Che il software contraffatto sia un potenziale ricettacolo di malware e pericoli informatici è risaputo. Nonostante ciò, a quanto pare, questo contesto illegale offre ancora ampio margine di manovra per i cybercriminali.
Grazie al lavoro di Cybereason, infatti, è stato impossibile individuare un nuovo ceppo del ransomware DJVU, diffusa attraverso il download di software crackato. Rispetto alle precedenti varianti, questa adotta l’estensione file .xaro per i dati compromessi e, talvolta, si presenta in “bundle” con altri loader e infostealer.
In questo senso, l’agente malevolo si trova spesso a lavorare a stresso contatto con nomi noti nel panorama del cybercrimine, come Vidar, RedLine Stealer, Lumma Stealer, Amadey e tanti altri, amplificandone il grado di pericolosità.
DJVU è un ransomware che deriva da STOP, che di solito si diffonde spacciandosi come software legittimo.
Il software contraffatto favorisce la diffusione del ransomware DJVU e altri malware
L’infezione, a quanto pare, avviene attraverso l’esecuzione di PrivateLoader, un servizio di download malware appositamente mascherato per trarre in inganno le vittime.
Una volta attivato, questo eseguibile stabilisce un contatto con un server di comando e controllo (C2) per recuperare alcuni dei malware già citati. L’obiettivo di DJVU, così come quello dei ransomware, è l’esfiltrazione di dati sensibili che comporta poi una doppia estorsione.
Secondo quanto riportato dagli esperti, la chiave di decrittazione viene offerta per 980 dollari, con il prezzo dimezzato in caso di pagamento entro 72 ore dall’infezione.
Tutto ciò dimostra, ancora una volta, quanto il software contraffatto sia pericoloso. Nonostante ciò, circoscrivere al software illegale la possibile minaccia ransomware è riduttivo. In passato, infatti, anche app freeware del tutto legittime sono state prese di mira dai cybercriminali.
Mantenere alta l’attenzione e utilizzare un antivirus affidabile, sono di certo ottime precauzioni per limitare fortemente il rischio di infezione.