I ricercatori di Malwarebytes hanno individuato un sito web che distribuisce una versione fasulla di Proton VPN. Le ignare vengono ingannate dal design simile a quello originale e scaricano un archivio ZIP che contiene un infostealer. In molti paesi è prevista l’introduzione della verifica dell’età (anche in Europa), quindi i cybercriminali sfrutteranno l’occasione a proprio vantaggio.
Attenzione ai falsi siti pubblicizzati su YouTube
Gli esperti di Malwarebytes hanno trovato lo stesso malware in false VPN, utility per il monitoraggio hardware, software di mining e trucchi/mod per giochi. I cybercriminali usano diversi canali di distribuzione, tra cui siti web, piattaforme di hosting e YouTube. Diversi canali su YouTube ospitano video che pubblicizzano Proton VPN, ma nella descrizione è presente il link ad un sito fasullo con aspetto simile all’originale.
Cliccando sul pulsante di download presente sul sito dovrebbe essere scaricata Proton VPN per Windows. In realtà è un archivio ZIP che contiene un file eseguibile e una DLL. Se l’utente avvia l’eseguibile inizia la catena di infezione che termina con l’installazione di NWHStealer (caricato in memoria o iniettato in processi di sistema).
L’infostealer effettua la scansione dei file system e del registro di Windows per individuare i portafogli di criptovalute con l’obiettivo di rubare le credenziali di login. Il malware può inoltre raccoglie dati dai browser (Chrome, Edge, Opera e altri) che vengono inviati al server C2 (command and control) in forma cifrata. Se il server non è raggiungibile viene recuperato un nuovo dominio da un canale Telegram.
I ricercatori di Malwarebytes consigliano ovviamente di scaricare i software solo dai siti ufficiali. Gli utenti non devono cliccare su link presenti nelle descrizioni dei video su YouTube. Il sito fake non è più disponibile, ma i cybercriminali possono facilmente cambiare il dominio e proseguire la loro attività illecita.
Ti potrebbe interessare
18 apr 2026