Secondo alcuni rapporti dei ricercatori di AhnLab Security Emergency Response Center (ASEC), dei cybercriminali stanno utilizzando file di installazione per app VPN modificati per distribuire il malware SparkRAT.
A tal proposito, gli stessi autori della minaccia hanno clonato siti e pagine di download per trarre più facilmente in inganno le vittime. Gli hacker coinvolti hanno falsificato il certificato dello sviluppatore corrispondente al reale software per introdurre codice dannoso nell’installer. Stando alle ricerche, questa modalità di attacco è stata attiva in tutta la prima metà del 2023, coinvolgendo un numero indefinito di vittime.
SparkRAT è un trojan di accesso remoto reso disponibile con la formula open-source e scritto in linguaggio Go. È in grado di controllare il sistema infetto con l’esecuzione di comandi, il furto di informazioni e il controllo diretto del dispositivo.
Installer VPN falso per diffondere il malware SparkRAT: ecco come evitare guai
L’installazione della VPN viene accompagnata da quella offuscata del malware. In questo modo, i cybercriminali riescono sia ad agire indisturbati agli occhi delle vittime che ad aggirare alcuni antivirus e altri sistemi di rilevamento poco efficaci.
Il lavoro degli esperti di sicurezza ha rivelato anche altre caratteristiche di SparkRAT. Il già citato linguaggio GO, per esempio, è stato impegnato sia nella realizzazione del malware sia nel contesto del server di comando.
Durante l’installazione, il malware comunica con il server C2 per scaricare i dati delle impostazioni crittografate, che consistono nelle condizioni per il download dell’infezione vera e propria, ovvero MeshAgent.
Per evitare questa situazione così complessa, è bene agire con una certa prudenza. Quando si scarica il file d’installazione di una VPN (e non solo) è bene appurare da quale sito si sta effettuando il download.
Un dominio sospetto, che non corrisponde al sito ufficiale del servizio, dovrebbe mettere sin da subito in allerta l’utente. Allo stesso tempo, adottare un antivirus di alto livello e mantenuto costantemente aggiornato può fornire un ulteriore grado di sicurezza.
Nel contesto delle Virtual Private Network, infine, è bene affidarsi a uno dei migliori strumenti del settore, così da evitare spiacevoli sorprese.