Recentemente i ricercatori di Malwarebytes hanno individuato un sito che replica l’aspetto di Avast e promette uno scanner gratuito per il sistema. In apparenza la pagina sembra autentica: logo, grafiche e inviti all’azione convincono l’utente a lanciare una scansione online. Dietro questo schermo però non c’è un servizio legittimo ma una trappola studiata per indurre al download di un eseguibile malevolo. È importante comprendere che il pericolo non è il falso scan in sé, ma il file che viene proposto per la risoluzione dei problemi fittizi.
La pagina fraudolenta presenta un pulsante con l’etichetta Scan Now che simula il controllo del sistema e, al termine, mostra risultati con alcuni malware rimossi e uno che richiede il download del file Avast_system_cleaner.exe.
Se l’utente esegue quel file, il sistema copia un eseguibile chiamato v20svc.exe nella cartella del browser (ad esempio nella directory di Chrome). Quel componente non fa parte del browser ma è in realtà il noto Venom Stealer, un infostealer progettato per sottrarre informazioni sensibili dall’esperienza di navigazione.
Perché questa minaccia è particolarmente insidiosa
Il Venom Stealer non è un semplice trojan: è un infostealer, cioè un software che raccoglie e invia dati privati ai criminali informatici. Il suo bersaglio principale sono i browser, dove accede al gestore di password per estrarre le credenziali memorizzate, raccoglie i cookie di sessione e può aggirare l’autenticazione a due fattori sfruttando token e cookie disponibili. Oltre ai dati di login, il malware analizza le estensioni e le applicazioni desktop dei wallet di criptovalute, cattura screenshot e prepara un pacchetto di informazioni da inviare al server dei malintenzionati.
Meccaniche di furto e comunicazione
La trasmissione dei dati avviene in più fasi verso un server di comando e controllo (C2) usando semplici richieste HTTP. Per rendere il traffico meno sospetto il malware adotta un user agent di tipo Mozilla, facendo apparire le chiamate come normali visite web. Questo processo in quattro step include la raccolta delle credenziali, l’aggregazione dei cookie, l’estrazione di informazioni dai wallet e l’invio finale al server remoto. La semplicità della comunicazione HTTP e la mascheratura con un user agent comune complicano il rilevamento da parte di sistemi meno attenti.
Come riconoscere il sito falso
I truffatori replicano grafiche e testi ufficiali per aumentare la credibilità del sito: il risultato è una pagina che sembra autentica a prima vista.
Gli utenti spesso arrivano a questi portali tramite link nei risultati di ricerca o annunci promozionali sui social network, dove la fiducia viene rapidamente capitalizzata. Un elemento fondamentale da verificare è il dominio: controllare che corrisponda esattamente a quello ufficiale di Avast può evitare il problema. È altrettanto importante sapere che Avast non distribuisce strumenti di scansione gratuiti tramite pagine esterne non ufficiali, quindi ogni richiesta di download da una fonte sospetta è un campanello d’allarme.
Segnali d’allarme da non sottovalutare
Prima di scaricare software suggerito da una scansione web, osserva alcuni indicatori: URL che non coincidono con il sito ufficiale, errori grammaticali o di layout, richieste immediate di eseguire file eseguibili e mancanza di certificati TLS adeguati. Anche popup aggressivi che impongono l’azione o risultati di scansione con esiti allarmanti ma vaghi meritano sospetto.
Un altro controllo utile è cercare informazioni sul tool direttamente sul sito del produttore: se Avast non pubblica quel programma, non esiste motivo per fidarsi del link esterno.
Contromisure e recupero
In caso di infezione è necessario intervenire in modo deciso: la prima operazione consigliata è cambiare immediatamente tutte le password dai dispositivi puliti, privilegiando account critici come posta e servizi bancari. Per chi detiene criptovalute è fondamentale spostare i fondi su un nuovo wallet creato su sistema sicuro, perché l’accesso via estensioni o app desktop potrebbe essere compromesso. Inoltre è raccomandato reinstallare il sistema operativo per rimuovere tracce persistenti del malware, eseguire scansioni con software affidabili e segnalare l’accaduto al fornitore del prodotto imitato e alle autorità competenti.
