Gli utenti aziendali interessati a scaricare Webex, il software di conferenze web di Cisco, sono diventati il bersaglio di una campagna di malvertising. Gli attori della minaccia stanno acquistando spazi pubblicitari da Google e impersonando Cisco per distribuire malware, in particolare la minaccia malware di primo stadio BatLoader. Ecco una panoramica dettagliata della campagna e dei consigli per proteggersi.
Dettagli della Campagna
La campagna di malvertising è piuttosto diretta: quando un utente cerca il software Webex su Google, si imbatte in una pubblicità apparentemente autentica utilizzata per distribuire malware. È importante sottolineare che il software Webex di Cisco non è stato compromesso. Il malware in questione, BatLoader, è specializzato nell’eludere il rilevamento e rappresenta la prima fase della catena di infezione, utilizzato per eseguire il compromesso iniziale su un computer.
Il falso annuncio malizioso rispetta la politica di Google Ads per gli URL di visualizzazione, sfruttando una lacuna conosciuta come template di tracciamento, che viene abusata come meccanismo di filtraggio e reindirizzamento. Gli attori della minaccia sembrano essere interessati agli utenti aziendali, utilizzando malware che potrebbe non essere rilevato dalle tradizionali misure antivirus di un’organizzazione.
Raccomandazioni per la Sicurezza
Gli esperti di Malwarebytes Labs, che hanno scoperto la campagna, suggeriscono una soluzione più completa, come il rilevamento e la risposta degli endpoint (EDR), abbinato a un servizio MDR dove analisti umani esaminano le attività sospette eseguite dal malware. Questo tipo di approccio è considerato una necessità per contrastare efficacemente queste minacce. Google è stata informata dell’incidente legato alla pubblicità falsa e sta lavorando per affrontare la questione.
