Sebbene l’AI venga ancora utilizzata principalmente per creare contenuti di phishing e truffe più convincenti, PromptLock – insieme ad altre poche minacce AI-driven identificate finora – segnala l’inizio di una nuova era delle minacce.
“In particolare le truffe di investimento Nomani hanno mostrato un’evoluzione significativa delle tecniche utilizzate: sono stati osservati deepfake di qualità superiore, segnali di siti di phishing generati dall’AI e campagne pubblicitarie sempre più brevi, progettate per ridurre le possibilità di individuazione”, afferma Jiří Kropáč, Director di ESET Threat Prevention Labs. Nella telemetria ESET, le rilevazioni delle truffe Nomani sono cresciute del 62% su base annua, con un lieve calo del trend nella seconda metà del 2025. Le truffe Nomani si stanno inoltre espandendo da Meta ad altre piattaforme, tra cui YouTube.
Più vittime ransomware
Per quanto riguarda il ransomware, il numero di vittime ha superato i livelli del 2024 ben prima della fine dell’anno, con proiezioni di ESET Research che indicano un aumento del 40% su base annua. Akira e Qilin dominano ora il mercato del ransomware-as-a-service, mentre il nuovo arrivato Warlock, seppur a basso profilo, ha introdotto tecniche di evasione innovative. La diffusione degli EDR killer è proseguita, a dimostrazione del fatto che gli strumenti di endpoint detection and response continuano a rappresentare un ostacolo rilevante per gli operatori ransomware.
Crescono anche i rischi da NFC
Sulla piattaforma mobile, si legge in un comunicate dell’azienda le minacce basate sulla tecnologia Near Field Communication (NFC) hanno continuato a crescere in scala e sofisticazione, con un aumento dell’87% nella telemetria ESET e diversi aggiornamenti e campagne rilevanti osservati nella seconda metà del 2025. NGate, pioniere tra le minacce NFC e scoperto per la prima volta da ESET, ha ricevuto un aggiornamento sotto forma di furto dei contatti, probabilmente ponendo le basi per attacchi futuri. RatOn, malware completamente nuovo nello scenario delle frodi NFC, ha introdotto una rara combinazione di funzionalità da remote access trojan (RAT) e attacchi di relay NFC, dimostrando la determinazione dei cybercriminali a esplorare nuovi vettori di attacco.
Un ritorno alla ribalta per altri malware
Inoltre, dopo l’interruzione globale di maggio, l’infostealer Lumma Stealer è riuscito a riemergere brevemente – due volte – ma il periodo di massimo splendore appare ormai concluso. Le rilevazioni sono crollate dell’86% nella seconda metà del 2025 rispetto al primo semestre dell’anno, e un importante vettore di distribuzione di Lumma Stealer – il trojan HTML/FakeCaptcha utilizzato negli attacchi ClickFix – è quasi scomparso dalla telemetria ESET.
Creativi non cretini
Nel frattempo anche CloudEyE, noto anche come GuLoader, è rapidamente tornato alla ribalta, con un aumento di quasi trenta volte sempre secondo la telemetria ESET. Distribuito tramite campagne email malevole, questo downloader e cryptor malware-as-a-service viene utilizzato per distribuire altri malware, inclusi ransomware e infostealer come Rescoms, Formbook e Agent Tesla