Cos’è un programma Hoax, da dove viene e perché è pericoloso?

21 Giu 2019

I prodotti Kaspersky denominano alcuni software come “Hoax” (in italiano, “bufala”). Scopriamo insieme cosa significa questo termine, in quali casi i nostri prodotti applicano questa etichetta e perché gli utenti dovrebbero stare attenti a questi programmi.

Gli astrologi annunciano l’anno della bufala: doppio rilevamento

Abbiamo deciso di scrivere questo post in seguito all’aumento del numero di rilevamenti di Hoax riscontrato dai nostri prodotti. Nell’ultimo anno, il numero di utenti che si sono imbattuti in questo genere di software è raddoppiato. In poche parole, sempre più utenti cadono nella trappola delle bufale informatiche. Vale dunque la pena prendersi il tempo di analizzare a fondo il problema, partendo da una breve introduzione sulle sue origini.

Molti utenti si lamentano della lentezza del proprio computer e applicazioni in fase d’avvio o affermano che il sistema si blocca in seguito ad alcuni errori. Sono problemi molto comuni che capitano quasi a tutti. Questo succede perché, durante il funzionamento, il computer si intasa con diversi tipi di dati, riducendo la velocità di elaborazione.

La domanda genera offerta, così i programmi che promettono di accelerare e pulire il computer hanno iniziato presto a moltiplicarsi. La rapida crescita di questo genere di software è iniziata alla fine degli anni 2000 e non si è mai fermata.

In genere, i programmi per la pulizia del computer cercano i file inutilizzati o temporanei, le chiavi di registro, i programmi che si avviano in automatico e così via, e classificano questi elementi come “spazzatura digitale”. È poi l’utente a decidere se pulire il computer o no. Questa pulizia migliora in una certa misura le prestazioni complessive del sistema.

Sfortunatamente, non tutti i programmi per la pulizia e l’accelerazione del computer sono innocui. Tra le fila degli sviluppatori onesti che creano programmi per aiutare gli utenti, ci sono moltissimi cybercrminali.

Cos’è un Hoax?

Alcuni programmi per la pulizia del computer e per il miglioramento delle sue prestazioni spingono l’utente a pagare per sbarazzarsi delle presunte minacce rilevate. Due caratteristiche chiave aiutano a distinguere i software buoni da quelli cattivi:

  • In primo luogo, i programmi “cattivi” ingannano deliberatamente l’utente enfatizzando esageratamente l’entità del rischio o addirittura segnalando errori inesistenti;
  • In secondo luogo, costringono gli utenti (invece di invitarli) a fare un acquisto dichiarando che senza pagare il problema non può essere risolto.

Noi di Kaspersky chiamiamo tali programmi Hoax, ovvero software che ingannano intenzionalmente l’utente. Ecco alcuni esempi di verdetti che i prodotti Kaspersky assegnano a tali programmi:

  • HEUR:Hoax.Win32.Uniblue.gen
  • Win32.PCFixer.gen
  • Win32.DeceptPCClean.*
  • Win32.PCRepair.*
  • HEUR:Hoax.Win32.PCRepair.gen
  • HEUR:Hoax.MSIL.Optimizer.gen
  • Win32.SpeedUpMyPC.gen

Come funzionano i programmi Hoax

Dopo l’installazione, i programmi Hoax eseguono una scansione del sistema. Analizzano tutto, così come farebbe un programma legittimo per la pulizia. Dopo la scansione, l’utente visualizza una finestra con informazioni sui problemi rilevati.

Qui è dove si trova il problema principale di questo tipo di software. L’utente visualizzerà una serie di messaggi intimidatori sul presunto enorme numero di errori rilevati nel sistema. Ecco un esempio di un falso Cleaner che esagera nell’indicare alcuni problemi relativi alle chiavi di registro:

Esempio di un programma Cleaner che esagera sulla natura e sul numero di problemi rela-tivi alle chiavi di registro.

Oppure il tool potrebbe trovare dei veri bug, ma poi ne enfatizza esageratamente l’importanza attraverso un linguaggio ingannevole. Ad esempio, in questo programma per aggiornare i driver, lo stato del driver cambia da “vecchio” ad “antico”:

Questo tool valuta la versione del driver installato nel sistema classificandola come “vec-chia”, “molto vecchia” o “antica”.

Alcuni programmi rifiutano di chiudersi immediatamente quando l’utente clicca sulla piccola x, mostrandogli invece un’altra finestra con un messaggio intimidatorio come, ad esempio, “Livello del danno: alto”.

Se si cerca di chiudere il programma, appare un’altra finestra intimidatoria.

Ai programmi Hoax piace anche aggiungere il proprio software alla lista dei programmi di esecuzione automatica e inondare l’utente di notifiche pop-up avvisando che qualcosa non va nel computer.

Notifica pop-up dei programmi Hoax.

I programmi Hoax non si limitano solo ad attaccare i sistemi Windows. Ecco un esempio di un programma Hoax per MacOS che avvisa circa una criticità alta a livello di cache e log.

Esempio di Hoax in MacOS.

Per risolvere il problema, all’utente viene chiesto di acquistare la versione completa del software. Quando si acquista la versione completa, molti di questi programmi puliscono davvero il computer eliminando ciò che avevano trovato ma, come abbiamo già detto, non c’è una vera e propria necessità di farlo. Altri programmi Hoax, invece, potrebbero non pulire affatto il computer. Quindi, nel migliore dei casi l’utente paga fin troppo per un servizio spesso non necessario e, nel peggiore, paga e non ottiene nulla.

Bundled Adware e la possibilità di vincere un Trojan

Nella loro avidità, alcuni creatori di Cleaner fraudolenti vanno persino oltre il loro lavoro manuale e installano altri programmi sul computer dell’utente. Di solito sono adware, ma in alcuni casi potrebbe essere anche un Trojan.

Ad esempio, confuso dall’utility Hoax, il computer potrebbe rimanere parzialmente bloccato. Come potete osservare dall’immagine qui sotto, il programma si espande a schermo intero, nascondendo la barra degli strumenti e bloccando ogni tentativo di passare da un programma all’altro premendo Alt+Tab e di tornare indietro premendo F11.

Schermata che blocca il computer con possibilità di attivare l’accesso remoto.

Successivamente, all’utente viene chiesto di inserire un codice per sbloccare il computer (che naturalmente non ha) o per attivare l’accesso remoto attraverso TeamViewer, AnyDesk o altri programmi per l’accesso remoto, le cui icone sono posizionate comodamente alla destra della finestra.

Come un Hoax penetra nel computer

Il target degli sviluppatori di Hoax è costituito da utenti home inesperti, che non hanno molta dimestichezza con i sistemi operativi dei dispositivi o a cui preoccupa la quantità di spazzatura nel proprio computer e sono interessati a pulire e aggiornare il sistema.

Quando il computer inizia a funzionare lentamente, molti utenti cercano una soluzione su Internet e possono arrivare a scegliere un’applicazione Hoax, se non prestano la dovuta attenzione.

Ma c’è anche un altro metodo di diffusione. Un programma Hoax potrebbe essere acquisito attraverso offerte promozionali o pagine web truffa. Un’infezione causata da un adware potrebbe essere di questo tipo:

Esempio di un’infezione causata da un adware che promette velocizzare il computer.

Inoltre, è possibile imbattersi in pagine fraudolente che offrono “servizi” di pulizia/accelerazione quando si visitano siti web sospetti. Ad esempio, questa pagina mostra una notifica di un rilevamento di uno spyware sul computer.

Esempio di una pagina che imita un sito Microsoft e spaventa l’utente con virus.

 

Di solito, all’utente viene richiesto di chiamare l'”assistenza tecnica” (dove il denaro viene estorto verbalmente) o di scaricare una utility fraudolenta. Non fidatevi di queste pagine nemmeno per un secondo: chiudetele immediatamente.

Un altro modo sempre più comune per diffondere i software Hoax è attraverso le notifiche pop-up del browser che alcuni utenti accettano senza accorgersene. Le notifiche push del browser sono ora molto popolari (anche tra i truffatori) e stanno iniziando a causare molti mal di testa agli utenti.

Non è facile capire come funzionano, da dove vengono e come disattivarle. A volte gli utenti non sono nemmeno consapevoli del fatto che queste notifiche arrivano attraverso il loro browser e che possono provenire da siti web con intenzioni non proprio oneste.

Notifiche del browser invitando gli utenti a scaricare un’utility Hoax.

Dopo aver cliccato su tali notifiche, gli utenti sono reindirizzati verso pagine fraudolente mascherate da siti che offrono componenti di sicurezza. Ecco un esempio di un sito web fraudolento che simula l’interfaccia di Windows Defender:

Página fraudulenta que simula la interfaz de Windows Defender

Una volta che l’utente è stato spaventato a sufficienza con tutti i problemi apparentemente riscontrati sul proprio computer, viene reindirizzato verso una pagina di download Hoax.

Pagina fraudolenta che simula l’interfaccia di Windows Defender.

Statistiche e geografia della diffusione di Hoax

Come accennato all’inizio del post, alla fine del 2018 abbiamo osservato un boom di attività nel mercato dei software di ottimizzazione delle prestazioni fraudolente. Questo boom è ancora in corso. Dall’inizio dell’anno scorso, il numero di utenti colpiti è raddoppiato rispetto all’inizio dell’anno scorso, al quale segue un analogo aumento del numero delle segnalazioni e delle lamentele.

Le nostre statistiche mostrano che, prendendo in considerazione tutto il mondo, il target preferito dai creatori e distributori di Hoax è il Giappone, dove negli ultimi anni un utente su otto si è imbattuto in un programma Hoax. Il Giappone è seguito dalla Germania e, sorprendentemente, dalla Bielorussia. Italia e Brasile completano le prime cinque posizioni.

Gli sviluppatori di antivirus stanno cercando di arginare come possono il problema causato dai programmi Hoax, con programmi fraudolenti banditi dal “mercato”.

In risposta, vari distributori di programmi Hoax stanno abbandonando il modello di distribuzione “intimidatorio” a favore di un modello mediante il quale si cerca di informare meglio gli utenti, senza gonfiare eccessivamente i dati sulla gravità dei problemi riscontrati e offrendo versioni di prova gratuite dei loro prodotti. Tuttavia, la lotta è tutt’altro che conclusa.

Perché le applicazioni Hoax sono pericolose?

Riteniamo importante avvertire gli utenti della pericolosità dei programmi della categoria Hoax per diversi motivi:

  • I creatori di tali software ingannano deliberatamente gli utenti, enfatizzando troppo i rischi legati ai problemi rilevati o addirittura segnalando problemi inesistenti;
  • Tali “servizi” possono essere costosi e la spesa non è giustificata;
  • Alcuni programmi Hoax non rispondono a nessun problema reale e fingono solo di correggere gli errori;
  • Alcuni creatori di Hoax installano, insieme ai loro programmi, software che possono variare dall’adware, al vero e proprio malware.

Come proteggersi dai software Hoax

Questi consigli ti aiuteranno a difenderti da questa minaccia potenziale:

  • Ignorate le avvertenze intimidatorie circa virus o errori presenti e riscontrati sul computer che possano essere mostrati dai siti web e non cliccate mai su queste avvertenze, né tanto meno scaricate e installate nulla;
  • Fate attenzione quando cercate uno strumento per la pulizia del computer (se volete usarne uno) e scegliete sempre un tool di qualità, facendo diverse ricerche e prestando attenzione ai consigli delle più rinomate riviste informatiche;
  • Per evitare di imbattervi in un programma Hoax, installate una soluzione antivirus affidabile che vi avverta di programmi fraudolenti.