Multilingua

CPU-Z fake diffonde malware

da Redazione
scritto da Redazione 0 commenti 2 minuti leggi
CPU-Z fake

Una nuova campagna di malvertising sta sfruttando gli annunci Google per distribuire una versione fake trojanizzata dell’utility CPU-Z, con l’obiettivo di veicolare il malware Redline, noto per il furto di informazioni. Gli analisti di Malwarebytes hanno rilevato questa campagna, collegandola a operazioni precedenti che utilizzavano pubblicità maligne di Notepad++ per diffondere payload dannosi.

Annunci

Dettagli della campagna

image 111
CPU-Z fake diffonde malware 9

L’annuncio Google per la versione compromessa di CPU-Z, strumento che profila l’hardware dei computer Windows, è ospitato su una copia clonata del sito di notizie Windows legittimo WindowsReport. CPU-Z è un’utilità gratuita molto popolare che aiuta gli utenti a monitorare vari componenti hardware, dalle velocità delle ventole alle frequenze di clock della CPU, tensione e dettagli della cache. Cliccando sull’annuncio, le vittime vengono indirizzate attraverso un passaggio di reindirizzamento che inganna i crawler anti-abuso di Google, inviando visitatori non validi verso un sito innocuo.

Siti Clonati e Processo di Infezione

image 112
CPU-Z fake diffonde malware 10

Gli utenti considerati validi per ricevere il payload vengono reindirizzati verso un sito che imita quello di notizie Windows, ospitato su uno dei seguenti domini:

  • argenferia[.]com
  • realvnc[.]pro
  • corporatecomf[.]online
  • cilrix-corp[.]pro
  • thecoopmodel[.]com
  • winscp-apps[.]online
  • wireshark-app[.]online
  • cilrix-corporate[.]online
  • workspace-app[.]online

L’uso di un clone di un sito legittimo aggiunge un ulteriore livello di fiducia al processo di infezione, poiché gli utenti sono abituati a siti di notizie tecnologiche che ospitano link per il download di utility utili.

Conseguenze dell’Installazione e Precauzioni

image 113
CPU-Z fake diffonde malware 11

Cliccando sul pulsante “Scarica ora”, si riceve un installer di CPU-Z (file MSI) firmato digitalmente contenente uno script PowerShell dannoso identificato come il loader di malware ‘FakeBat’. La firma digitale del file riduce la probabilità che gli strumenti di sicurezza di Windows o i prodotti antivirus di terze parti lancino un avviso per l’utente. Il loader scarica il payload di Redline Stealer da un URL remoto e lo lancia sul computer della vittima. Redline è un potente strumento di furto in grado di raccogliere password, cookie e dati di navigazione da una gamma di browser web e applicazioni, oltre a dati sensibili da portafogli di criptovalute.

Potreste Essere Interessati

Si può anche come

DarkGate e l’iniezione di Template Remoti: nuove tattiche...

LightSpy: la nuova minaccia per macOS

Commando Cat: Cryptojacking innovativo che sfrutta i Server...

Parrot OS 6.1: Miglioramenti e Novità

Vivo X Fold 3 Pro: lancio in India,...

Ubuntu 23.10 “Mantic Minotaur” fine del ciclo vita...

Logo Matrice Digitale, sicurezza, informatica, mondo digitale, confronto smartphones

Matrice Digitale è un media INDIPENDENTE sul mondo della tecnologia. Specializzato in Guerra Cibernetica, Cybersecurity e Cybercrime, Matrice Digitale realizza inchieste ed analisi OSINT esclusive.  

Leggi la trasparenza

Iscriviti alla Newsletter

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Facebook Twitter Instagram Youtube Rss Envelope

Developed with love by Giuseppe Ferrara