Fruity, l'installatore di software diffonde Remcos RAT (e non solo)

Alcuni criminali informatici stanno creando siti Web per ospitare installatori di software che, come spesso accade in questi casi, non sono quello che dicono di essere.

In molti casi, infatti, questi software trojan si dimostrano dei veri e propri malware-downloader, come nel caso di Fruity.

Secondo Doctor Web, infatti, questo installatore è alquanto pericoloso, a dispetto del suo aspetto innocuo “Tra i software in questione ci sono vari strumenti per la messa a punto di CPU, schede grafiche e BIOS; strumenti di monitoraggio dell’hardware del PC; e alcune altre app. Tali programmi di installazione sono usati come esca e contengono non solo il software a cui le potenziali vittime sono interessate, ma anche il trojan stesso con tutti i relativi componenti“.

L’installer in questione, oltre ad attivare il processo di installazione standard dei software, rilascia furtivamente il trojan Fruity. Si tratta di un malware basato su Python che decomprime un file MP3 (denominato Idea.mp3) per caricare un file immagine (Fruit.png) capace di attivare l’infezione vera e propria.

Fruity può potenzialmente installare qualunque tipo di malware sul tuo computer

A tal proposito, Doctor Web ha affermato come “Questo file immagine utilizza il metodo della steganografia per nascondere al suo interno due eseguibili (ovvero librerie .dll) e lo shellcode per l’inizializzazione successiva“.

A rendere ancora più temibile Fruity vi è il fatto che è stato progettato per aggirare il rilevamento antivirus sull’host compromesso e per lanciare il payload Remcos RAT utilizzando una tecnica chiamata processo doppelgänging. Detto questo, la sequenza di attacco potrebbe essere sfruttata per distribuire potenzialmente qualunque tipo di malware.

A tal proposito, dunque, appare evidente quanto sia possibile fare attenzione quando si scarica un software. Questo, infatti, deve essere ottenuto sempre dal sito ufficiale dello sviluppatore, evitando dunque pericolosi “intermediari”.

Inoltre, l’adozione di strumenti di sicurezza con scansione in tempo reale, possono aiutare a ridurre eventuali rischi di infezione.