Chi scarica frequentemente utility per monitorare o ottimizzare il PC dovrebbe prestare particolare attenzione nelle prossime settimane. Microsoft ha infatti individuato una nuova campagna malware che sfrutta alcuni dei programmi più popolari tra gli utenti avanzati per diffondere software dannosi destinati principalmente al mining illecito di criptovalute.
Nel mirino dei criminali informatici sono finiti strumenti molto conosciuti come CrystalDiskInfo, HWMonitor, FurMark, DDU e K-Lite Codec Pack, applicazioni utilizzate ogni giorno da milioni di appassionati di tecnologia.
Come funziona la truffa
Secondo quanto emerso, gli hacker utilizzano tecniche di SEO poisoning per manipolare i risultati dei motori di ricerca. In pratica vengono creati siti web che imitano quelli ufficiali dei programmi più famosi, cercando di apparire tra i primi risultati delle ricerche online.
Gli utenti che scaricano il software da queste pagine fraudolente finiscono per installare versioni infette contenenti malware nascosti.
L’obiettivo principale è sfruttare la potenza del computer per generare criptovalute all’insaputa del proprietario. Oltre al cryptominer, però, i pacchetti malevoli possono includere anche strumenti di controllo remoto che consentono agli attaccanti di monitorare il sistema.
Nel mirino i PC più potenti
Un aspetto particolarmente interessante riguarda la scelta delle vittime. I software presi di mira sono spesso utilizzati da chi possiede configurazioni avanzate, con schede grafiche dedicate e componenti ad alte prestazioni.
Si tratta proprio dei sistemi più redditizi per attività di mining illegale, motivo per cui sembrano essere il bersaglio principale della campagna.
Il malware viene generalmente distribuito attraverso archivi compressi, un formato che non desta immediatamente sospetti poiché molte utility vengono normalmente offerte in versione portable.
Una volta installato, può utilizzare software legittimi di gestione remota come ScreenConnect per scaricare ulteriori componenti dannosi e mantenere il controllo del dispositivo.
Microsoft consiglia di usare solo fonti ufficiali
Per ridurre il rischio di essere individuato, il cryptominer entra in funzione soltanto quando il computer risulta inattivo e interrompe le proprie attività non appena rileva l’interazione dell’utente.
La buona notizia è che Microsoft Defender, integrato in Windows 11, dovrebbe essere in grado di rilevare questa minaccia. L’azienda raccomanda di mantenere attive le protezioni cloud e il sistema SmartScreen.
Il consiglio più importante resta comunque quello di scaricare software esclusivamente da siti ufficiali o da repository affidabili, evitando di affidarsi ciecamente ai risultati proposti dai motori di ricerca.