Falsi siti AV ospitano malware. Cosa c’è da sapere

Nel vasto mondo dei siti web, possono annidarsi minacce informatiche. I ricercatori Trellix, esperti in sicurezza, hanno recentemente scoperto un caso in cui sofisticati agenti malevoli venivano presentati sotto forma di software di protezione, ingannando gli utenti e causando potenziali danni significativi.

La scoperta di Trellix

In aprile 2024, i membri del Trellix Advanced Research Center hanno osservato diversi siti web falsi che ospitavano file malevoli, APK, EXE e installer Inno setup che includevono funzionalità di spionaggio e furto di dati. Questi siti, che sembravano legittimi, erano in realtà delle trappole per i consumatori in cerca di protezione dai cyber attacchi. Ecco alcuni dei siti che ospitavano malware.

avast-securedownload.com (Avast.apk)

Questo sito ospitava un file APK chiamato “Avast.apk”. Analizzando le autorizzazioni richieste dal file, è emerso che si trattava di uno spyware/stealer (SpyNote) con la capacità di:

  • Installare o eliminare pacchetti
  • Leggere registri delle chiamate, SMS, contatti e dati di archiviazione
  • Accedere allo stato di rete e Wi-Fi, registrare audio, disabilitare il blocco schermo e impostare lo sfondo.

bitdefender-app.com (setup-win-x86-x64.exe.zip)

Questo sito ospitava un file EXE compresso. Anche qui, l’utente veniva ingannato pensando di scaricare un software legittimo, ma in realtà si trattava di un malware Lumma Stealer. Il file EXE potrebbe contenere funzionalità dannose che compromettono la sicurezza del dispositivo.

malwarebytes.pro (MBSetup.rar)

Ancora un altro sito che sembrava offrire un software di sicurezza legittimo, ma in realtà distribuiva un file RAR contenente il malware StealC. Gli utenti dovrebbero stare attenti a queste trappole online.

Inoltre, i ricercatori hanno individuato un binario Trellix malevolo che si finge legittimo. Il file denominato AMCoreDat.exe nascondeva un malware della famiglia Lumma Stealer.

Come proteggersi

Ecco alcune misure per proteggersi dai siti AV pericolosi e dai malware associati:

  1. Non fidarsi di finestre pop-up o richieste di download da siti sconosciuti.
  2. Evitare di scaricare software da fonti non ufficiali o link inviati tramite SMS o e-mail.
  3. Informarsi sulle minacce e sui comportamenti da evitare.

Al momento il campione .apk viene rilevato da meno del 50% dei security vendor.

https://www.virustotal.com/gui/file/30ef5c7560a5b0db58964bf1cc7ab23ec3ce36b440b0e02fb6a7be43281749bd/summary
Su Salvatore Lombardo 315 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.