Il segnale di stamattina è piuttosto netto: gli attaccanti continuano a vincere con furto di sessione, exploit nei documenti, phishing mirato di credenziali e dipendenze della supply chain. Chrome porta finalmente un miglioramento difensivo serio, ma il resto del briefing ricorda che identità e igiene degli endpoint restano decisive.
In sintesi: un utile hardening del browser, uno zero-day PDF attivo, due campagne di intrusione mirate, una vasta esposizione via SDK Android e più pressione di patch sui sistemi di frontiera.
Google ha distribuito Device Bound Session Credentials (DBSC) in Chrome 146 per Windows. La funzione lega crittograficamente le sessioni a breve durata a chiavi protette dall’hardware. In pratica un infostealer non può più rubare un cookie su una macchina e riutilizzarlo altrove con la stessa affidabilità.
Questo conta perché il furto di cookie è diventato uno dei modi più rapidi per aggirare password e MFA. Chrome non elimina l’infezione, ma rende più costoso il session hijacking dopo la compromissione.
I ricercatori sostengono che uno zero-day sconosciuto di Adobe Reader sia sfruttato almeno da dicembre 2025 tramite file PDF manipolati. I campioni eseguono JavaScript offuscato, raccolgono informazioni locali, contattano un server remoto e potrebbero preparare una successiva esecuzione di codice o evasione della sandbox.
È una brutta notizia, perché il PDF resta uno dei formati più fidati nei workflow aziendali. Se un exploit attivo si nasconde in una fattura, la sola awareness non basta più.
Le informazioni collegate a Cisco Talos descrivono LucidRook come malware modulare basato su Lua usato in campagne di spear-phishing contro ONG e università taiwanesi. Il malware unisce consegna a stadi, DLL sideloading, forte offuscamento e caricamento esterno di bytecode Lua.
L’aspetto interessante non è solo la famiglia malware, ma la disciplina operativa. Sembra una campagna costruita per accesso mirato e raccolta silenziosa, non per cybercrime rumoroso.
La ricerca di Abnormal sulla piattaforma chiusa di phishing-as-a-service VENOM mostra una forte focalizzazione sui dirigenti. Il kit imita notifiche SharePoint, nasconde i dati del target nei frammenti URL, usa QR per spostare la vittima sul mobile e ruba l’accesso tramite flussi adversary-in-the-middle e device-code.
I difensori dovrebbero smettere di raccontarsela: se gli executive si affidano ancora a MFA standard e conditional access debole, stanno giocando in difesa perdente.
Microsoft ha diffuso i dettagli di una vulnerabilità corretta dell’SDK EngageLab che avrebbe potuto consentire a un’app malevola di superare i confini applicativi e accedere a dati privati di altre app che usavano lo stesso SDK. La portata superava 50 milioni di installazioni, incluse 30 milioni di installazioni di wallet crypto.
Non ci sono prove pubbliche di sfruttamento malevolo, ma la lezione è semplice. Gli SDK mobili di terze parti fanno parte della superficie d’attacco.
SecurityWeek ha inoltre segnalato nuovi fix ad alta severità di Palo Alto Networks e SonicWall. Il rischio preciso cambia da prodotto a prodotto, ma lo schema è sempre lo stesso: i sistemi edge esposti restano uno dei modi più rapidi per ottenere controllo amministrativo.
Fonti seguite per questo briefing: BleepingComputer, The Hacker News e SecurityWeek, pubblicazioni del 9 e 10 aprile 2026.
KENSAI aiuta i team a individuare percorsi d’attacco esposti, controlli identity deboli e asset internet-facing vulnerabili prima che diventino un incidente.
Avvia scansione gratuita →Restate vigili.
🗡️ KENSAI Security Team