Indice dei Contenuti
Sul versante sicurezza, gli accorgimenti non sono mai troppi, nonostante le case di sviluppo software siano costantemente alla ricerca di soluzioni di volta in volta più efficienti ed innovative. Il che accade proprio perché la rete informatica viene messa altrettanto costantemente alla prova, con minacce che si rinnovano quanto a tipologia d’effetti e ad intensità.
Da ultimo, gli utenti Windows 11 dovrebbero stare molto attenti al malware RomCom. E non sono neppure i soli, poiché potrebbe dirsi lo stesso anche per altri sistemi Windows, e sul fronte dei dispositivi mobile anche gli utenti Android sono interessati dalla nuova minaccia.
Diciamo subito che si tratta di un malware con le classiche finalità di pishing, in questo caso. Mira cioè a sottrarre i dati dell’utente, sia quelli di connessione che i dati sensibili. Ma la sua peculiarità è che per farlo si serve di un processo di mimetizzazione fuori dal comune. La nuova minaccia informatica riesce nientemeno che ad identificarsi come ChatGPT, il noto assistente per la chat basato su IA, o come GIMP, programma altrettanto noto di grafica e fotoritocco simile a Photoshop, e del quale costituisce un’alternativa gratuita.
Nello specifico, l’utente dovrebbe rimanere vigile nei confronti di siti web che offrono di far scaricare i programmi in questione. Proprio la gratuità di questi programmi attirano molti utenti nell’effettuare il relativo download. In ogni caso RomCom viene ora mascherato non come programma in sé, ma come applicativo per l’installazione dei medesimi.
In definitiva, potreste ritrovarvi accidentalmente a scaricare ed installare RomCom sul vostro sistema, che sia un pc o uno smartphone, senza rendervene conto, se non nel momento in cui potrebbe essere troppo tardi.
. Lo stesso era già stato scoperto, infatti, quasi un anno fa. Ma cambia la sua modalità di diffusione, per cui il collettivo di pirati informatici che l’ha introdotto originariamente è tornato a colpire. Il malware si identifica inizialmente come file d’installazione, e quest’ultimo viene reso disponibile per il download su dei siti fake. Ed è questo l’ulteriore tassello a completezza della laboriosità di sistema.
Sistema del quale il malware era chiaramente sprovvisto all’atto della sua prima diffusione in rete. Viene da chiedersi cosa l’utente di Windows 11, e non soltanto, possa fare al riguardo. Sicuramente il primo passo consiste nell’identificazione di esso. Abbiamo già operato riferimento a ChatGPT e a GIMP come applicazioni note delle quali il malware sfrutta il nome, ma non sono le sole.
Parliamo anche di AstraChat, Remote Desktop Manager (il software lanciato da Devolutions) e di Go To Meeting, che sono certamente meno noti dei primi due ma dai cui file d’installazione l’utente dovrebbe sempre diffidare in questo periodo.
Che si tratti dell’ultimo Windows 11, o di una data versione di Android, il malware RomCom si qualifica come un applicativo di estensione .msi, da scaricare ed eseguire. In realtà, si tratta di programmi che celano al proprio interno il DLL malevolo, tale da infettare alla base l’intero sistema.
Affinché possiate ben distinguere il fenomeno, è bene che sappiate anche altro sulla modalità di diffusione. Si era già detto dei siti fake. Questi stessi siti sono reclamizzati attraverso Google Ads. Proprio in virtù del fatto che i link compaiono fra i primi posti tra i risultati di ricerca, se non altro in molte occasioni, sono molti gli utenti che finiscono con il cascarci.
Verrebbe da pensare infatti che un sito sponsorizzato su Google Ads sia affidabile, mentre di fatto non è per forza così. Molte volte si vede dunque sulle pagine del motore di ricerca la pubblicità di un possibile download, il tutto da parte di una pagina che si dichiara come quella ufficiale dell’applicazione desiderata, senza che lo sia.
RomCom, nella sua ultima versione, si infiltra nel pc e scarica i file di payload che vi trova in memoria. File che vengono cumulativamente inviati al server di chi ha operato l’attacco. I payload sono tutte le informazioni che vengono caricate per portare a termine un pagamento, come ad esempio i cookie del browser in uso, immagini contenenti tali informazioni, così come anche info relative ai wallet, le carte virtuali di pagamento.
Il controllo da parte di Google, sia ben chiaro, è presente. Ma, come per altri motori di ricerca che accettano sponsorizzate, non opera nell’immediato. Una volta resa nota la nuova modalità di diffusione, Google ha effettuato i propri controlli, ed è molto raro, quasi del tutto escluso, che possiate trovare un advertising (o meglio, malvertising, com’è stato definito) di questo genere. Almeno per quel che riguarda RomCom.
L’intervento da parte di Google ha anche fatto sì che i siti collegati ai link pubblicitari divenissero inaccessibili. Potrebbero però esservi, ad ogni modo, dei siti dalla medesima finalità che non siano ancora stati scoperti (ipotesi non da escludere). Inoltre quello finora colpito è un numero imprecisato di utenti.
Il consiglio, in definitiva, è di fare attenzione alla URL del sito, confrontandola sempre con quella del sito ufficiale dell’applicazione, da reperire con una ricerca separata e a prescindere dai link sponsorizzati. Se poi si è in possesso di un anti-malware altamente performante e aggiornato, esso farà facilmente da scudo.