Introduzione: la minaccia che si nasconde dietro gli annunci di lavoro
Se stai cercando lavoro online, fai attenzione. Una nuova e pericolosa campagna di malware sta sfruttando Google Forms per distribuire il trojan PureHVNC, un software malevolo che consente agli attaccanti di assumere il controllo completo del tuo computer. A differenza dei tradizionali email di phishing, questa truffa utilizza piattaforme fidate come Google Forms, LinkedIn e servizi di file hosting legittimi per apparire completamente autentica.
La soluzione rapida: non scaricare file da Google Forms non richiesti, verifica sempre l’autenticità delle offerte di lavoro attraverso i canali ufficiali dell’azienda, e mantieni il tuo antivirus aggiornato.
Come funziona la truffa: il meccanismo dell’inganno
Gli attaccanti creano Google Forms che imitano perfettamente le procedure di selezione di vere aziende operanti in settori come finanza, logistica, tecnologia e energia. Questi moduli richiedono informazioni professionali come esperienza lavorativa e background, esattamente come farebbe un vero processo di reclutamento.
Il punto cruciale della truffa è il cosiddetto “job brief”, presentato come documento informativo per il candidato. Quando completi il modulo, vieni invitato a scaricare un archivio ZIP da piattaforme come Dropbox, filedn.com o fshare.vn. I file vengono spesso mascherati dietro URL abbreviati o link di reindirizzamento di Google.
Gli archivi ZIP hanno nomi che sembrano completamente legittimi: “Project_Information_Summary_2026.zip”, “Company_Project_Interview_Materials.zip” o “GlobalLogistics_Ad_Strategy.zip”. All’interno, troverai una combinazione di documenti PDF autentici insieme a file eseguibili malevoli e una DLL (Dynamic Link Library) denominata msimg32.dll.
Perché Google Forms è così efficace per questa truffa
Ciò che rende questa campagna particolarmente insidiosa è l’abuso di piattaforme fidate. Google Forms risiede su docs.google.com, un dominio che aggira automaticamente i filtri di sicurezza delle email, i sistemi di reputazione degli URL e la diffidenza naturale degli utenti. Il payload non tocca mai il modulo stesso: rimane su servizi di file hosting di terze parti, raggiungibile solo dopo che la vittima ha già interagito con quello che sembra essere un prodotto Google legittimo.
Gli attaccanti sfruttano anche LinkedIn per inviare link a questi moduli falsi, aggiungendo un ulteriore livello di credibilità. La combinazione di branding aziendale reale, contenuti commerciali rilevanti e l’uso di piattaforme legittime crea un’illusione di autenticità che può ingannare anche utenti esperti.
Il malware PureHVNC: cosa può fare al tuo computer
PureHVNC è un Remote Access Trojan (RAT) modulare basato su .NET appartenente alla famiglia di malware “Pure”. Una volta installato sul tuo dispositivo, consente agli hacker di assumere il controllo remoto completo e rubare informazioni sensibili.
Le capacità di questo malware includono:
- Esecuzione di comandi da remoto sul tuo sistema
- Raccolta di informazioni dettagliate sul dispositivo, incluso il sistema operativo, l’hardware e il software di sicurezza installato
- Furto di dati da browser (Chrome, Edge, Firefox, Internet Explorer, 360 Browser)
- Estrazione di credenziali e dati da portafogli di criptovalute
- Accesso ai dati di applicazioni come Telegram e Foxmail
- Installazione di plugin aggiuntivi per estendere le funzionalità
- Registrazione dei tasti digitati e cattura dello schermo
- Creazione di meccanismi di persistenza per mantenere l’accesso anche dopo il riavvio del computer
La catena di infezione multi-stadio
Una volta che esegui il file malevolo dal ZIP scaricato, inizia un processo sofisticato progettato per eludere il rilevamento e stabilire una persistenza duratura.
Il malware inizia con controlli anti-analisi utilizzando funzioni come IsDebuggerPresent() per verificare se viene eseguito in un ambiente di debug. Se rileva che è in fase di analisi, interrompe l’esecuzione con un messaggio di errore falso. Successivamente, il malware decifra stringhe incorporate utilizzando una semplice chiave XOR.
Il file malevolo quindi si auto-elimina, lancia un PDF decoy per distrarre l’utente, e crea persistenza attraverso la chiave del registro di Windows CurrentVersion\Run\Miroupdate. Successivamente, estrae un archivio secondario denominato “final.zip” in una directory generata casualmente sotto ProgramData.
All’interno di questo archivio si trovano componenti basati su Python, incluso uno script offuscato (spesso mascherato come file come config.log o image.mp3). Questo script viene eseguito tramite pythonw.exe e alla fine decodifica ed esegue il Donut shellcode, portando al deployment del payload finale.
Lo stadio finale prevede l’iniezione di PureHVNC in processi legittimi come SearchUI.exe. Una volta attivo, il RAT concede agli attaccanti il controllo remoto completo del sistema compromesso.
Come proteggersi da questa minaccia
Per evitare di cadere vittima di questa truffa, segui questi accorgimenti:
- Non scaricare file da Google Forms non richiesti, specialmente se provengono da link su LinkedIn o email
- Verifica sempre l’autenticità delle offerte di lavoro contattando direttamente l’azienda attraverso i suoi canali ufficiali
- Evita di cliccare su URL abbreviati senza prima verificare dove conducono effettivamente
- Mantieni il tuo antivirus e il sistema operativo aggiornati per proteggerti dalle minacce note
- Sii cauto con le informazioni personali richieste da moduli online non verificati
- Diffida di offerte di lavoro che sembrano troppo facili o che richiedono procedure inusuali
Technical Deep Dive: analisi tecnica per professionisti
Per i professionisti della sicurezza informatica, ecco i dettagli tecnici della campagna PureHVNC:
Meccanismo di infezione e DLL Hijacking
Gli archivi ZIP contengono eseguibili legittimi affiancati a una DLL malevola denominata msimg32.dll. Quando l’eseguibile viene lanciato, carica la DLL malevola, sfruttando il meccanismo di DLL hijacking. Questo permette al malware di eseguirsi con i privilegi dell’applicazione legittima.
Raccolta di informazioni tramite WMI
Una volta installato, PureHVNC esegue query WMI per profilare il sistema target:
SELECT * FROM AntiVirusProductper enumerare i prodotti antivirus installati- Query su
Win32_PnPEntityconPNPClass = 'Camera'per identificare dispositivi di imaging - Raccolta di dettagli del sistema operativo e dell’hardware
Esfiltrazione di dati
Il malware analizza i browser installati e estrae dati da:
- Credenziali memorizzate in Chrome, Edge, Firefox e Internet Explorer
- Estensioni del browser e relative credenziali
- Portafogli di criptovalute
- Applicazioni di messaggistica come Telegram
- Client email come Foxmail
Persistenza e escalation dei privilegi
La persistenza viene garantita attraverso:
- Chiavi di registro Windows (CurrentVersion\Run)
- Attività pianificate create tramite comandi PowerShell codificati in base64
- Esecuzione con flag
-RunLevel Highestse disponibili diritti di amministratore
Comunicazione C2 e configurazione
Il malware comunica con server di command-and-control all’indirizzo IP 207.148.66.14 sulle porte 56001-56003. La configurazione è codificata in base64 e compressa con GZIP, includendo identificatori come:
- Nome mutex: “Rluukgz”
- ID campagna: “Default”
Indicatori di compromissione (IOC)
I professionisti della sicurezza dovrebbero monitorare:
- Creazione di file in directory ProgramData con nomi casuali
- Processi Python (pythonw.exe) lanciati da directory temporanee
- Iniezione di codice in SearchUI.exe e altri processi di sistema
- Chiavi di registro modificate sotto CurrentVersion\Run
- Attività pianificate con nomi sospetti e PowerShell base64
- Connessioni di rete verso 207.148.66.14 sulle porte 56001-56003
Evasione della sandbox
Il malware implementa meccanismi di evasione della sandbox, inclusa la verifica delle impostazioni di lingua del sistema per prevenire l’esecuzione in ambienti di analisi con configurazioni specifiche.
Questa campagna rappresenta un’evoluzione significativa nelle tattiche di distribuzione del malware, dimostrando come gli attaccanti stiano spostando il focus dalla sofisticazione tecnica del malware all’ingegneria sociale e all’abuso di piattaforme fidate per ottenere l’accesso iniziale ai sistemi target.
