“Puoi testare il mio
gioco?”. È così che parte una nuova ondata di truffe che sta colpendo la
community di Discord, riportata da Malwarebytes. Un messaggio diretto da un amico o da uno sconosciuto, che spesso si spaccia come un presunto sviluppatore indie, invita a scaricare un titolo inedito.
La pagina collegata appare convincente, con screenshot, descrizioni e un layout
che imita quello di itch.io, la piattaforma di riferimento per i giochi
indipendenti. Ma il download non porta a un videogioco: dietro il pulsante
“Setup Game.exe” si nasconde un loader progettato per preparare il computer a
successive infezioni.
Come
funziona la truffa
Il raggiro unisce due
elementi che i giocatori tendono a considerare sicuri: la fiducia negli amici e
la familiarità di interfacce note.
I criminali utilizzano account compromessi
per diffondere i link, così che il messaggio arrivi da una persona conosciuta.
Le pagine di download sono ospitate su servizi apparentemente affidabili, come
Blogspot o Dropbox, e alcune versioni includono persino un falso login Discord
per rubare le credenziali e impossessarsi dell’account.
Una volta avviato,
l’eseguibile non mostra alcuna finestra di installazione, ma attiva una serie
di comandi nascosti in PowerShell, che a loro volta caricano altri script
direttamente in memoria. Questo rende difficile l’individuazione da parte degli
antivirus.
Il malware forza persino la chiusura dei browser principali per impedire
alla vittima di cercare subito spiegazioni online, installa componenti
aggiuntivi (come un runtime Node.js) e attende il momento opportuno per
scaricare i veri payload: backdoor, keylogger, cryptominer o altri strumenti di
controllo remoto.
Tra i campanelli d’allarme ci sono la
mancanza di un’interfaccia di installazione, la comparsa improvvisa di cartelle
temporanee nei percorsi di sistema e l’esecuzione di processi PowerShell
sospetti.
Il caso più citato
riguarda il titolo Archimoulin, un vero videogioco indie pubblicato su itch.io, ma
clonato dai truffatori per costruire una pagina fittizia.
Un controllo dell’URL,
una verifica con l’amico che invia il link tramite un altro canale o
semplicemente il sospetto di fronte a comportamenti anomali possono evitare
conseguenze ben più gravi: account rubati, PC infetti o anche la compromissione dei dati sensibili.
