Negli ultimi mesi, la piattaforma Itch.io, nota per ospitare giochi indie e sperimentali, è diventata terreno fertile per attività malevole, secondo quanto emerge dall’ultimo rapporto di Malwarebytes. Gli hacker stanno sfruttando la popolarità del sito e l’entusiasmo della community per diffondere malware e ottenere credenziali di accesso agli account degli utenti, mettendo a rischio la sicurezza digitale di chi cerca semplicemente esperienze videoludiche alternative.
Il meccanismo di @ttacco è subdolo e ben studiato. I cybercriminali prendono di mira account compromessi su Discord, uno dei principali strumenti di comunicazione della comunità gaming, per inviare messaggi che invitano a scaricare nuovi giochi disponibili su Itch.io. Tuttavia, i link non conducono al gioco reale, ma a una finta schermata di login di Discord. Chi inserisce le proprie credenziali su questa pagina ingannevole, rischia di fornire direttamente agli hacker accesso al proprio account.
Questo tipo di phishing è particolarmente insidioso perché appare come un’azione normale all’interno della piattaforma di gioco e sfrutta la fiducia tra utenti conosciuti sulla piattaforma di chat.Il pericolo non si ferma al furto delle credenziali. Se l’utente procede con il download del presunto gioco, il PC può essere infettato da un malware loader.
Questo software malevolo ha la funzione di aprire la porta a ulteriori virus, trojan o keylogger, permettendo agli attaccanti di monitorare le attività digitali della vittima, raccogliere dati sensibili e potenzialmente commettere furti d’identità. L’infezione può anche estendersi ad altri account collegati al dispositivo, amplificando l’impatto di ciascun attacco.
La minaccia è reale, ma esistono misure preventive efficaci. In primo luogo, è fondamentale diffidare sempre dei link ricevuti tramite messaggi, anche se provengono da account apparentemente conosciuti, e verificare l’autenticità del gioco e del sito di provenienza prima di procedere al download. Inoltre, scaricare contenuti esclusivamente da fonti verificate riduce drasticamente il rischio di imbattersi in malware mascherati da giochi. Un ulteriore livello di protezione è rappresentato dall’attivazione dell’autenticazione a due fattori (2FA) sui propri account, in particolare su Discord e piattaforme di gaming. Questa misura, semplice ma efficace, può impedire l’accesso non autorizzato anche in caso di compromissione delle credenziali.