I cybercriminali hanno lanciato una nuova campagna di malware mirata sfruttando un sito web falso che imita quello di un noto antivirus, Bitdefender. L’obiettivo di questa truffa è indurre gli utenti a scaricare un file infetto che contiene Venom RAT, un trojan di accesso remoto capace di rubare credenziali sensibili, portafogli di criptovalute e garantire agli attaccanti il controllo continuo del sistema compromesso.
La strategia dei criminali informatici
La strategia utilizzata dai criminali informatici è sofisticata: il sito clonato, bitdefender-download[.]com, invita gli utenti a scaricare una versione Windows del software antivirus. Il pulsante “Download for Windows” conduce a un archivio ZIP ospitato su un repository Bitbucket, che poi reindirizza a un bucket Amazon S3. All’interno dell’archivio si trova un eseguibile chiamato StoreInstaller.exe, che contiene la configurazione del malware Venom RAT insieme a codice riconducibile ai tool open source SilentTrinity e StormKitty.
Funzionalità del malware e sovrapposizioni con altre campagne
Venom RAT, una variante di Quasar RAT, consente agli attaccanti di raccogliere dati e mantenere l’accesso remoto alle macchine infette. Il sito fake mostra sovrapposizioni infrastrutturali e temporali con altri domini malevoli che simulano servizi bancari e IT, già impiegati in campagne di phishing per rubare dati di accesso a banche e servizi Microsoft.
Strumenti open source impiegati nell’attacco
L’attacco sfrutta una combinazione di strumenti: Venom RAT per ottenere accesso remoto e persistenza, StormKitty per l’esfiltrazione di password e dati di portafogli digitali, e SilentTrinity per mantenere il controllo occulto del sistema. Questo approccio modulare, basato su componenti open source, rende le campagne più flessibili, difficili da tracciare e adattabili a diversi obiettivi.
Tecniche di diffusione e nuove tendenze
La campagna si inserisce in un trend crescente in cui i criminali informatici sfruttano siti internet falsi, tecniche di social engineering e strumenti open source per diffondere malware e superare i controlli di sicurezza tradizionali. Gli attacchi recenti includono anche l’uso di pagine Google Meet e piattaforme come AppSheet per veicolare malware e phishing, riuscendo così a eludere protezioni come SPF, DKIM e DMARC.
Raccomandazioni per la sicurezza
L’evoluzione di questi attacchi conferma quanto sia importante per utenti e aziende prestare massima attenzione ai siti da cui si scaricano software e adottare strategie di difesa multilivello, con particolare attenzione alla protezione delle credenziali e dei portafogli digitali.