Diverse campagne malevole stanno sfruttando falsi siti Proton VPN e pagine che offrono Mod per videogiochi per distribuire un malware di tipo infostealer chiamato NWHStealer. La scoperta arriva dai ricercatori di Malwarebytes, che hanno analizzato una rete piuttosto articolata di siti web fraudolenti progettati per imitare brand noti e affidabili. E il punto non è tanto il malware in sé, quanto piuttosto la sua diffusione, descritta come ampia e particolarmente convincente.
Il meccanismo è tanto semplice quanto efficace. L’utente cerca un software legittimo, magari proprio Proton VPN, oppure una Mod per il proprio gioco preferito. Finisce su un sito che sembra autentico, scarica il file, lo installa. A quel punto il danno è fatto. Una volta che il malware si insedia nel sistema, i cybercriminali ottengono la capacità di raccogliere dati dal browser, password salvate e informazioni relative ai portafogli di criptovalute. Con queste informazioni in mano, possono accedere ad account privati, sottrarre denaro e criptovalute o lanciare ulteriori attacchi.
La tecnica non è nemmeno nuova, a dire il vero. In questi giorni si stanno registrando campagne simili che coinvolgono download compromessi di software come CPU-Z e HWMonitor. Stesso approccio, stessa logica: clonare siti di prodotti conosciuti e inserirvi file infetti. Come spiegato dagli esperti di Malwarebytes, il malware viene caricato ed eseguito in modi diversi, ad esempio tramite auto iniezione o iniezione in altri processi, sfruttando strumenti come RegAsm, lo strumento di registrazione degli assembly di Microsoft.
Gli indicatori di compromissione da tenere d’occhio
Per chi volesse verificare eventuali compromissioni, i ricercatori hanno condiviso alcuni indicatori tecnici legati a queste campagne. Tra i domini utilizzati dai falsi siti Proton VPN compaiono vpn-proton-setup[.]com e get-proton-vpn[.]com. Il dominio di comando e controllo (C2) identificato è newworld-helloworld[.]icu, mentre il punto di consegna su Telegram risulta t[.]me/gerj_threuh.
Sono state inoltre individuate risorse esterne coinvolte nella distribuzione del malware, ospitate su piattaforme come onworks[.]net, SourceForge e GitHub. Questo dettaglio rende ancora più insidiosa la campagna, perché le vittime possono sentirsi al sicuro scaricando file da piattaforme che normalmente godono di buona reputazione.
Come proteggere i propri dati personali
Gli esperti di sicurezza informatica di Malwarebytes hanno fornito alcune raccomandazioni fondamentali per evitare di cadere nella trappola dei falsi siti Proton VPN e delle Mod di giochi infette. La prima regola, forse la più importante, è scaricare software esclusivamente dai siti web ufficiali. Sembra banale, eppure una quantità enorme di infezioni parte proprio da download effettuati su siti clonati.
Particolare attenzione va prestata anche ai file scaricati da GitHub, SourceForge o altre piattaforme di condivisione, a meno che la fonte non sia verificata e affidabile. Prima di eseguire qualsiasi file, è sempre consigliabile controllare le firme digitali e i dettagli dell’editore. Un altro consiglio pratico: evitare di scaricare strumenti tramite link presenti nelle descrizioni dei video su YouTube, un vettore di distribuzione sempre più sfruttato dai cybercriminali per raggiungere un pubblico ampio e poco sospettoso.
