{"id":29571,"date":"2025-04-09T16:09:36","date_gmt":"2025-04-09T14:09:36","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=29571"},"modified":"2025-04-09T16:09:36","modified_gmt":"2025-04-09T14:09:36","slug":"what-happens-if-you-download-cracked-program","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/what-happens-if-you-download-cracked-program\/29571\/","title":{"rendered":"Cosa succede se scarichi un programma craccato?"},"content":{"rendered":"

Cosa fanno gli utenti quando hanno bisogno di un programma ma non possono ancora acquistare una licenza ufficiale? Risposta corretta: \u201cDevono usare la versione di prova\u201d<\/em> oppure \u201cDevono trovare un\u2019alternativa gratuita\u201d.<\/em> Risposta errata: \u201cDevono cercare online una versione craccata.\u201d<\/em><\/p>\n

\u00c8 noto che alcuni siti alternativi poco affidabili offrono versioni craccate di software, oltre ad altre \u201cchicche\u201d<\/em>. Dopo aver esaminato siti pieni di pubblicit\u00e0, gli utenti potrebbero ottenere un programma che desiderano (solitamente senza futuri aggiornamenti e funzionalit\u00e0 di rete), ma assieme a quello ottenere un miner, uno stealer o qualsiasi altra minaccia inclusa.<\/p>\n

Sulla base di esempi concreti, spieghiamo perch\u00e9 bisognerebbe evitare siti che offrono download immediati di programmi molto richiesti.<\/p>\n

Miner e stealer su SourceForge<\/h2>\n

SourceForge era un tempo il sito pi\u00f9 grande per tutto ci\u00f2 che era open source, in un certo senso il precursore di GitHub. Ma non pensare che SourceForge sia morto: oggi fornisce servizi di hosting e distribuzione di software. Sul suo portale software sono presenti molteplici progetti, caricati da chiunque lo desideri.<\/p>\n

E, come nel caso di GitHub<\/a>, \u00e8 proprio questo cosmopolitismo a costituire un ostacolo alla sicurezza di alto livello. Consideriamo solo un esempio: i nostri esperti hanno trovato su SourceForge un progetto chiamato officepackage<\/em>. A prima vista sembra innocuo: descrizione chiara, nome senza fronzoli, perfino una recensione positiva.<\/p>\n

Pagina \"Officepackage\" su SourceForge<\/a>

Pagina \u201cOfficepackage\u201d su SourceForge<\/p><\/div>\n

Ma cosa succederebbe se ti dicessimo che la descrizione e i file sono stati copiati direttamente da un progetto non correlato su GitHub? I campanelli d\u2019allarme stanno gi\u00e0 suonando. Detto questo, quando si fa clic sul pulsante Scarica<\/strong> non arriva alcun malware sul computer: il progetto \u00e8 apparentemente pulito. Apparentemente perch\u00e9 il payload dannoso non \u00e8 stato distribuito direttamente tramite il progetto OfficePackage<\/em>, ma tramite la pagina Web ad esso associata. Com\u2019\u00e8 possibile?<\/p>\n

Il fatto \u00e8 che ogni progetto creato su SourceForge ottiene il proprio nome di dominio e hosting su sourceforge.io<\/em>. Quindi, un progetto denominato officepackage<\/em> ha una pagina Web su officepackage.sourceforge[.]io. <\/em>Tali pagine sono facilmente indicizzabili dai motori di ricerca e compaiono in cima ai risultati di ricerca. Ecco come gli autori degli attacchi attraggono le loro vittime.<\/p>\n

Quando si visita officepackage.sourceforge[.]io<\/em> da un motore di ricerca, gli utenti vengono indirizzati a una pagina che offre il download di quasi tutte le versioni della suite Microsoft Office. Ma, come sempre, il diavolo si nasconde nei dettagli: se si passa il mouse sopra il pulsante Download<\/strong>, la barra di stato del browser mostra un collegamento a https[:]\/\/loading.sourceforge[.]io\/download<\/em>. Individuata la trappola? Il nuovo collegamento non ha nulla a che fare con officepackage<\/em>; loading<\/em> \u00e8 un progetto completamente diverso.<\/p>\n

Il pulsante \"Download\" dalla pagina \"officepackage\" sul portale software SourceForge porta a un progetto completamente diverso<\/a>

Il pulsante \u201cDownload\u201d dalla pagina \u201cofficepackage\u201d sul portale software SourceForge porta a un progetto completamente diverso<\/p><\/div>\n

E dopo aver fatto clic, gli utenti vengono reindirizzati non alla pagina del progetto loading<\/em>, ma a un altro sito intermediario con un altro pulsante Scarica<\/strong>. Solo dopo aver fatto clic, l\u2019utente, stanco di navigare, finalmente riceve un file: un archivio denominato vinstaller.zip<\/em>. All\u2019interno \u00e8 presente un altro archivio, che a sua volta contiene un programma di installazione dannoso per Windows.<\/p>\n

Al centro di questa diabolica matrioska ci sono due cose terribili: al posto dei prodotti Microsoft, un miner e ClipBanker (un malware per sostituire gli indirizzi dei portafogli di ciptovaluta negli appunti) vengono rilasciati nel dispositivo della vittima dopo aver eseguito il programma di installazione. Per maggiori dettagli sullo schema dell\u2019infezione, \u00e8 possibile consultare la versione completa dello studio sul nostro blog Securelist<\/a>.<\/p>\n

Programma di installazione dannoso di TookPS mascherato da software legittimo<\/h2>\n

I cybercriminali non si limitano a SourceForge e GitHub<\/a>. In un altro caso recente scoperto dai nostri esperti, gli autori degli attacchi sono stati scoperti mentre distribuivano il dannoso downloader TookPS, gi\u00e0 a noi noto per i falsi client DeepSeek e Grok<\/a>, utilizzando falsi siti Web con download gratuiti di software specializzati. Abbiamo scoperto un\u2019intera serie di siti di questo tipo che offrivano agli utenti versioni craccate<\/a> di UltraViewer, AutoCAD, SketchUp e altri software professionali popolari, il che significa che l\u2019attacco non era rivolto solo agli utenti privati, ma anche ai liberi professionisti e alle organizzazioni. Tra gli altri file dannosi rilevati c\u2019erano i nomi Ableton.exe<\/em> e QuickenApp.exe<\/em>, presumibilmente versioni delle rinomate applicazioni per la creazione di musica e la gestione del denaro.<\/p>\n

\"Pagine<\/a>

Pagine false che distribuiscono TookPS<\/p><\/div>\n

Con mezzi tortuosi, il programma di installazione ha scaricato due backdoor<\/a> nel dispositivo della vittima: Backdoor.Win32.TeviRat<\/strong> e Backdoor.Win32.Lapmon<\/strong>. Per scoprire esattamente in che modo il malware \u00e8 arrivato nel dispositivo della vittima, consulta un altro post di Securelist<\/a>. Grazie al malware, gli autori degli attacchi hanno ottenuto pieno accesso al computer della vittima.<\/p>\n

Come proteggersi<\/h2>\n

Innanzitutto, non scaricare software pirata. Per nessun motivo. Mai. Un programma craccato pu\u00f2 sembrare gratuito e immediatamente disponibile, ma il prezzo da pagare non sar\u00e0 misurato in denaro, ma in dati: i dati degli utenti. E no, questo non significa foto di famiglia e chiacchierate con gli amici. I cybercriminali sono alla ricerca dei portafogli di criptovaluta, dei dati delle carte di pagamento, delle password degli account e persino delle risorse del computer per il mining delle criptovalute.<\/p>\n

Ecco un elenco di regole che consigliamo a chiunque utilizzi SourceForge, GitHub<\/a> e altri portali software.<\/p>\n