In questi giorni una serie di segnalazioni hanno permesso di scoprire una nuova campagna in grado di rendere la vita difficile alle vittime che cadono nella sua trappola. Si tratta di falsi download di Google Antigravity che sono in grado di rubare un account in pochi minuti. L’installazione infetta permette ai malintenzionati di ottenere informazioni sensibili e persino l’accesso al tuo computer.
Il file, chiamato Antigravity_v1.22.2.0.exe, ha una dimensione di 138 MB, sufficiente a contenere l’intera applicazione Antigravity, il suo runtime Electron, le sue librerie grafiche Vulkan, il suo programma di aggiornamento. In pratica, l’attaccante ha preso il programma di installazione originale e ha aggiunto un passaggio extra che esegue il suo script PowerShell durante l’installazione.
In altre parole, non siamo di fronte a una copia contraffatta convincente del file, ma del vero e proprio programma di installazione modificato. Questi falsi download di Google Antigravity sono estremamente pericolosi perché in realtà sono il programma ufficiale modificato da cybercriminali esperti che eseguono un passaggio dannoso consistente in una riga aggiuntiva all’interno di una sequenza che esegue decine di passaggi legittimi.
Cosa devi fare se pensi di essere vittima dei falsi download di Google Antigravity
Se pensi di essere caduto nella trappola dei falsi download di Google Antigravity e di aver quindi installato il programma ufficiale “modificato” allora è importante seguire alcuni passaggi forniti dagli esperti di Malwarebytes che ti sintetizziamo qui sotto.
- Da un dispositivo diverso e pulito, disconnettiti da tutte le sessioni attive dei tuoi account importanti: Google, Microsoft 365, qualsiasi portale bancario, GitHub, Discord, Telegram, Steam e il tuo exchange di criptovalute. La maggior parte dei servizi offre un’opzione “Esci da tutti” nelle impostazioni di sicurezza.
- Cambia le password di questi account, iniziando da quella della tua email. Se la tua email viene compromessa, un malintenzionato può reimpostare quasi tutte le altre credenziali.
- Cambia tutte le chiavi API, le chiavi SSH e le credenziali cloud presenti sul computer interessato, non solo le password ad esse associate.
- Se sul dispositivo sono presenti portafogli di criptovalute, trasferisci immediatamente i fondi a un dispositivo pulito.
- Controlla regolarmente gli estratti conto bancari e delle carte di credito per individuare eventuali addebiti insoliti e valuta la possibilità di attivare una segnalazione di frode presso la tua banca.
- Formatta e reinstalla Windows. Un computer su cui è stato eseguito questo tipo di malware non è affidabile.
- Se si tratta di un laptop aziendale, informa immediatamente il vostro team IT o di sicurezza.
Non è la prima volta che Google viene preso di mira dai cybercriminali. Occorre perciò prestare sempre attenzione a notifiche, file di installazione e mail.
