Game Over: falsi strumenti di mod dirottano i PC Windows in un attacco RAT furtivo

Tutto inizia con un semplice download - magari un “booster di prestazioni” per Roblox o uno strumento di cheat per Xeno. Ma dietro icone familiari e nomi di file rassicuranti, gli aggressori stanno dirottando macchine Windows e consegnandone il controllo ai criminali, mentre gli utenti pensano solo di migliorare il proprio gioco.

Il team Threat Intelligence di Microsoft ha scoperto una campagna sofisticata che prende di mira la community dei gamer, in cui gli aggressori fanno circolare false utility che promettono di migliorare o modificare giochi popolari come Roblox e Xeno. L’esca della campagna - eseguibili dall’aspetto innocuo come Xeno.exe e RobloxPlayerBeta.exe - viene distribuita su forum di gaming, gruppi di chat e tramite download diretti dal browser. Ma una volta fatto doppio clic, questi file avviano più di un semplice tweak di gioco: innescano una catena di distribuzione di malware che può lasciare il sistema compromesso per mesi.

L’attacco inizia con un’applicazione downloader che installa furtivamente un runtime Java portatile ed esegue un archivio Java malevolo (jd-gui.jar). Invece di affidarsi a malware palesi, gli aggressori sfruttano con astuzia componenti Windows considerati affidabili - nello specifico, binari di sistema come cmstp.exe - e script PowerShell. Questo approccio “living-off-the-land” camuffa il comportamento malevolo come normale attività di sistema, rendendo molto più difficile per i motori antivirus individuare subito la minaccia.

Una volta che l’infezione iniziale va a buon fine, il malware tenta di contattare una serie di server remoti, inclusi domini come powercatdog ed endpoint ospitati su PythonAnywhere. Se la connessione viene stabilita, scarica e avvia un payload secondario chiamato update.exe. Il malware poi cancella le tracce del proprio arrivo, disabilita le protezioni di Microsoft Defender per i propri file e si annida in profondità in Windows creando attività pianificate e uno script di avvio chiamato world.vbs. Questi trucchi assicurano che il RAT sopravviva ai riavvii e continui a fornire agli aggressori accesso continuativo al computer della vittima, da cui possono impartire comandi, rubare dati o distribuire ulteriore malware.

Microsoft Defender è in grado di individuare questa campagna, ma l’uso da parte dei cybercriminali di strumenti Windows legittimi e di astute tattiche di persistenza significa che molti sistemi infetti potrebbero passare inosservati. Microsoft invita utenti e organizzazioni a esaminare con attenzione le esclusioni di Defender e le attività pianificate alla ricerca di elementi sconosciuti, e a diffidare di qualsiasi “utility” scaricata che prometta miglioramenti di gioco - soprattutto se condivisa al di fuori dei canali ufficiali.

Per i gamer, la lezione è chiara: se uno strumento sembra troppo bello per essere vero, probabilmente lo è. Man mano che gli aggressori diventano più bravi a mimetizzarsi, vigilanza e scetticismo sono la migliore difesa. La prossima volta che sarai tentato di potenziare il tuo gioco con un download veloce, ricorda: non è solo il tuo punteggio più alto a essere in gioco.

WIKICROOK

• Trojan di accesso remoto (RAT): Un Remote Access Trojan (RAT) è un malware che consente agli aggressori di controllare segretamente il computer di una vittima da qualsiasi luogo, permettendo furto e spionaggio.
• Living: Living off the Land significa che gli aggressori usano strumenti di sistema considerati affidabili (LOLBins) per azioni malevole, rendendo le loro attività furtive e difficili da rilevare.
• PowerShell: PowerShell è uno strumento di scripting di Windows usato per l’automazione, ma gli aggressori spesso lo sfruttano per eseguire azioni malevole in modo furtivo.
• Persistenza: La persistenza comprende tecniche usate dal malware per sopravvivere ai riavvii e restare nascosto sui sistemi, spesso imitando processi o aggiornamenti legittimi.
• Indicatori di compromissione (IoC): Gli Indicators of Compromise (IoC) sono indizi come nomi di file, IP o frammenti di codice che aiutano a rilevare se un sistema informatico è stato violato.