Da gennaio 2026 i ricercatori di Barracuda hanno contato circa 2,8 milioni di attacchi riconducibili a un singolo kit, battezzato CypherLoc. Non è un virus nel senso tradizionale: non installa nulla, non lascia file sul disco, non tocca il sistema. Vive interamente dentro la pagina web aperta nel browser, e questo è esattamente il punto che lo rende difficile da intercettare.
Tutto parte da una mail di phishing con un link, nel corpo del messaggio o in un allegato. Il collegamento porta a una pagina che a prima vista sembra normale.
Il malware che blocca lo schermo e si insinua nel dispositivo
Il codice malevolo è lì, ma resta inerte: si decifra solo se sono soddisfatte condizioni precise, tra cui la presenza di un determinato frammento hash nell’URL e il superamento di una serie di controlli crittografici di integrità. Se ad aprire la pagina è uno scanner di sicurezza, una sandbox o un ambiente di analisi automatica, il payload non si attiva e la schermata si limita a reindirizzare a una pagina vuota. La truffa, semplicemente, non si mostra.
Quando invece le condizioni sono giuste, accade una cosa curiosa: la pagina iniziale si cancella da sola e viene sostituita da una nuova pagina costruita su misura. Questo azzeramento resetta gli script e interrompe l’ispezione dal vivo, rendendo l’ambiente instabile proprio mentre l’utente cerca di capire cosa stia succedendo. Da qui scatta il blocco a tutto schermo: menu contestuali disabilitati, cursore nascosto, overlay che coprono tutto. Ogni tentativo di riprendere il controllo fa scattare un immediato “riblocco” della pagina, e si crea la sensazione di essere intrappolati.
Il dettaglio più rivelatore riguarda chi prova a difendersi con strumenti tecnici. Aprire i Developer Tools del browser, in particolare la scheda Network, non disinnesca l’attacco: lo aggrava. Gli asset si ricaricano, le pipeline multimediali ripartono, i ricalcoli del layout si ripetono di continuo. Il rumore generato satura gli strumenti di analisi e finisce per mandare in crash il browser, facendo comparire finestre di errore di sistema. In altre parole, il gesto dell’utente esperto viene trasformato in un’ulteriore prova del finto guasto.
Compaiono suoni di allarme a ogni clic, messaggi ripetuti, l’indirizzo IP della vittima mostrato come se fosse la firma di un’intrusione in corso, e moduli di login fasulli. Questi ultimi non raccolgono dati: servono solo ad accrescere il panico, perché le credenziali inserite non risolvono nulla. L’unica via d’uscita apparente è il numero di telefono ben visibile sullo schermo.
Chi chiama trova un operatore che si spaccia per assistenza Microsoft. È lì, al telefono, che parte la fase vera: richieste di password, dati bancari, accesso remoto al dispositivo. Il codice non ruba niente da solo. A consegnare le chiavi è la persona. I veri avvisi di sicurezza non bloccano il browser, non mostrano numeri da chiamare e non chiedono interventi immediati con pop-up aggressivi. Vale la pena ricordarlo, visto che CypherLoc è venduto come kit: chi lo usa non deve saper scrivere una riga di codice.
