.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Sophos Endpoint è stato progettato fin dalle fondamenta per bloccare automaticamente exploit, ransomware e tecniche di attacco tramite impostazioni predefinite, senza necessità di configurazioni manuali.
Questo caso dimostra come le funzionalità anti-exploit uniche di Sophos Endpoint abbiano fermato un attacco alla supply chain che sfruttava JDownloader, download manager gratuito basato su Java sviluppato da AppWork GmbH, utilizzato per automatizzare download multipli da servizi di file hosting e siti video.
Come si è sviluppato l’attacco
Si è trattato di un watering hole attack: tra il 6 e il 7 maggio 2026, gli attaccanti hanno compromesso il sito ufficiale di JDownloader sostituendo silenziosamente gli installer Windows presenti nella pagina di download alternativa con binari non firmati contenenti malware.
Il file trojanizzato includeva sia il vero JDownloader sia il codice malevolo, permettendo all’applicazione di installarsi ed eseguirsi normalmente senza alcun segnale evidente per la vittima. Secondo le segnalazioni degli utenti colpiti, il payload disattivava Microsoft Defender durante la catena di esecuzione.
La sostituzione è rimasta inosservata per oltre un giorno, fino a quando un utente Reddit ha notato gli avvisi di SmartScreen e uno sviluppatore di JDownloader ha confermato la violazione mettendo offline il sito. Fino a quel momento, ogni download conteneva malware nascosto.
La causa principale? Una vulnerabilità non corretta nel sito web di JDownloader che consentiva agli aggressori di modificare le liste di controllo accessi senza autenticazione. Una volta ottenuto l’accesso, gli attaccanti hanno semplicemente reindirizzato i link di download verso file malevoli controllati da loro.
Sophos Endpoint in azione
Negli attacchi alla supply chain il problema non è se gli aggressori riusciranno a raggiungere gli endpoint, ma se le difese saranno in grado di fermare tecniche mai viste prima senza configurazioni specifiche per applicazione, liste di esclusione o l’intervento costante di specialisti della sicurezza.
In questo caso Sophos Endpoint ha bloccato l’installer trojanizzato tramite Kernel32Trap, una delle oltre 60 mitigazioni anti-exploit distribuite automaticamente fin dal primo giorno. Non sono stati necessari controlli cloud, firme, inferenze AI o conoscenze preventive della campagna.
Leggi tutto l’articolo: https://www.sophos.com/en-us/blog/sophos-supply-chain-attack