Netcrook Logo
👤 LOGICFALCON
🗓️ 16 Apr 2026  

Rubare la fiducia: come VPN false e mod di gioco scatenano una nuova ondata di rapine informatiche

Una sofisticata campagna malware si maschera da strumenti e mod affidabili, inducendo gli utenti a consegnare i loro dati più sensibili.

Tutto inizia con un semplice download: l’installer di una VPN gratuita, un’utility hardware o una mod per il tuo gioco preferito. Ma dietro icone familiari e siti dall’aspetto ufficiale si nasconde NWHStealer - un nuovo malware astuto che, in silenzio, sottrae credenziali, criptovalute e cronologie del browser a vittime ignare in tutto il mondo.

Dentro l’operazione NWHStealer

Questa non è la solita campagna di phishing. Gli operatori di NWHStealer hanno abbandonato le ovvie email di spam, puntando invece su siti falsi convincenti che imitano marchi affidabili come Proton VPN. Caricano persino tutorial patinati, generati con l’IA, su canali YouTube compromessi, attirando gli utenti a scaricare software “gratuito” che è tutto fuorché sicuro.

I ricercatori hanno tracciato come questi siti ingannevoli - talvolta classificati tra i primi 100.000 di internet - ospitino file ZIP trappola. Questi file si spacciano per utility legittime (come OhmGraphite o HardwareVisualizer), ma al loro interno un eseguibile accuratamente impacchettato è pronto a scatenare lo stealer. Il malware è spesso confezionato in installer MSI o Node.js per eludere ulteriormente rilevamento e controlli.

L’analisi tecnica rivela un attacco multi‑stadio. Quando un utente esegue il falso installer, NWHStealer entra in azione tramite DLL hijacking. Decritta il codice, esegue process hollowing (iniettandosi in processi Windows affidabili come RegAsm) e scandaglia oltre 25 cartelle di sistema alla ricerca di dati del browser, password e wallet di criptovalute. Le informazioni rubate vengono cifrate e inviate direttamente ai server di comando e controllo degli attaccanti, fuori dalla portata della vittima.

Per mantenere il controllo sulla macchina infetta, NWHStealer sfrutta un bypass del Controllo Account Utente, abusando dell’utility cmstp.exe di Windows per elevare silenziosamente i propri privilegi. Inietta persino codice malevolo direttamente in browser come Chrome, Edge, Brave e Firefox, assicurandosi che nessuna traccia digitale resti inesplorata.

Ciò che rende questa campagna particolarmente pericolosa è il suo focus su strumenti che le persone cercano attivamente e di cui si fidano. Che tu sia un gamer a caccia della prossima mod o un utente attento alla privacy in cerca di una VPN, le trappole di NWHStealer sono piazzate dove meno te le aspetti.

Come restare al sicuro

Secondo gli esperti di cybersecurity, la vigilanza è la migliore difesa. Scarica software solo dai siti ufficiali dei fornitori, stai alla larga dai link nelle descrizioni dei video su YouTube e controlla sempre firme dei file e dettagli dell’editore prima di eseguire qualsiasi eseguibile. Il confine tra legittimo e malevolo non è mai stato così sottile - non lasciare che la fiducia diventi il tuo anello debole.

Conclusione

La campagna di NWHStealer è un monito netto: in un mondo digitale costruito sulla fiducia, gli attaccanti lavorano senza sosta per trasformare in armi le nostre abitudini e aspettative. Man mano che il malware diventa più sofisticato, deve crescere anche il nostro scetticismo. La prossima volta che clicchi “Download”, chiediti - sai davvero cosa ti aspetta dall’altra parte?

TECHCROOK

Bitdefender Total Security è una suite di sicurezza pensata per ridurre il rischio di infezioni da malware “travestiti” da VPN gratuite, utility e mod di gioco, come descritto nell’articolo. Integra protezione in tempo reale con analisi comportamentale contro tecniche di evasione e iniezione nei processi, blocco di file sospetti scaricati dal web e difese anti‑phishing per siti clone e download ingannevoli. Include anche protezione delle credenziali e dei dati del browser, oltre a moduli anti‑ransomware e controlli sulla navigazione. È adatto a PC Windows (e spesso anche a più dispositivi, a seconda della licenza) e si installa rapidamente con aggiornamenti automatici delle firme. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

Bitdefender Total Security è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

  • DLL Injection: La DLL injection consente agli attaccanti di eseguire codice malevolo all’interno di altri processi, spesso per aggirare la sicurezza, rubare dati o controllare applicazioni senza essere rilevati.
  • Process Hollowing: Il process hollowing è una tecnica in cui il malware si nasconde nella memoria di un programma legittimo, permettendogli di eludere il rilevamento ed eseguire azioni malevole.
  • Command: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo indirizza a compiere azioni specifiche, talvolta per scopi malevoli.
  • User Account Control (UAC) Bypass: Il bypass del Controllo Account Utente (UAC) consiste nell’ingannare Windows affinché consenta modifiche non autorizzate eludendo i suoi prompt e le sue protezioni di sicurezza.
  • Cryptocurrency Wallet: Un wallet di criptovalute è uno strumento o un’app digitale usata per conservare, inviare e ricevere in modo sicuro criptovalute come Bitcoin, gestendo chiavi crittografiche.
Cybersecurity NWHStealer Malware
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news