Fan dei Giochi Indie Presi di Mira: Malware si Maschera da Aggiornamenti su Itch.io e Patreon

È l’incubo di ogni appassionato di giochi indie: accedi alla tua community preferita, vedi un promettente aggiornamento di gioco e - desideroso di nuovi contenuti - lo scarichi. Ma invece di nuove funzionalità o correzioni di bug, i tuoi dati personali vengono segretamente sottratti da uno dei più noti info-stealer del web. Questa è la nuova realtà per gli utenti di Itch.io e Patreon, dove i cybercriminali hanno lanciato una sofisticata campagna per trasformare fiducia e curiosità in armi all’interno di questi spazi creativi.

Dentro la Campagna: Come i Giocatori Vengono Ingannati

Negli ultimi tempi, account appena creati hanno invaso le sezioni commenti di giochi legittimi su Itch.io con messaggi predefiniti che offrono presunte “versioni aggiornate”. Questi messaggi attirano utenti ignari verso link Patreon, dove li attende un archivio ZIP - innocentemente chiamato “Updated Version.zip”. Sebbene la maggior parte dei file all’interno sembri innocua, la vera minaccia si cela nel file “game.exe”.

Questo eseguibile non è un programma qualsiasi. Compilato usando nexe, uno strumento che impacchetta applicazioni Node.js in eseguibili Windows autonomi, rappresenta una novità nella distribuzione di malware. Tradizionalmente, i malware basati su Node.js richiedevano un runtime esterno, ma nexe rende il codice malevolo portatile e più difficile da individuare. I ricercatori di sicurezza ritengono che questa sia la prima campagna pubblica che sfrutta nexe per la diffusione di malware.

Approfondimento Tecnico: Come Sfugge al Rilevamento

Una volta eseguito, il malware avvia una serie di sei controlli anti-analisi progettati per ostacolare ricercatori e difese automatiche. Esamina la memoria di sistema, i core della CPU e i nomi utente, cercando segni di ambienti virtuali o analisi in sandbox. Poi verifica la presenza di popolari strumenti di debug e monitoraggio, analizza i dettagli del controller video, testa i refresh rate e ispeziona i modelli dei dischi per individuare tracce di virtualizzazione. Se rileva qualcosa di sospetto, il malware si interrompe silenziosamente.

Solo quando un sistema supera tutti questi ostacoli inizia il vero attacco. Lo script decodifica e scrive una DLL malevola nella directory temporanea del sistema, quindi carica una variante di Lumma Stealer - un famigerato info-stealer - direttamente in memoria. Questa esecuzione furtiva, solo in memoria, rende molto più difficile il rilevamento e l’analisi forense.

Gli investigatori hanno ricondotto l’operazione a un singolo attore della minaccia che orchestra più account e modifica regolarmente il codice del malware per sfuggire al rilevamento. Sebbene Itch.io abbia rimosso molti account malevoli, ne continuano a comparire di nuovi, mantenendo viva la minaccia.

Conclusione

Questa campagna è un inquietante promemoria che anche le piattaforme più creative e basate sulla community non sono immuni dal cybercrimine. I gamer indie, spesso meno protetti rispetto ai loro omologhi mainstream, sono ora in prima linea in una nuova guerra contro i malware. La lezione è chiara: mai fidarsi dei link agli aggiornamenti nelle sezioni commenti - verifica sempre direttamente con gli sviluppatori e mantieni aggiornate le tue difese di sicurezza. Man mano che i cybercriminali innovano, anche la nostra vigilanza deve fare altrettanto.

WIKICROOK: Glossario

nexe

Uno strumento che compila applicazioni Node.js in file eseguibili autonomi, eliminando la necessità di un runtime separato.

Node.js

Un ambiente di esecuzione JavaScript open-source utilizzato per sviluppare applicazioni lato server e desktop.

Lumma Stealer

Un tipo di malware progettato per rubare informazioni sensibili come password, cookie e wallet di criptovalute dai sistemi infetti.

Tecniche anti-analisi

Metodi utilizzati dai malware per rilevare ed eludere ricercatori di sicurezza e strumenti di analisi automatizzata.

Caricamento riflessivo

Tecnica che consente al malware di caricare ed eseguire codice malevolo direttamente in memoria, riducendo le tracce su disco e complicando il rilevamento.