna, quindi un'assicurazione, un'imposta ecc. In alcuni casi, alla vittima viene comunicato che l'articolo desiderato non è disponibile e viene proposto di scambiarlo con denaro. Per ottenere il denaro, però, è necessario pagare una "tassa". Se l'utente acconsente, gli viene chiesto di effettuare ulteriori pagamenti aggiuntivi sotto forma di assicurazione, attivazione di un certo conto ecc.

Esempio di falso sito di marketplace che offre "un'estrazione a premi"

Al database dei siti non raccomandati e malevoli sono state aggiunte inoltre ulteriori risorse internet su cui i truffatori vendono biglietti teatrali inesistenti. Su tali siti viene proposto di visitare spettacoli popolari, tra l'altro, anche a prezzi attraenti. Tuttavia, dopo aver effettuato un pagamento, le vittime non ricevono i biglietti desiderati e in effetti regalano i soldi ai truffatori.

Uno dei siti truffaldini di vendita di biglietti teatrali inesistenti

Inoltre, sono state individuate ulteriori risorse che imitano siti di cinema privati e invitano ad acquistare biglietti per vedere film. Dopo l'acquisto su tali siti, le vittime non ricevono alcun biglietto.

Falso sito di cinema privato

I nostri specialisti hanno rilevato una serie di risorse di phishing, tra cui erano siti falsificati del servizio web Steam. Per il loro tramite, i malintenzionati cercavano di carpire i dati degli account degli utenti suggerendo loro di indicare i login e la password per l'autentificazione.

Sito di phishing che imita il vero portale internet Steam e suggerisce alla potenziale vittima di accedere al proprio account

Oltre a ciò, i truffatori di nuovo attiravano le potenziali vittime in progetti di investimento inesistenti. Uno dei siti rilevati suggeriva agli utenti di lingua russa in America di investire 250$ in un progetto con il nome Federal Invest e "guadagnare fino a 90.000 dollari per tre mesi". Questo progetto presumibilmente sarebbe stato creato, tra l'altro, anche con la partecipazione di Donald Trump.

Sito fraudolento che invita a partecipare a un "progetto di investimento redditizio"

Un altro sito informava che gli utenti uzbechi hanno la possibilità di ottenere da 15.000.000 di som uzbeki già nel primo mese dopo l'adesione al progetto pubblicizzato, presumibilmente legato a una grande holding.

Sito truffa promette agli abitanti di Uzbekistan un cospicuo profitto dalla partecipazione a un "progetto di investimento"

Software malevoli e indesiderati per dispositivi mobili

Secondo i dati statistici di rilevamento di Dr.Web Security Space per dispositivi mobili, nel IV trimestre 2025 le minacce Android più diffuse, nonostante un calo dell'attività, di nuovo sono stati i trojan pubblicitari Android.MobiDash e Android.HiddenAds. Alla terza posizione sono salite le applicazioni malevole della famiglia Android.Siggen, che possiedono varie funzionalità. Durante i 3 mesi passati, è cresciuta l'attività dei trojan bancari, in particolare, la crescita maggiore tra di essi è stata quella dei rappresentanti della famiglia Android.Banker.

I software indesiderati più diffusi sono diventati i programmi Program.CloudInject, modificati tramite il servizio cloud CloudInject. Tra i software potenzialmente pericolosi, la maggiore attività si osservava da parte delle applicazioni Tool.NPMod, modificate tramite lo strumento NP Manager. I programmi pubblicitari più diffusi si sono rivelati i moduli Adware.Adpush, che gli sviluppatori incorporano in programmi Android.

Ad ottobre l'azienda Doctor Web ha pubblicato informazioni su un pericoloso backdoor, Android.Backdoor.Baohuo.1.origin, incorporato dai malintenzionati in mod del programma di messaggistica Telegram X. Il programma malevolo ruba informazioni confidenziali e consente di gestire l'account della vittima, nonché controllare direttamente il programma di messaggistica modificandone la logica di funzionamento.

Durante il IV trimestre, i nostri analisti dei virus hanno scoperto sullo store di app Google Play ulteriori minacce, in particolare, i trojan Android.Joker, che iscrivono gli utenti a servizi a pagamento, nonché le applicazioni malevole Android.FakeApp utilizzate per scopi fraudolenti.

Eventi più importanti relativi alla sicurezza "mobile" in IV trimestre:

• Trojan pubblicitari rimangono le minacce per dispositivi Android più diffuse
• Cresciuta l'attività dei trojan bancari Android.Banker
• Rilevato in mod estranee del programma di messaggistica Telegram X un pericoloso backdoor Android.Backdoor.Baohuo.1.origin
• Comparse sullo store di app Google Play nuove applicazioni malevole

Per maggiori informazioni sulla situazione di virus per dispositivi mobili nel IV trimestre 2025 leggete la nostra panoramica.