Una società di analisi dei rischi informatici e della sicurezza chiamata Cyble ha scoperto che esistono diversi siti web che distribuiscono una versione di MSI Afterburner contenente vari ceppi di malware. Coloro che scaricano accidentalmente questa utility per schede grafiche molto diffusa tramite uno dei domini di spoofing abilmente creati potrebbero trovarsi di fronte a problemi di malware, come software di cryptomining indesiderati e software per il furto di informazioni.
Afterburner di MSI è un’utility gratuita molto popolare per i possessori di schede grafiche di tutte le marche (non solo MSI) e architetture (AMD o NVIDIA). Tuttavia, gli appassionati che desiderano installare Afterburner su un nuovo PC, o ottenere un aggiornamento via web, dovrebbero fare molta attenzione da dove lo ottengono. I Cyble Research & Intelligence Labs (CRIL) hanno osservato quasi 50 domini loschi che vanno e vengono dall’inizio di settembre, in cui MSI Afterburner è stato subdolamente fornito in bundle con una serie di malware.
Le applicazioni malware specifiche che vengono ingannate con una versione genuina di MSI Afterburner includono: XMR Miner e Redline Stealer. CRIL fornisce alcuni dettagli tecnici di entrambe le installazioni di malware. Ai fini della cronaca è sufficiente dire che queste applicazioni malware vengono installate segretamente insieme all’autentico MSI Afterburner, senza che l’utente ne faccia richiesta, da file di download con nomi innocui come browser_assistant.exe, install.exe e comp.cab – distribuiti da siti fasulli.
I siti non ufficiali di MSI Afterburner creati dai cybercriminali (TA) dietro questa campagna di malware contengono comunemente stringhe di testo come msi-afterburner-download e utilizzano estensioni di dominio meno popolari come .tech, .online e così via. Non abbiamo elencato alcun sito particolare di trappole per l’overclocking, nel caso in cui un lettore alla ricerca di un download di Afterburner trovi questo articolo e poi copi e incolli con nonchalance un sito di malware nella casella di ricerca/URL del proprio browser. Secondo la fonte, i siti di destinazione sono molto simili al sito ufficiale di MSI. Di seguito, è possibile confrontare la schermata del sito falso di CRIL con quella che abbiamo appena preso direttamente dal sito autentico https://www.msi.com/Landing/afterburner/graphics-cards.
Effettuando una ricerca su Google per MSI Afterburner, nessuno dei siti falsi è comparso nella prima pagina dei risultati e il primo risultato è stato il link ufficiale autentico riportato nel paragrafo precedente. Tuttavia, alcuni utenti su altre piattaforme, in altri Paesi, che forse non cercano su Google, potrebbero in qualche modo scegliere di scaricare da uno dei link non autentici con il download infetto di malware. Lettori, fate attenzione là fuori, o alcuni TA potrebbero essere in grado di rubare la potenza del vostro computer o le vostre informazioni personali e password.