Proton VPN falsa: come riconoscere il malware che ruba i tuoi dati

Introduzione: il rischio nascosto dietro i download online

Se stai cercando Proton VPN, fai attenzione. Esiste una versione contraffatta che circola online e può rubare tutti i tuoi dati sensibili. La minaccia è seria: scarica il software solo dai siti ufficiali e non fidarti dei link nelle descrizioni dei video di YouTube. Questo articolo ti guida su come riconoscere la truffa e proteggere il tuo computer.

Il pericolo: una falsa Proton VPN che distribuisce malware

I ricercatori di sicurezza hanno scoperto un sito web fraudolento che imita perfettamente il design di Proton VPN. Gli utenti ignari scaricano quello che credono sia il software legittimo, ma in realtà ricevono un archivio ZIP contenente un infostealer pericoloso. Questo tipo di malware è progettato per rubare informazioni personali e finanziarie dal tuo computer.

La frode sfrutta un design identico al sito originale, rendendo difficile distinguere il falso dall’autentico. I cybercriminali sono esperti nel creare repliche convincenti per ingannare gli utenti meno esperti.

Come viene distribuito il malware

I canali di distribuzione sono molteplici e sofisticati:

• Siti web fraudolenti: Copie quasi perfette del sito ufficiale di Proton VPN
• YouTube: Canali che pubblicizzano Proton VPN con link falsi nelle descrizioni dei video
• Piattaforme di hosting: File caricati su servizi che permettono il download gratuito
• Altre applicazioni contraffatte: Lo stesso malware viene distribuito anche attraverso false VPN, utility di monitoraggio hardware, software di mining e mod per videogiochi

La tattica è semplice ma efficace: attirare l’utente con un link, farlo cliccare sul pulsante di download, e installare il malware.

Cosa succede quando scarichi il file falso

Quando clicchi sul pulsante di download sul sito fraudolento, ricevi un archivio ZIP che contiene:

• Un file eseguibile
• Una libreria DLL (Dynamic Link Library)

Non appena avvii l’eseguibile, inizia una catena di infezione che termina con l’installazione di NWHStealer, un malware sofisticato che:

• Si carica direttamente in memoria del sistema
• Si inietta in processi di sistema legittimi per evitare il rilevamento
• Rimane nascosto mentre raccoglie i tuoi dati

I dati che il malware ruba

Una volta installato, NWHStealer inizia a cercare informazioni preziose sul tuo computer:

Portafogli di criptovalute

Il malware esegue una scansione completa del file system e del registro di Windows alla ricerca di portafogli di criptovalute. Una volta individuati, tenta di rubare le credenziali di accesso per svuotare i tuoi fondi digitali.

Dati dai browser

Raccoglie informazioni sensibili da tutti i browser principali:

• Google Chrome
• Microsoft Edge
• Opera
• Altri browser comuni

I dati rubati includono password salvate, cookie di sessione, cronologia di navigazione e informazioni di autenticazione a due fattori.

Trasmissione cifrata ai criminali

Tutti i dati raccolti vengono inviati a un server C2 (Command and Control) in forma cifrata. Se il server originale non è raggiungibile, il malware recupera automaticamente un nuovo dominio da un canale Telegram, rendendo difficile bloccare la comunicazione.

Come proteggere il tuo computer

Regola numero uno: scarica solo da siti ufficiali

Non cliccare mai su link nelle descrizioni di video YouTube, anche se il video sembra legittimo. I cybercriminali creano canali che sembrano ufficiali ma distribuiscono malware.

Per scaricare Proton VPN in sicurezza:

1. Accedi direttamente a protonvpn.com digitando l’URL nel browser
2. Scarica il software dalla pagina di download ufficiale
3. Verifica il certificato SSL del sito (l’icona del lucchetto nella barra degli indirizzi)

Segnali di allarme di un sito fraudolento

• URL leggermente diverso dall’originale (es. protonvpn-download.com invece di protonvpn.com)
• Certificato SSL scaduto o assente
• Design che imita l’originale ma con piccole imperfezioni
• Offerte troppo buone per essere vere (download gratis di versioni a pagamento)
• Link esterni sospetti nelle descrizioni

Protezione aggiuntiva

• Usa un antivirus aggiornato che rilevi infostealer
• Abilita Windows Defender e mantienilo attivo
• Non disabilitare mai i warning del sistema operativo
• Esegui scansioni periodiche del tuo computer
• Aggiorna regolarmente il sistema operativo e i software
• Usa un password manager per evitare di salvare password nel browser
• Abilita l’autenticazione a due fattori su tutti gli account importanti

Cosa fare se hai già scaricato il file falso

Se sospetti di aver scaricato il malware:

1. Non eseguire il file: Se non l’hai ancora fatto, non avviare l’eseguibile
2. Isola il computer: Scollega da Internet se possibile
3. Esegui una scansione antivirus: Usa un antivirus affidabile per rilevare il malware
4. Cambia le password: Da un altro dispositivo, cambia tutte le password importanti
5. Monitora i tuoi account: Controlla i tuoi account bancari e di criptovalute
6. Contatta il supporto: Se hai accesso a criptovalute, contatta l’exchange per segnalare l’accesso non autorizzato
7. Ripristina il sistema: In casi gravi, considera un ripristino completo di Windows

Stato attuale della minaccia

Il sito fraudolento originale non è più disponibile online. Tuttavia, i cybercriminali possono facilmente registrare nuovi domini e continuare le loro attività illecite. La minaccia rimane attiva e in evoluzione, con nuove varianti del malware che emergono regolarmente.

Technical Deep Dive

Analisi tecnica di NWHStealer

NWHStealer rappresenta una categoria sofisticata di malware infostealer con capacità avanzate di evasione. La sua architettura è progettata per:

Memory Injection e Process Hollowing
Il malware utilizza tecniche di code injection per caricarsi direttamente in memoria o iniettarsi in processi di sistema legittimi. Questo approccio evita la creazione di file eseguibili sul disco rigido, rendendo il rilevamento basato su firma più difficile.

Enumerazione del Registro di Windows
Scansiona HKEY_LOCAL_MACHINE e HKEY_CURRENT_USER per identificare portafogli di criptovalute noti. Ricerca chiavi di registro specifiche associate a:

• Electrum
• MetaMask
• Exodus
• Ledger Live
• Trezor Suite

Estrazione di Credenziali dai Browser
Implementa driver per accedere ai database SQLite cifrati dei browser. Decrittografica le password utilizzando le chiavi di decrittazione memorizzate nel profilo dell’utente. Estrae anche cookie di sessione e token di autenticazione per accessi non autorizzati.

Comunicazione C2 Resiliente
Utilizza protocolli di comunicazione criptati con fallback a canali Telegram per garantire la persistenza della comunicazione. Se il server C2 primario è offline, il malware recupera indirizzi di server alternativi da bot Telegram, rendendo il takedown infrastrutturale complesso.

Indicatori di Compromissione (IOC)

Per i professionisti della sicurezza, monitorare:

• Processi che iniettano codice in explorer.exe o svchost.exe
• Accesso anomalo a HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ProfileList
• Connessioni di rete verso indirizzi IP non riconosciuti sulla porta 443
• Letture di file da cartelle AppData\Local\Google\Chrome\User Data
• Esecuzione di cmd.exe con flag /c per l’enumerazione del registro

Mitigazione a Livello Enterprise

Le organizzazioni dovrebbero implementare:

• Credential Guard: Isola le credenziali in memoria protetta
• Attack Surface Reduction: Disabilita PowerShell per gli utenti non amministratori
• Browser Isolation: Utilizza tecnologie di isolamento del browser per i siti ad alto rischio
• Threat Intelligence Feeds: Integra feed di minacce per identificare domini fraudolenti noti
• Behavioral Analysis: Implementa sistemi di rilevamento anomalie per identificare pattern di exfiltrazione dati

Fonte: https://www.punto-informatico.it/proton-vpn-falsa-app-ruba-dati-computer/