Il plugin di Adobe è destinato all’estinzione, ma essendo ancora molto popolare rimane uno dei bersagli preferiti dai malintenzionati. Sono ad esempio piuttosto diffusi i cosiddetti “installer fake”, come quello scoperto dai ricercatori di Palo Alto Network. Oltre al Flash Player viene installato sul computer anche un cryptominer.
Malware simili esistono da diverso tempo, ma la versione scoperta dal ricercatore Brad Duncan è più difficile da individuare, in quanto la sua presenza è offuscata dal plugin originale. Viene infatti mostrata la classica procedura di installazione o aggiornamento per il Flash Player. Invece viene copiato anche XMRig, un miner per Windows che genera le criptovalute Monero, sfruttando la potenza di calcolo della CPU. L’utente noterà un rallentamento eccessivo del computer dovuto all’uso del processore prossimo al 100%.
I falsi installer contengono la stringa “AdobeFlashPlayer__” nel nome e il download viene effettuato da un indirizzo contenente la stringa “flashplayer_down.php?clickid=“. Alcuni di essi provengono da siti ospitati su AWS, il servizio cloud di Amazon. La maggioranza dei fake installer è stata rilasciata tra agosto e settembre 2018. Sfortunatamente il ricercatore non è riuscito ad individuare i siti che distribuiscono questo malware.
Gli utenti devono quindi prestare molta attenzione durante la navigazione. Non bisogna cliccare su nessun pop-up che invita ad aggiornare il Flash Player, ma si deve subito chiudere il browser. L’unico sito da cui scaricare l’installer è quello di Adobe. È inoltre consigliato l’utilizzo di soluzioni di sicurezza che bloccano questo genere di miner. Anche se Flash morirà nel 2020 su Internet circoleranno ancora malware che sfrutteranno la sua popolarità.