Negli ultimi mesi i ricercatori hanno rilevato una campagna che diffonde un infostealer molto aggressivo usando esche ordinarie: falsi client VPN, utility hardware e mod per videogiochi. Chi cerca strumenti affidabili può imbattersi in siti con grafica simile all’originale o in link nelle descrizioni di video su YouTube, e scaricare involontariamente un archivio ZIP che contiene loader dannosi. L’obiettivo principale degli attaccanti è il furto di credenziali e dati sensibili, in particolare quelli collegati ai portafogli di criptovalute e ai profili salvati nei browser.
Il malware conosciuto come NWHStealer non è limitato a un singolo vettore: viene distribuito tramite piattaforme mainstream e hosting gratuiti, rendendo l’attacco più insidioso. Questa campagna sfrutta sia tecniche semplici, come link malevoli in video, sia operazioni tecniche avanzate come l’iniezione in processi di sistema.
Comprendere le modalità di diffusione e le contromisure è fondamentale per evitare compromissioni che possono sfociare in furti finanziari o usi impropri delle identità online.
Canali di diffusione e tipologie di esca
Gli autori usano una molteplicità di canali per aumentare la probabilità che la vittima abbassi la guardia: siti web fasulli che imitano servizi noti come Proton VPN, repository su GitHub e GitLab, servizi di hosting file tipo SourceForge e MediaFire, oltre a link inseriti nelle descrizioni di video su YouTube. Le esche prendono spesso la forma di ZIP o installer che si presentano come software legittimo: VPN, utility per monitorare l’hardware, software per mining o mod e trucchi per videogiochi. Questo approccio sfrutta la fiducia dell’utente verso contenuti che cerca attivamente.
Esempi concreti e hosting insospettabile
Un caso sorprendente vede l’uso di un provider di hosting gratuito, onworks.net, per ospitare ZIP che contengono l’esca. File con nomi plausibili come Sidebar Diagnostics o HardwareVisualizer vengono pubblicati per sembrare reali, ma racchiudono loader che poi attivano il furto di dati. Altre campagne usano eseguibili legittimi come WinRAR che caricano DLL malevoli via dihrottamento di DLL, rendendo l’analisi più complessa e la rilevazione più difficile per strumenti superficiali.
Tecniche di infezione e meccaniche interne
Le catene d’infezione combinano più stratagemmi: wrapper come MSI o runtime di Node.js possono essere usati come primo caricatore, mentre la fase successiva sfrutta autoiniezione o l’iniezione in processi come RegAsm. Alcuni loader decriptano risorse integrate usando implementazioni di AES‑CBC o librerie come OpenSSL per recuperare una DLL secondaria che esegue il payload.
Tecniche più avanzate includono il process hollowing e chiamate di basso livello per allocare ed eseguire codice in processi di sistema, così da eludere controlli tradizionali.
Il payload: cosa fa NWHStealer
Una volta attivo, NWHStealer esegue una scansione dei file system e del registro di Windows per trovare indicatori di portafogli di criptovalute e credenziali salvate. Raccoglie dati da browser come Chrome, Edge, Opera, Brave e altri, e può iniettare una DLL all’interno dei processi browser per estrarre cookie, password e estensioni attive. I dati vengono cifrati con AES‑CBC e inviati a un server di comando e controllo; se il C2 primario è irraggiungibile, il malware può recuperare nuovi domini tramite un dead drop su Telegram.
Difesa pratica e indicatori da controllare
Per difendersi è essenziale seguire alcune regole: scaricare software esclusivamente dai siti ufficiali, verificare le firme digitali degli eseguibili e diffidare dei link in descrizioni di video su YouTube. Analizzatori e strumenti di sicurezza dovrebbero controllare firme e hash degli archivi sospetti, e gli amministratori possono bloccare domini noti e monitorare attività anomale come la creazione di directory nascoste in LOCALAPPDATA o l’uso di cmstp.exe per bypassare il controllo account utente.
Alcuni indicatori utili da segnalare agli strumenti di sicurezza includono domini malevoli come vpn-proton-setup[.]com e get-proton-vpn[.]com, o la presenza di hash noti associati ai file dannosi. L’adozione di estensioni di protezione per il browser, l’uso di software anti-malware aggiornato e la prudenza nel seguire link esterni riducono significativamente il rischio di infezione. In ultima istanza, mantenere backup e separare le chiavi crittografiche dai sistemi quotidiani limitano l’impatto di un furto di credenziali.
