Quella che sembra una normale offerta di lavoro potrebbe trasformarsi in un incubo digitale. I ricercatori di Malwarebytes hanno individuato una campagna malevola che usa esche a tema aziendale, come un annuncio di lavoro fittizio, per diffondere un malware capace di prendere il controllo completo dei dispositivi delle vittime. E stavolta il meccanismo è più subdolo del solito.
Non parliamo dei classici messaggi su WhatsApp, delle email di phishing che ormai quasi tutti riconoscono, e nemmeno di pagine di download palesemente fasulle. Questa volta i cybercriminali hanno deciso di alzare il livello sfruttando Google Forms, uno strumento che moltissime persone usano ogni giorno senza il minimo sospetto. Ed è proprio questo il punto: la fiducia riposta in un servizio legittimo di Google rende l’attacco potenzialmente molto più efficace e difficile da riconoscere.
Malwarebytes, nel comunicato ufficiale, ha spiegato che l’attacco parte nel momento in cui la vittima scarica un file ZIP a tema aziendale attraverso un link presente in un modulo Google. All’interno del file compresso si nasconde un elemento dannoso che avvia un processo di infezione articolato in più fasi, fino a installare il malware sul sistema.
PureHVNC: il trojan che ruba dati e prende il controllo da remoto
Il malware in questione si chiama PureHVNC ed è un trojan RAT modulare per .NET appartenente alla famiglia “Pure”. Gli esperti di sicurezza informatica lo descrivono come uno strumento che consente agli aggressori di ottenere il controllo remoto di un dispositivo infetto e di sottrarre informazioni sensibili. Parliamo di qualcosa di decisamente più serio rispetto a un semplice adware.
Una volta installato, PureHVNC è in grado di eseguire comandi da remoto assumendo il pieno controllo del sistema. Può raccogliere informazioni sul dispositivo colpito, rubare dati salvati nel browser, intercettare estensioni installate e svuotare portafogli di criptovalute. Non si ferma qui: riesce anche a estrarre dati da app di messaggistica istantanea e client email, oltre a poter installare plugin aggiuntivi che ampliano ulteriormente le capacità dell’attacco.
Il rischio è concreto sia per le aziende che per gli utenti privati. Chiunque si trovi a compilare un modulo Google collegato a un’offerta di lavoro apparentemente legittima potrebbe finire nella rete senza rendersene conto.
Indicatori di compromissione: come riconoscere la minaccia
Malwarebytes ha pubblicato una serie di indicatori di compromissione utili per identificare la presenza di PureHVNC diffuso tramite l’annuncio di lavoro falso. Tra questi figurano l’indirizzo IP 207.148.66.14 e diversi URL sospetti che rimandano a servizi come Dropbox, fshare.vn e domini abbreviati tramite goo.su e tr.ee. Sono stati inoltre resi noti numerosi hash crittografici associati ai file malevoli coinvolti nella campagna, tra cui ca6bd16a6185c3823603b1ce751915eaa60fb9dcef91f764bef6410d729d60b3 e d6b7ab6e5e46cab2d58eae6b15d06af476e011a0ce8fcb03ba12c0f32b0e6386.
Questi dati tecnici permettono ai team di sicurezza e ai software antivirus di individuare e bloccare la minaccia prima che il malware riesca a completare il processo di infezione. Chiunque operi nel campo della sicurezza informatica può utilizzare gli hash pubblicati per aggiornare i propri sistemi di rilevamento e proteggere reti aziendali e dispositivi personali dalla campagna che sfrutta Google Forms come vettore iniziale dell’attacco.
