Attaccanti Copiano Siti Software Legittimi per Diffondere Malware tramite la Piattaforma Google Ads

C’è stato un aumento del numero di attori della minaccia che abusano della piattaforma Google Ads per distribuire malware a utenti ignari che cercano di scaricare questi popolari prodotti software.

Bene, gli attori della minaccia replicano i siti ufficiali di questi prodotti software e poi diffondono versioni infette da trojan di questi prodotti quando l’utente clicca sul pulsante di download.

Questi sono i prodotti software che gli attori della minaccia stanno prendendo di mira – Grammarly, Malwarebytes, μTorrents, AnyDesk, MSI Afterburner, Slack, Thunderbird, OB.S, Ring, Libre Office, Brave, Dashlane, Teamviewer e Audacity.

Bene, alcuni di questo software malevolo che la vittima ha ricevuto nei propri computer includono le varianti di Racoon Stealer, che è una versione personalizzata di Vidar Steeler e del caricatore di malware IceID.

Un mese fa, abbiamo coperto la campagna MSI Afterburner, che ha infettato gli utenti con il malware RedLine, e un rapporto di Bleeping computers menziona una massiccia campagna di typosquatting in cui fino a 200 domini hanno copiato prodotti software.

Non era chiaro come le vittime siano finite su quei siti, anche se rapporti di più aziende di sicurezza come TrendMicro e Guardio Labs spiegano che tutto è accaduto mentre gli attaccanti minacciosi raggiungevano un’ampia base di utenti promuovendo i loro siti tramite campagne pubblicitarie su Google!

La piattaforma Google Ads è un servizio che consente agli inserzionisti di promuovere i propri siti e pagine posizionandoli in cima alla ricerca e spesso sopra i siti ufficiali dei prodotti.

Questo significa che gli utenti che non utilizzano o hanno disattivato i blocchi pubblicitari vedranno quel sito promosso in primo piano e ci cliccheranno sopra, prendendolo come un vero risultato di ricerca!

Gli attori della minaccia applicano quindi trucchi per bypassare i controlli automatici di Google, e se Google scopre che la pagina di destinazione è malevola, allora la campagna pubblicitaria viene bloccata e gli annunci vengono rimossi.

Ora, secondo GaurdioLabs e TrendMicro. Il trucco che gli attaccanti minacciosi usano è far cliccare le vittime sull’annuncio e poi portarle su un sito non correlato ma non dannoso, che tra l’altro, è anche creato dall’attaccante da lì, reindirizzandole al sito malevolo che impersona il prodotto software.

Quindi, non appena gli utenti mirati visitano il sito duplicato, il server li reindirizza immediatamente al sito fraudolento e da lì al payload malevolo, ha detto GaurdioLabs.

Inoltre, questi siti fraudolenti non sono nemmeno visibili al visitatore, non raggiungendoli dal vero flusso promozionale, siti irrilevanti per i crawler, visitatori occasionali, bot e forze dell’ordine di Google.

Il Payload arriva in un file ZIP ed è scaricato da un sito legittimo come GitHub, Dropbox o Discord CDN, assicurando che l’antivirus in esecuzione sul computer target non obietti al download.

Secondo la società di sicurezza, la campagna che hanno scoperto a novembre in cui gli attaccanti minacciosi hanno attratto gli utenti alla versione infetta da trojan di Grammarly, che aveva Racoon Stealer.

Il malware è arrivato con il software originale, quindi gli utenti ottengono il software legittimo così come il malware che si installerebbe silenziosamente.

Venendo a un rapporto di TrendMicro spiega che la campagna IceID in cui gli attaccanti hanno sfruttato il sistema di traffico Ketaro per rilevare se l’utente che visita il sito è davvero una vittima o un ricercatore, e poi avviene il reindirizzamento; questo exploit TDS è presente dal 2019.

Bene, detto ciò, i risultati di ricerca promossi sono spesso difficili da identificare come falsi a causa del fatto che portano tutti gli elementi di legittimità, quindi un modo per bloccare queste campagne pubblicitarie è attivare un blocco pubblicitario nel tuo browser, che a sua volta filtrerà i risultati di ricerca promossi.

Un altro modo è scorrere verso il basso la pagina web fino a vedere il dominio del prodotto software che stai cercando di scaricare.

Leggi: RisePro Malware Ruba Password, Informazioni su Carte di Credito e Wallet di Criptovalute