Una nuova campagna malware sta colpendo numerosi utenti, stando a quanto scoperto da Trend Micro. Proprio mentre falsi siti Web di Amazon diffondono virus, a quasi un anno dalla sua scoperta torna il malware RomCom, mediante un’offensiva che impersona siti Web di software noti e induce gli utenti a scaricare e lanciare programmi di installazione dannosi. Nel mirino ci sono anche GIMP e ChatGPT.
Il malware RomCom torna all’attacco
Il virus in questione si nasconde dietro pagine Web apparentemente lecite riguardanti software come GIMP, Go To Meeting, ChatGPT, AstraChat e Remote Desktop Manager di Devolutions. In questa campagna specifica, il malware RomCom si cela tra programmi di installazione MSI che impersonano l’app promessa ma sono trojanizzati con un file DLL dannoso.
I siti falsi, dunque, vengono promossi su Google tramite Google Ads; pertanto, si tratta di un’offensiva definita altrimenti malvertising, nella quale il virus viene pubblicizzato tra i risultati di ricerca, arrivano nelle prime pagine del motore della Grande G e ingannando gli internauti meno esperti.
L’ultima versione di RomCom, nello specifico, appena si infiltra nel computer della vittima scarica altri file contenenti payload ulteriori, dando il via al furto di dati sensibili che, infine, vengono inviati al server dell’attaccante. Ad esempio, il malware cerca di rubare immagini salvate nei dispositivi bersaglio, i cookie dei browser e, possibilmente, anche ogni informazione relativa ai wallet crypto usati dall’utente.
Fortunatamente i siti web interessati sono quasi tutti inaccessibili ora in seguito all’intervento di Google, ma non è nota la quantità di persone colpite effettivamente dalla banda di malintenzionati. Inoltre, il virus potrebbe nascondersi in altri portali ancora non scoperti dagli esperti di cybersicurezza. Pertanto, consigliamo caldamente di prestare molta attenzione alle applicazioni che si scaricano via Internet, osservando sempre l’URL del sito e altri dettagli presenti nella pagina Web visitata.