CheckBlackList

Allarme VenomRAT: Il Falso Antivirus Bitdefender che Nasconde un Pericoloso Cocktail di Malware

Allarme VenomRAT: Il Falso Antivirus Bitdefender che Nasconde un Pericoloso Cocktail di Malware

Per chi ha fretta

Attenzione a una sofisticata campagna malware che distribuisce il Remote Access Trojan (RAT) VenomRAT e altri infostealer (come StormKitty) mascherandosi da software antivirus Bitdefender. I criminali utilizzano un sito web clone (bitdefender-download.com o simili, attenzione al typosquatting) che imita quello ufficiale per indurre gli utenti a scaricare un file ZIP contenente l’eseguibile malevolo (es. StoreInstaller.exe). Una volta installato, il malware mira a rubare credenziali di accesso, dati sensibili, portafogli di criptovalute e a garantire accesso remoto persistente al sistema infetto. Scarica software SOLO dai siti ufficiali dei produttori. Non fidarti di domini sospetti o link non verificati. Se sospetti un’infezione: scollega da internet, esegui scansioni approfondite, cambia tutte le password da un dispositivo sicuro, monitora i conti e denuncia.

Introduzione: Quando il Guardiano della Sicurezza Diventa l’Esca dei Cybercriminali

Nel panorama delle minacce informatiche, i cybercriminali ricorrono a tattiche sempre più ingannevoli per compromettere i sistemi degli utenti. Una delle strategie più insidiose, che continua a evolversi e a rappresentare un pericolo significativo anche nel 2025, è quella di impersonare marchi noti e affidabili nel settore della cybersecurity per distribuire malware. Recentemente, campagne malevole hanno sfruttato il nome di Bitdefender, un rinomato produttore di software antivirus, per diffondere un potente e modulare malware chiamato VenomRAT, spesso in combinazione con altri strumenti dannosi, con l’obiettivo di sottrarre credenziali, dati finanziari e criptovalute.

Meccanismo dell’Attacco: Typosquatting, Siti Clone e un Cocktail di Malware

L’attacco è orchestrato con un notevole livello di sofisticazione, combinando diverse tecniche:

  1. Typosquatting e Sito Web Clone:
    • I criminali registrano nomi di dominio molto simili a quello ufficiale del produttore di software che intendono impersonare. Nel caso specifico analizzato da esperti di threat intelligence (come DomainTools in passato e confermato da successive campagne), è stato utilizzato un dominio come bitdefender-download[.]com. Questo dominio, che sfrutta la tecnica del typosquatting (errori di battitura o lievi variazioni rispetto al nome originale), ospita un sito web che è una copia quasi identica, nell’aspetto e nella struttura HTML, del portale ufficiale di Bitdefender.
    • L’unica differenza visibile potrebbe essere minima (es. l’assenza di una parola come “Gratis” su un pulsante di download), facilmente trascurabile da un utente distratto o meno esperto.
  2. Il Falso Download:
    • Sulla pagina clone, un vistoso pulsante “Download per Windows” (o simile) invita l’utente a scaricare il presunto software antivirus.
    • Cliccando sul pulsante, l’utente viene spesso reindirizzato attraverso una catena di URL (che possono coinvolgere servizi legittimi come Bitbucket o Amazon S3, usati in modo improprio per ospitare temporaneamente i file) per scaricare un archivio ZIP (es. BitDefender.zip).
  3. Il Payload Malevolo:
    • All’interno dell’archivio compresso si trova un file eseguibile (es. StoreInstaller.exe, BitdefenderInstaller.exe o nomi simili) che, una volta lanciato dall’utente, avvia il processo di infezione.
    • Questo eseguibile spesso non contiene solo un singolo malware, ma un “cocktail” di strumenti dannosi, tra cui:
      • VenomRAT: Un potente Remote Access Trojan (RAT) derivato dal codice sorgente di QuasarRAT. Permette agli attaccanti di ottenere accesso remoto completo e persistente al sistema infetto, consentendo loro di eseguire comandi, registrare la digitazione (keylogging), rubare file, attivare microfono/webcam e monitorare l’attività dell’utente.
      • StormKitty: Un infostealer (ladro di informazioni) open-source che mira specificamente a raccogliere credenziali salvate nei browser, file di configurazione di VPN, dati di accesso a portafogli di criptovalute, token di sessione e altre informazioni sensibili.
      • SilentTrinity (o simili framework di post-exploitation): Strumenti open-source utilizzati per la fase successiva all’infezione, come mantenere la persistenza sul sistema, muoversi lateralmente all’interno di una rete compromessa (in caso di aziende) ed eludere il rilevamento.

Questi strumenti lavorano in sinergia: VenomRAT stabilisce un punto d’appoggio e controllo remoto, StormKitty esfiltra rapidamente i dati più preziosi, e framework come SilentTrinity aiutano a consolidare la presenza dell’attaccante e a preparare ulteriori azioni.

Pericoli e Obiettivi dell’Attacco (Aggiornamento Giugno 2025)

L’obiettivo primario di queste campagne è il profitto economico, ottenuto attraverso:

  • Furto di Credenziali Bancarie e Finanziarie: Accesso a conti correnti online, carte di credito.
  • Sottrazione di Criptovalute: Svuotamento di portafogli digitali.
  • Vendita di Dati Rubati: Le credenziali e i dati personali possono essere venduti sul dark web.
  • Estorsione (Ransomware): In alcune varianti, il RAT potrebbe essere usato per installare ransomware, bloccando i file dell’utente e chiedendo un riscatto.
  • Spionaggio e Ulteriori Attacchi: L’accesso persistente può essere usato per spionaggio a lungo termine o per lanciare attacchi contro altri sistemi dalla macchina infetta.

Analisi recenti indicano che i domini di phishing usati in queste campagne sono spesso collegati a una più ampia infrastruttura criminale utilizzata anche per impersonare banche (es. Royal Bank of Canada, IDBank) e altri servizi IT, suggerendo l’opera di gruppi organizzati e con risorse significative. La facilità con cui questi strumenti malware (spesso open-source o disponibili come Malware-as-a-Service) possono essere assemblati e distribuiti rende queste minacce particolarmente pervasive.

Consigli Essenziali per Evitare l’Infezione da Falsi Software di Sicurezza

  1. SCARICA SOFTWARE ESCLUSIVAMENTE DAI SITI WEB UFFICIALI DEI PRODUTTORI: È la regola d’oro. Per Bitdefender, vai su www.bitdefender.com (o il dominio ufficiale del tuo paese, es. .it). Per altri software, cerca il produttore su un motore di ricerca e accedi al suo sito ufficiale verificando attentamente l’URL.
  2. MASSIMA ATTENZIONE AL TYPOSQUATTING E AGLI URL SOSPETTI: Controlla sempre con estrema cura l’indirizzo web (URL) nella barra del browser prima di scaricare o inserire dati. Diffida da:
    • Errori di battitura o lievi variazioni nel nome del dominio (es. bitdefendeer.com, bitdefender-security.net).
    • Estensioni di dominio insolite per un sito ufficiale (es. .info, .biz, .xyz invece di .com o .it).
    • Domini che includono il nome del brand ma sono chiaramente non ufficiali (es. download-bitdefender-safe.com).
  3. NON FIDARTI DEI PRIMI RISULTATI DI RICERCA SENZA VERIFICARE: A volte annunci malevoli o siti ottimizzati per ingannare (SEO poisoning) possono apparire in cima ai risultati di ricerca. Verifica sempre l’URL.
  4. UTILIZZA UN SOFTWARE DI SICUREZZA COMPLETO E AGGIORNATO: Un buon antivirus/anti-malware con protezione web in tempo reale può aiutare a bloccare l’accesso a siti noti per essere malevoli o a rilevare file dannosi.
  5. ABILITA LE FUNZIONI DI SICUREZZA DEL BROWSER E DEL SISTEMA OPERATIVO: Molti browser moderni e sistemi operativi hanno filtri anti-phishing e funzionalità che avvisano o bloccano il download di file non sicuri o non firmati digitalmente.
  6. SCANSIONA I FILE SCARICATI PRIMA DI ESEGUIRLI: Se hai dubbi su un file, caricalo su servizi online come VirusTotal per una scansione multi-engine prima di aprirlo.
  7. DIFFIDA DA DOWNLOAD AVVIATI AUTOMATICAMENTE O DA LINK IN EMAIL/MESSAGGI NON RICHIESTI.
  8. VERIFICA LA FIRMA DIGITALE DEGLI ESEGUIBILI (SE POSSIBILE): I software legittimi sono solitamente firmati digitalmente dal produttore.

Sei Stato Infettato da VenomRAT o Simili? Ecco Cosa Fare Immediatamente

Se sospetti di aver scaricato ed eseguito un file malevolo da un finto sito di Bitdefender (o simile):

  1. SCOLLEGA IMMEDIATAMENTE IL DISPOSITIVO DA INTERNET: Disattiva il Wi-Fi e stacca il cavo di rete per impedire al malware di comunicare con i server di comando e controllo e di esfiltrare ulteriori dati.
  2. NON INSERIRE ALCUNA CREDENZIALE O DATO SENSIBILE: Il malware potrebbe essere in ascolto.
  3. ESEGUI SCANSIONI ANTIVIRUS/ANTIMALWARE APPROFONDITE:
    • Se possibile, avvia il PC in Modalità Provvisoria con rete (solo se devi scaricare o aggiornare strumenti di scansione, altrimenti senza rete).
    • Utilizza il tuo antivirus principale per una scansione completa.
    • Esegui ulteriori scansioni con strumenti di “second opinion” o specializzati nella rimozione di RAT e infostealer (es. Malwarebytes, Emsisoft Emergency Kit, HitmanPro). Data la natura persistente dei RAT, la rimozione potrebbe essere complessa.
  4. CAMBIA TUTTE LE PASSWORD CRITICHE (DA UN DISPOSITIVO “PULITO” E SICURO!): Questa è un’azione fondamentale. Utilizzando un altro computer o smartphone non infetto, modifica immediatamente:
    • Password dell’online banking, PayPal e qualsiasi servizio finanziario.
    • Password delle tue caselle email.
    • Password dei social media e di tutti gli account importanti.
    • Password dei tuoi portafogli di criptovalute e degli exchange. Usa password forti, uniche per ogni account, e abilita l’autenticazione a due fattori (MFA) ovunque.
  5. CONTATTA LA TUA BANCA E GLI ISTITUTI FINANZIARI: Informali della potenziale compromissione dei tuoi dati e chiedi di monitorare i tuoi conti per attività sospette. Valuta il blocco temporaneo delle carte.
  6. MONITORA ATTENTAMENTE I TUOI ACCOUNT: Controlla accessi, transazioni e attività sospette su tutti i tuoi account online.
  7. VALUTA LA REINSTALLAZIONE DEL SISTEMA OPERATIVO: Per infezioni da RAT come VenomRAT, che possono nascondersi profondamente nel sistema, la soluzione più sicura per garantire la completa rimozione è spesso formattare il disco e reinstallare il sistema operativo da zero (dopo aver eseguito un backup dei tuoi file personali essenziali su un supporto esterno, e averli scansionati accuratamente prima del ripristino).
  8. DENUNCIA ALLA POLIZIA POSTALE: Segnala l’incidente alla Polizia Postale e delle Comunicazioni (www.commissariatodips.it), fornendo tutti i dettagli possibili (URL del sito falso, nome del file scaricato, tipo di malware se identificato, eventuali danni subiti).
  9. SEGNALA IL SITO FALSO: Informa Bitdefender (o l’azienda impersonata) del sito clone e dell’abuso del loro marchio, e segnala il sito ai browser e ai motori di ricerca come sito di phishing.

Conclusioni: La Minaccia Nascosta Dietro Nomi Fidati

La campagna VenomRAT che impersona Bitdefender è un esempio emblematico di come i cybercriminali siano disposti a sfruttare la fiducia degli utenti verso marchi noti della sicurezza per distribuire i loro strumenti più dannosi. La combinazione di typosquatting, clonazione di siti web e l’uso di un “cocktail” di malware rende questi attacchi particolarmente pericolosi e difficili da eradicare completamente una volta che l’infezione è avvenuta. La vigilanza costante, la verifica meticolosa delle fonti di download e l’adozione di solide pratiche di igiene informatica sono essenziali per navigare sicuri e proteggere i propri dati e asset digitali da minacce sempre più sofisticate e ingannevoli.

TAGS: #checkblacklist #VenomRAT #MalwareBitdefenderFalso #SicurezzaInformatica

Claudio R Cerroni

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *