Installatore falso di Proxifier su GitHub diffonde il malware ClipBanker
Attenzione: non scaricare Proxifier da GitHub o siti non ufficiali! Un finto installer di Proxifier, tool per instradare il traffico tramite proxy, nasconde un pericoloso malware ClipBanker che intercetta e ruba le tue criptovalute. La soluzione rapida è semplice: usa solo siti ufficiali per i download, abilita l’antivirus e verifica sempre gli hash dei file. In questo articolo, scopri come funziona l’attacco e come difenderti.
Come inizia l’infezione
Gli utenti cercano “Proxifier” sui motori di ricerca per bypassare restrizioni in ambienti aziendali o di sviluppo. Tra i primi risultati appare un repository GitHub che sembra innocuo, offrendo un proxy service gratuito. Nella sezione Releases, però, c’è un archivio con un installer apparentemente legittimo e chiavi di attivazione “gratis”, perfette per attirare chi vuole evitare costi di licenza.
Una volta scaricato ed eseguito, l’exe è un trojan wrapper: avvia il vero Proxifier per non insospettire, ma in background scatena una catena di infezione fileless, ovvero senza lasciare tracce evidenti su disco.
Impatto della campagna
Dal inizio del 2025, migliaia di utenti sono stati colpiti, soprattutto in India e Vietnam. Il 70% delle rilevazioni avviene su macchine già compromesse, tramite tool di rimozione virus. ClipBanker monitora il clipboard e sostituisce indirizzi di wallet di Bitcoin, Ethereum, Monero, Dogecoin, Solana e altre crypto con quelli degli attaccanti, rubando fondi senza avvisi.
Le vittime scoprono il furto solo dopo, quando le transazioni finiscono nei wallet sbagliati. Questo sottolinea l’importanza di una protezione proattiva, non reattiva.
Perché è così pericoloso
La campagna usa search-engine poisoning (avvelenamento dei risultati di ricerca), installer troianizzati e tecniche fileless per evadere i rilevatori. Minimizza artefatti su disco, usa PowerShell in memoria e registry per persistere. Scaricare software craccato o pre-attivato espone a rischi enormi, specialmente con criptovalute coinvolte.
Consigli pratici per utenti comuni:
- Scarica software solo da siti ufficiali come proxifier.com.
- Evita chiavi pirate e repository GitHub non verificati.
- Usa antivirus aggiornati con protezione comportamentale contro PowerShell sospetti.
- Controlla il clipboard prima di inviare crypto: copia l’indirizzo due volte.
- Abilita 2FA e usa hardware wallet.
Questi passi riducono drasticamente il rischio. Ora, passiamo ai dettagli tecnici per chi vuole approfondire.
Approfondimento tecnico: la catena di infezione
Fase 1: Debolezza delle difese
L’exe troianizzato prima modifica Microsoft Defender, aggiungendo esclusioni per file .TMP e la directory di esecuzione. Poi lancia il vero installer Proxifier, mascherando l’attività malevola.
Crea un piccolo stub “Proxifier*.tmp” nella cartella temp, inietta un binario .NET api_updater.exe, che esegue uno script PowerShell in memoria tramite PSObject, evitando console visibili.
Fase 2: Iniezione multipla
Avvia un processo donatore, inietta proxifierupdater.exe, poi abusa di conhost.exe per eseguire “bin.exe”, un altro .NET che lancia PowerShell offuscato in memoria.
Questo script:
- Aggiunge esclusioni per PowerShell.exe e conhost.exe in Defender.
- Scrive un payload Base64-encoded in HKLM\SOFTWARE\System::Config nel registry.
- Crea un scheduled task che decodifica e esegue lo script dal registry a intervalli.
- Pinga un servizio di logging IP (simile a maper.info) per confermare l’infezione.
Fase 3: Persistenza e download
Il task scheduled carica PowerShell, che decodifica lo script dal registry e scarica il layer successivo da servizi Pastebin-like, con contenuti offuscati. Questo scarica un grosso payload PowerShell (~500 KB) da GitHub, contenente shellcode Base64.
Fase 4: Payload finale ClipBanker
Lo script estrae shellcode, avvia fontdrvhost.exe, inietta il codice e passa l’esecuzione. Lo shellcode unpacka il malware C++ (compilato con MinGW), variante di ClipBanker focalizzata su manipolazione clipboard.
Monitora stringhe matching formati wallet di numerose reti crypto: Bitcoin (BTC), Ethereum (ETH), Monero (XMR), Dogecoin (DOGE), Solana (SOL), TRON (TRX), Ripple (XRP), Tezos (XTZ) e altre. Sostituisce silenziosamente con indirizzi hard-coded degli attaccanti, senza comunicazioni di rete dal stealer.
Difese avanzate per esperti
Per tecnici:
- Monitora scheduled tasks con
schtasks /query /fo LIST /v | findstr /i "powershell". - Controlla registry:
reg query HKLM\SOFTWARE /s /f "*Config*". - Usa EDR per tracciare iniezioni in processi come fontdrvhost.exe o conhost.exe.
- Blocca PowerShell offuscato con AMSI (Antimalware Scan Interface).
- Verifica hash SHA256 degli installer ufficiali.
Script di controllo rapido (PowerShell):
Get-ScheduledTask | Where-Object {$_.Actions.Execute -like "*powershell*"} | Select TaskName, Actions
Get-ItemProperty -Path "HKLM:\SOFTWARE" -ErrorAction SilentlyContinue | Select-String -Pattern "(powershell|tmp|proxifier)"
Questa campagna ricorda: la supply chain di software è un vettore comune. Mantieni endpoint protetti e educa gli utenti.
Conclusione: agisci ora
Proteggiti scaricando solo da fonti ufficiali e usando tool affidabili. La minaccia evolve, ma la vigilanza resta la migliore difesa. Condividi questi consigli per aiutare altri.
