Attenzione: le pagine di gioco false di itch.io rubano gli account dei giocatori e distribuiscono malware

Attenzione: le pagine di gioco false di itch.io rubano gli account dei giocatori e distribuiscono malware

Truffa crescente che prende di mira gli utenti di Itch.io

Recenti segnalazioni di Malwarebytes hanno portato all’attenzione una preoccupante truffa che ha colpito la community di videogiocatori sulla piattaforma indie Itch.io. Gli autori di questa truffa sfruttano la fiducia che esiste tra giocatori e sviluppatori indie fingendosi titoli popolari, come il gioco Archimoulin.

Come funziona la truffa

Il processo inizia con l’utilizzo da parte dei truffatori di account compromessi su piattaforme di comunicazione affidabili come Discord. Questa tattica aumenta la probabilità che le potenziali vittime si fidino e clicchino sui link dannosi forniti.

Cliccando, gli utenti vengono reindirizzati a una pagina web ingannevole che imita il design di Itch.io, spesso ospitata su sottodomini di Blogspot o servizi di collegamento cloud. Nelle varianti più avanzate della truffa, alle vittime può essere presentata una falsa pagina di accesso a Discord per acquisire le loro credenziali di accesso. Questo non solo compromette l’account della vittima, ma consente anche ai truffatori di inviare ulteriori messaggi dannosi.

Download dannosi e tattiche di evasione

Le vittime che si imbattono nella pagina del gioco fraudolento vedranno un pulsante di download, ma invece di scaricare il gioco desiderato, riceveranno inavvertitamente un file solitamente denominato Setup Game.exe. Questo eseguibile è progettato per funzionare senza alcuna interfaccia utente visibile, come una procedura guidata di installazione o una barra di avanzamento, il che lo rende facilmente trascurabile.

Questo programma dannoso attiva PowerShell ed esegue un comando codificato, nascondendo gli script dannosi al rilevamento immediato. Eseguendo il codice direttamente in memoria, diventa più difficile per i software antivirus tradizionali identificare la minaccia. Inoltre, l’utilizzo di un trucco. NET consente alla finestra di PowerShell di rimanere nascosta all’utente.

Per ostacolare ulteriormente i tentativi di intervento degli utenti, il malware utilizza un taskkillcomando per chiudere forzatamente i browser web più diffusi come Chrome, Firefox, Brave, Edge e Opera. Ciò impedisce agli utenti di cercare rapidamente informazioni o di interrompere il processo di installazione.

Il livello di minaccia e le azioni consigliate

Questo malware agisce come uno stager o un loader che non comunica immediatamente con i server esterni. Esegue invece controlli, come l’esame delle voci di registro e del BIOS o delle configurazioni di rete, per accertarsi di operare su una macchina legittima e non all’interno di un ambiente sandbox controllato. Quando le condizioni sono ritenute favorevoli, questo componente stealth scaricherà ulteriori payload dannosi, che potrebbero includere backdoor, keylogger o miner di criptovalute.

Malwarebytes consiglia a chiunque esegua il file dannoso di agire immediatamente.È fondamentale:

  • Cambia le password per gli account Discord, email e Steam.
  • Abilita l’autenticazione a due fattori da un dispositivo sicuro.
  • Disconnettersi da tutte le sessioni attive.
  • Revoca tutte le applicazioni o i token di terze parti autorizzati.
  • Scollegare il computer interessato da Internet.

Fai attenzione ai link indesiderati

Se nutrite sospetti riguardo a questa minaccia persistente, prestate attenzione ai messaggi diretti inaspettati che contengono link per il download di giochi sospetti, nonché a qualsiasi comportamento anomalo del browser, come arresti anomali o l’improvvisa comparsa di nuove cartelle. Nel caso sfortunato in cui il vostro sistema venga compromesso, si consiglia vivamente di reinstallare Windows completamente.

Per maggiori dettagli, visita il rapporto completo sul sito web di Neowin.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *