CypherLoc: la nuova frontiera dello scareware blocca il browser di milioni di utenti

I ricercatori di Barracuda Research hanno individuato e analizzato CypherLoc, un pericoloso kit di scareware basato sul web che sta ridefinendo le dinamiche delle truffe dello "schermo bloccato". Dall’inizio del 2026 sono già stati rilevati circa 2,8 milioni di attacchi riconducibili a questa minaccia, che segna il passaggio da semplici esche informatiche a veri e propri framework d'attacco furtivi. La particolarità di CypherLoc risiede nella sua capacità di operare direttamente all'interno del browser, aggirando i tradizionali scanner di sicurezza e le sandbox di test, per poi attivarsi e fare leva sulla paura e sulla pressione psicologica dell'utente piuttosto che sull'installazione di un vero e proprio malware.

L'infezione prende il via tramite classiche e-mail di phishing contenenti link malevoli. Una volta che la vittima clicca sul collegamento, il codice nascosto si attiva e avvia una visualizzazione a tutto schermo che blocca il browser e disabilita tutti i comandi principali. Gli aggressori utilizzano script aggressivi per nascondere il cursore, disabilitare i menu e causare il crash o il rallentamento del sistema se l'utente tenta di esaminare la pagina o di forzarne la chiusura. Per massimizzare il panico, la schermata mostra falsi avvisi di sicurezza allarmistici, riproduce forti segnali acustici e visualizza l'indirizzo IP della vittima, simulando un blocco totale del computer per violazioni di sicurezza.

L'obiettivo finale di questo sbarramento psicologico è spingere l'utente a chiamare un falso numero di assistenza tecnica proiettato sullo schermo, presentato come l'unica via d'uscita per sbloccare il PC. Le vittime che cadono nel tranello finiscono in linea con centralini gestiti dai truffatori che, fingendosi operatori legittimi, utilizzano tecniche di ingegneria sociale per estorcere denaro o sottrarre credenziali di accesso bancarie e personali. Gli esperti ricordano che i veri avvisi di sicurezza dei sistemi operativi non contengono mai numeri di telefono da chiamare, raccomandando l'uso di filtri anti-phishing evoluti e una costante formazione del personale aziendale.