I truffatori sono riusciti sorprendentemente a distribuire su larga scala una versione modificata di Windows Movie Maker progettata per sottrarre soldi agli ignari utenti. La diffusione di questa truffa (tutt’altro che nuova) è stata accentuata dall’ottimizzazione dei motori di ricerca del sito Web dei truffatori e dalla continua domanda di Windows Movie Maker, il software di editing video gratuito di Microsoft, che è stato rimosso dai siti ufficiali a gennaio 2017.
Attualmente, il sito Web che diffonde il software modificato, ‘windows-movie-maker.org’, compare tra i primi risultati quando si effettuano delle ricerche su Google con “Movie Maker” e “Windows Movie Maker” (utilizzando questo motore di ricerca, risulta il primo risultato nella maggior parte dei paesi con il più alto numero di utenti Internet). Considerando Bing, il secondo motore di ricerca più utilizzato al mondo, anche in questo caso la situazione non migliora molto, infatti il sito Web compare nella prima pagina dei risultati.
In Italia la minaccia ha raggiunto ad inizio novembre il picco del 9% di infezioni.
I prodotti di sicurezza ESET rilevano il programma truffa come Win32/Hoax.MovieMaker e bloccano il sito Web che lo ospita. Abbiamo segnalato sia a Google sia a Microsoft la natura fraudolenta di questo sito Web a cui hanno assegnato un punteggio elevato (registrato nel 2010).
Figura 1 – L’elevata valutazione di Google per il sito Web truffa
Figura 2 – Il sito Web truffa
A causa dell’ottima valutazione del sito Web sui motori di ricerca, gli autori della truffa hanno potuto contare su un immenso “pubblico” di potenziali vittime, con la conseguenza che la versione modificata di Windows Movie Maker risulta essere tra le principali minacce tra quelle rilevate negli ultimi giorni dalla telemetria ESET.
Il 5 Novembre 2017, Win32/Hoax.MovieMaker era al terzo posto tra le minacce più rilevate al mondo e al primo posto in Israele. Il 6 Novembre, la nostra telemetria ha registrato moltissime rilevazioni nelle Filippine, in Israele, in Finlandia e in Danimarca.ù
Figura 3 – Win32/Hoax.MovieMaker al terzo posto tra le minacce più rilevate al mondo
Come funziona la truffa
Quando gli utenti installano il software proposto dal suddetto sito, ottengono una versione funzionante di Windows Movie Maker. Tuttavia, a differenza del Windows Movie Maker ufficiale e gratuito di Microsoft, questo si presenta come una versione di prova che deve essere aggiornata a una versione completa per offrire tutte le funzionalità.
All’utente viene ripetutamente richiesto di acquistare la versione completa, all’inizio quando viene avviato il software e successivamente quando l’utente tenta di salvare un nuovo documento. Nel secondo caso la richiesta impedisce all’utente di continuare, facendo sembrare il salvataggio di un documento una delle funzionalità per cui è necessario pagare.
Figura 4 – Richiesta di pagamento mostrata dalla versione modificata di Movie Maker quando si tenta di salvare un documento
Il prezzo richiesto per il falso aggiornamento è di 29,95 dollari, che viene presentato con uno sconto del 25% sul sito Web usato dai truffatori per il pagamento.
Figura 5 – Sito Web per il pagamento usato dai truffatori
Come proteggersi
Se avete già installato la versione di Movie Maker proposta su windows-movie-maker.org, disinstallatela ed eseguite un controllo utilizzando un efficace soluzione antimalware.
Per evitare di essere vittima di simili truffe, scaricare i software esclusivamente dalle fonti ufficiali. Se non si può far a meno di utilizzare un software che non viene più distribuito dal produttore originale, assicurarsi di:
- Usare una soluzione di sicurezza affidabile per rilevare e bloccare contenuti pericolosi.
- Prendere in considerazione l’uso di fonti ufficiali che ospitano software dismessi – in questo caso, Windows Story Remix.
- Non pagare per i software che sono o erano ufficialmente offerti gratuitamente. Le informazioni sui prezzi dei software sono quasi sempre disponibili online.
Indicatori di una possibile infezione
Installatori/dropper:
1060D7935EADB8AAD06EDD1BEBFBF0FD3F7356D8
4F91C0F1AF523B914BA319A7CA02FF79CD02ED6F
6E57AC0812DE0D473DE669CBBAAEF1903995E59F
Varianti dell’app hoax:
3886F28150EC74CC61B7A736147B6307A266B0B3
3F0D346FF54A62C2F6E4F7B348D68D0D6E27B981
529017D113BDCECAF1B1FC4DF9555518251A8C7A
2 Comments