Un semplice download può trasformarsi in una porta d’ingresso per un malware difficile da individuare. Negli ultimi giorni è emersa una campagna che sfrutta un sito contraffatto di 7-Zip, il noto programma per comprimere e decomprimere archivi, con l’obiettivo di infettare i computer degli utenti. Il portale trappola riproduce quasi in ogni dettaglio l’aspetto della pagina ufficiale. Riesce così a confondere anche chi ha una certa dimestichezza con il software.
La differenza, in apparenza minima, sta nell’indirizzo. Il sito malevolo utilizza un dominio molto simile a quello autentico e viene promosso attraverso annunci nei motori di ricerca. In diversi casi compare addirittura tra i primi risultati, superando il link originale. Il certificato HTTPS valido e l’interfaccia familiare contribuiscono a creare un senso di sicurezza, convincendo l’utente a scaricare l’installer. Il programma funziona davvero, ma insieme al software legittimo viene installato in silenzio anche un codice dannoso.
Il malware trasforma i computer in nodi di una rete nascosta
Una volta eseguito, il malware si insinua nel sistema senza attirare l’attenzione. I file malevoli vengono copiati in cartelle che richiamano percorsi di sistema, in modo da sembrare componenti normali del computer. Per restare attivo nel tempo, il codice si registra tra i servizi che si avviano automaticamente con privilegi elevati, garantendosi una presenza costante anche dopo i riavvii.
Lo scopo non è bloccare subito la macchina o chiedere riscatti, ma sfruttare nel tempo le risorse del PC infetto. I computer compromessi infatti vengono trasformati in nodi di una rete proxy, i cui indirizzi IP e la banda disponibile vengono rivenduti per instradare traffico in modo anonimo. Il malware utilizza tecniche di evasione, riconosce ambienti virtuali e protegge le comunicazioni con cifrature avanzate, rendendo più difficile individuarlo. Insomma, chi ha scaricato di recente il programma farebbe bene a verificare la provenienza del file e intervenire subito in caso di dubbi.
