Cyberattacco a Dior, estradizione per BlackDB e la nuova minaccia Horabot

di Livio Varriale
0 commenti 5 minuti di lettura
Cyberattacco a Dior, estradizione per BlackDB e la nuova minaccia Horabot

Tre eventi distinti ma strettamente legati dall’evoluzione del crimine informatico globale pongono al centro dell’attenzione le minacce alla sicurezza digitale: l’attacco informatico subito da Dior, l’estradizione del gestore del marketplace illegale BlackDB e la diffusione silenziosa ma efficace del malware Horabot in America Latina. Mentre le aziende del lusso si trovano a fronteggiare le conseguenze della violazione dei dati sensibili dei propri clienti, le autorità giudiziarie internazionali intensificano gli sforzi contro la criminalità informatica organizzata, e i ricercatori di sicurezza informatica evidenziano l’emergere di nuove campagne di phishing multistadio, come quella che sfrutta Horabot, sviluppata per colpire in modo mirato gli utenti Microsoft Windows.

Dior rivela una violazione informatica che coinvolge clienti in Asia

Il gruppo francese House of Dior ha confermato di aver subito un attacco informatico con conseguente violazione dei dati personali dei propri clienti. L’episodio, scoperto il 7 maggio 2025, riguarda in particolare le divisioni Fashion and Accessories ed è stato ricondotto all’accesso non autorizzato di terzi a database interni contenenti informazioni personali.

Secondo quanto dichiarato da un portavoce dell’azienda, non sono stati compromessi dati bancari o password, poiché custoditi su server separati. Tuttavia, sono stati esposti dati identificativi sensibili, tra cui nome completo, genere, numero di telefono, indirizzo email, indirizzo postale e storico degli acquisti.

La portata geografica dell’incidente è significativa. Le segnalazioni più puntuali riguardano Corea del Sud e Cina, dove numerosi clienti hanno ricevuto notifiche ufficiali di violazione. Le schermate diffuse tramite canali locali confermano che Dior è intervenuta con avvisi pubblici anche sui propri siti ufficiali regionali. In Corea, la data dell’attacco è riportata come 7 maggio 2025, facendo presupporre un evento coordinato su scala internazionale.

Nonostante il messaggio rassicurante dell’azienda, in Corea del Sud sono state aperte indagini ufficiali per presunta violazione degli obblighi di comunicazione verso le autorità locali, sollevando interrogativi sulla tempestività e trasparenza della gestione della crisi. Dior ha invitato i clienti a prestare attenzione a eventuali tentativi di phishing, raccomandando la massima prudenza di fronte a email sospette che richiedano conferme di identità o link non verificabili.

Estradato negli Stati Uniti l’amministratore del marketplace BlackDB

Parallelamente alla gestione aziendale degli attacchi, la giustizia internazionale continua a colpire la criminalità informatica strutturata. Il 9 maggio 2025, le autorità del Kosovo hanno estradato negli Stati Uniti Liridon Masurica, alias @blackdb, ritenuto amministratore principale del marketplace illegale BlackDB.cc, attivo dal 2018.

Masurica, 33 anni, era stato arrestato il 14 dicembre 2024. L’udienza preliminare davanti al giudice federale Lindsay Saxe Griffin si è svolta a Tampa, in Florida, dove l’imputato ha affrontato sei capi d’accusa, tra cui uso fraudolento di strumenti di accesso non autorizzati e cospirazione per commettere frode digitale.

Secondo i documenti del Dipartimento di Giustizia statunitense, BlackDB rappresentava un vero e proprio hub per lo scambio illecito di credenziali compromesse, dati bancari rubati e informazioni personali identificabili (PII), con una base clienti globale, ma prevalentemente orientata agli Stati Uniti.

Il Federal Bureau of Investigation (FBI), in collaborazione con la polizia kosovara e gli uffici legali internazionali, ha coordinato l’intera operazione. Se riconosciuto colpevole, Masurica rischia fino a 55 anni di reclusione.

L’operazione BlackDB segue di pochi mesi il sequestro del mercato Rydox e l’arresto di tre altri cittadini kosovari, coinvolti nella gestione del sito. A questi si aggiunge la chiusura di Manson Market e Crimenetwork, due marketplace illegali attivi in Germania, dimostrando una strategia di disgregazione sistematica dei sistemi economici paralleli del dark web.

Horabot: la nuova frontiera del phishing mirato in America Latina

Oltre alle operazioni giudiziarie e agli attacchi diretti a grandi marchi, le minacce digitali evolvono attraverso malware sofisticati come Horabot, recentemente analizzato da FortiGuard Labs. Attivo da aprile 2025, Horabot è progettato per colpire utenti Microsoft Windows, con particolare attenzione agli utenti ispanofoni in America Latina, inclusi Messico, Colombia, Guatemala, Cile, Perù e Argentina.

image 153
Cyberattacco a Dior, estradizione per BlackDB e la nuova minaccia Horabot 10

L’infezione inizia con email truffaldine scritte in spagnolo, spesso presentate come fatture elettroniche inviate da aziende con sede in Messico. L’allegato ZIP contiene un file HTML malevolo che, una volta aperto, attiva una catena di infezione multistadio, culminante con l’installazione di un trojan bancario.

image 154
Cyberattacco a Dior, estradizione per BlackDB e la nuova minaccia Horabot 11

Il file HTML scarica un file HTA contenente un VBScript offuscato, in grado di bypassare i sistemi antivirus, rilevare ambienti virtualizzati, ed evitare l’esecuzione su sistemi di analisi o sandbox. Una volta identificato l’ambiente come “sicuro”, il malware scarica script PowerShell, esegue ricognizione del sistema, raccoglie informazioni sensibili (nome utente, IP, antivirus installato) e scarica altri payload crittografati tramite connessioni remote.

image 156
Cyberattacco a Dior, estradizione per BlackDB e la nuova minaccia Horabot 12

Il malware utilizza un approccio modulare: dopo aver creato directory apposite, scarica file eseguibili legittimi come AutoIt3.exe e altri script di decrittazione camuffati. La decrittazione produce un file .DLL malevolo, iniettato nella memoria e incaricato di eseguire il vero attacco.

Una delle caratteristiche più pericolose di Horabot è la sua capacità di auto-propagarsi: sfrutta l’automazione COM di Outlook per raccogliere contatti e inviare autonomamente email phishing ad altri destinatari, amplificando la portata dell’infezione. L’uso di nomi di file che imitano documenti aziendali legittimi (.PDF.html) e la costruzione dinamica dei messaggi rende molto difficile distinguere una comunicazione malevola da una reale.

image 155
Cyberattacco a Dior, estradizione per BlackDB e la nuova minaccia Horabot 13

I file “.a2”, “.a3” e “.a4” raccolgono indirizzi, preparano i pacchetti e li inviano; il file “.a6” si occupa di cancellare ogni traccia, eliminando file e collegamenti in fase finale. Il malware si rende così altamente stealth, resistente alla rilevazione e capace di mantenere persistenza nel sistema.

Articoli correlati

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies