A volte le vecchie tattiche sono ancora le più valide, forse perché le vittime le hanno ormai dimenticate e non se le aspettano.

Anni fa, quando per poter visualizzare i filmati presenti in Internet era necessario dotarsi di codec appositi, molti criminali informatici creavano pacchetti di codec fasulli.

Gli utenti li scaricavano credendo che fossero ciò che serviva loro per poter visualizzare un determinato video, e magari in effetti era davvero così: però, insieme al codec, c'era anche un malware pronto a fare danni sul computer.

Consigliamo la lettura di:

Da Microsoft un sito gratuito per sviluppare in Java

Disney+ aumenta i prezzi (oppure ti becchi la pubblicità)

La falsa app di Squid Game che nasconde un malware

Kobalos, la piccola ma insidiosa minaccia Linux

In questi giorni sta riprendendo vigore una campagna di malware, battezzata Malsmoke dagli esperti di sicurezza che l'hanno individuata, che ha già mietuto il grosso delle sue vittime nel 2018 e che dalla fine del 2019 sembrava scomparsa.

Per il suo ritorno, Malsmoke ha scelto di sfruttare i maggiori siti di materiale pornografico, caricandovi video appositamente creati per trarre in inganno i visitatori (che nel caso di siti come xHamster possono arrivare a centinaia di milioni al mese) e installare il malware vero e proprio sul loro computer.

I video caricati su quei siti hanno titoli che sono accattivanti per gli abituali frequentatori, i quali - pregustandone il contenuto - vi cliccano sopra pieni di aspettativa, salvo poi trovarsi davanti a un filmato letteralmente incomprensibile.

Lo schermo a quel punto si riempie infatti di pixel apparentemente casuali dietro i quali dovrebbe nascondersi il contenuto promesso, ma l'utente non ha tempo di chiedersi che cosa stia succedendo: una servizievole finestra appare subito per comunicargli che la visione è impedita dal mancato aggiornamento del plugin Java. Per poter risolvere la situazione non dovrà fare altro che scaricare un aggiornamento di detto plugin, per il quale viene fornito anche un comodo pulsante.

Poco importa il fatto che ormai ogni browser includa tutti i codec necessari, o che Java abbia poco a che fare con la semplice fruizione di un video online: i cybercriminali dietro a Malsmoke contano sul fatto che l'infoiato visitatore del sito a luci rosse a questo punto non stia a farsi tante domande e provveda a scaricare quanto gli viene proposto, esattamente come si usava anni fa con i pacchetti di codec.

«Gli autori di questa minaccia» - spiegano gli esperti di Malwarebytes - «avrebbero potuto dare a questo finto plugin qualsiasi aspetto. La scelta di Java è un po' strana, dato che Java generalmente non viene associato con lo streaming video. In ogni caso, chi clicca e scarica il cosiddetto aggiornamento potrebbe non saperlo, ed è questo ciò che conta».

Scaricare e avviare l'update fasullo installa il malware vero e proprio, che nella campagna più recente è una variante criptata di ZLoader (noto anche come Zbot, Zeus Sphinx, Terdot, e DELoader), il cui scopo è sottrarre i dati bancari e le credenziali conservate nei browser.

Gli esperti di Malwarebytes pensano che questa nuova versione di Malsmoke abbia deciso di sfruttare i siti pornografici per avere accesso a una platea potenzialmente vastissima di vittime, che peraltro in quei momenti sono probabilmente più propense a soddisfare i propri istinti piuttosto che riflettere sulla stranezza della richiesta di installare un plugin Java per visualizzare un video.