3D Mark e Acrobat: attenzione alle versioni pirata che installano malware che ruba informazioni

3D Mark e Acrobat: attenzione alle versioni pirata che installano malware che ruba informazioni

E' attiva una campagna di distribuzione malware che sfrutta le versioni pirata di software noti come esca per installare strumenti per il furto di informazioni

di pubblicata il , alle 10:11 nel canale Sicurezza
3DMark
 

I ricercatori di sicurezza di Zscaler hanno scoperto svariate campagne di diffusione malware che mettono nel mirino gli utenti che scaricano copie piratate di software abbastanza noti e diffusi. Si tratta di una campagna che fa uso delle tecniche di SEO Poisoning e Malvertising per posizionare meglio i siti shareware pericolosi nei risultati di ricerca Google, così da promuovere la distribuzione di software fasullo insieme ai codici crack e ai generatori di chiavi per la loro attivazione.

I software utilizzati come esca per attrarre gli utenti e distribuir loro malware sono abbastanza conosciuti:

  • Adobe Acrobat Pro
  • 3DMark
  • 3DVista Virtual Tour Pro
  • 7-Suite di recupero dati
  • MAGIX Sound Force Pro
  • Wondershare Dr. Fone

Si tratta di fatto di eseguibili dannosi che sono però mascherati da installer dei software indicati qua sopra. Questi eseguibili si trovano spesso su servizi di hosting e quindi le pagine di destinazione reindirizzano le vittime ad altri servizi per il download dei file.


Un esempio dei siti dannosi posizionati su Google

I file scaricati sono costituiti da archivi contenenti un file .zip protetto da password per eludere le scansioni antivirus, e un file di testo semplice che contiene la password per accedere al pacchetto compresso. Al suo interno si trova un eseguibile che genera un comando PowerShell allo scopo di avviare un prompt dei comandi Windows dopo un timeout di 10 secondi per aggirare l'analisi sandbox.

A questo punto tramite il prompt dei comandi viene scaricato un file JPG che in realtà è una DLL con i suoi contenuti ordinati al contrario. L'eseguibile di cui sopra si occupa ora di riordinare correttamente i contenuti della DLL, riportandola ad una forma utilizzabile: si tratta di un payload RedLine Stealer che viene caricato nel thread corrente. RedLine Stealer è un malware per il furto di informazioni che può sottrarre password memorizzate nei browser, dati di carte di credito, bookmark, cookie, wallet di criptovalute, credenziali VPN e molto altro.

I ricercatori di Zscaler hanno notato poi che in alcuni casi venivano distribuite copie del malware RecordBreaker che è provvisto di un potente strumento, Themida, che permette di adottare tecniche di offuscamento. Anche RecordBreaker cerca di sottrarre informazioni sensibili e riservate, similmente a RedLine Stealer.

Al di là dell'ovvio suggerimento di evitare di scaricare software pirata, generatori di chiavi e qualsiasi cosa prometta di avere accesso a software commerciali in maniera gratuita, è bene comunque prestare attenzione anche alla fonte su cui si trovano software apparentemente legittimi. Il consiglio è sempre quello di scaricare software solo da fonti fidate come i siti web ufficiali dei produttori o gli app store gestiti dalle grandi realtà del web.

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Varg8725 Agosto 2022, 12:58 #1

É sempre natale

Giusto solo questi software eh! Gli altri sono scaricabili tranquillamente, specialmente gli antivirus.
Gringo [ITF]25 Agosto 2022, 13:36 #2
Ma se ne accorgono solo ora....

Ci stanno ormai Migliaia di Siti Gabbola con indicizzato tutto l'esistente che rimandano a software malware e a siti scam.....

Basta Mettere "Nome Software" anche "Freeware" + la parola magica "Crack, Keygen, serial, patch, ecc..." ed esce sempre un bel sitozzo per almeno 10 pagine di google che ti reinvia a malware..... ma saranno ormai 8 annetti che è così non ora.

Se poi bisogna nominare "Blasonato Software" per impaurire è altra cosa.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^