Il CSIRT Italia ha individuato una campagna di malvertising attiva in Italia, volta a distribuire due noti malware: NodeStealer e XWorm. Gli attaccanti sfruttano annunci pubblicitari su Facebook che imitano fedelmente il brand “Luma Dream Machine”, nota piattaforma per la generazione di video tramite intelligenza artificiale. L’obiettivo è convincere gli utenti a scaricare un presunto software gratuito che in realtà nasconde codice malevolo.
La campagna rientra in una strategia di distribuzione malware volta al furto di credenziali, al dirottamento di sessioni web e all’acquisizione del controllo remoto dei dispositivi compromessi.
Tecnica di attacco
Attraverso pagine Facebook contraffatte e sponsorizzazioni ingannevoli, gli utenti vengono indotti a cliccare su link che rimandano a un sito fraudolento. Qui viene offerto un file ZIP contenente un falso video (“Video Dream Machines.mp4”) che, grazie a una tecnica di offuscamento tramite padding Unicode, appare come un innocuo file multimediale. In realtà, è un eseguibile mascherato che avvia una catena d’infezione.
All’interno dell’archivio si nasconde una directory classificata come “di sistema”, invisibile anche agli utenti che hanno abilitato la visualizzazione dei file nascosti. Al suo interno si trovano componenti essenziali del malware, eseguiti tramite uno script che simula un errore di Windows Media Player per distrarre l’utente.
Il codice malevolo si esegue all’interno di un ambiente Python preconfigurato, anche in assenza del relativo interprete sul sistema della vittima. Viene poi caricato un payload criptato che esegue codice direttamente in memoria, evitando la scrittura su disco (tecnica “fileless”).
Azioni del malware
NodeStealer, il primo malware distribuito, è progettato per raccogliere:
- Credenziali memorizzate nei browser (Chrome, Edge, Firefox, ecc.);
- Cookie e dati salvati, inclusi quelli relativi a carte di pagamento;
- Token di sessione per Facebook e Discord;
- Informazioni di sistema, IP pubblico e dettagli ambientali.
I dati vengono raccolti in file compressi e inviati a un bot Telegram che funge da server di comando e controllo (C2).
Il secondo malware, XWorm, si comporta come un trojan ad accesso remoto (RAT) e implementa funzionalità avanzate di:
- Keylogging;
- Registrazione dello schermo e del microfono;
- Accesso remoto e controllo totale del dispositivo;
- Evasione da sandbox, virtual machine e strumenti di sicurezza.
Utilizza tecniche sofisticate come il process hollowing e la decrittazione in memoria per eseguire codice dannoso senza lasciare tracce evidenti.
Azioni di mitigazione
Per difendersi da questo tipo di minacce, il CSIRT Italia raccomanda la massima attenzione nella navigazione, soprattutto quando si interagisce con link pubblicitari o contenuti sponsorizzati. È fondamentale evitare l’apertura di file eseguibili o documenti potenzialmente pericolosi se non se ne conosce con certezza la provenienza. Inoltre, è consigliabile impedire l’esecuzione di software non firmato o proveniente da percorsi tipicamente utilizzati dai malware, come le directory temporanee o AppData, adottando soluzioni come AppLocker o regole ASR. Limitare l’esecuzione ai soli software contenuti in percorsi di sistema affidabili, come “C:\Program Files” o “C:\Windows”, può contribuire significativamente a ridurre la superficie d’attacco.
https://www.acn.gov.it/portale/en/w/malvertising-rilevata-diffusione-dei-malware-nodestealer-e-xworm
