Una nuova campagna di malvertising sta sfruttando gli annunci Google per distribuire una versione fake trojanizzata dell’utility CPU-Z, con l’obiettivo di veicolare il malware Redline, noto per il furto di informazioni. Gli analisti di Malwarebytes hanno rilevato questa campagna, collegandola a operazioni precedenti che utilizzavano pubblicità maligne di Notepad++ per diffondere payload dannosi.
Dettagli della campagna
L’annuncio Google per la versione compromessa di CPU-Z, strumento che profila l’hardware dei computer Windows, è ospitato su una copia clonata del sito di notizie Windows legittimo WindowsReport. CPU-Z è un’utilità gratuita molto popolare che aiuta gli utenti a monitorare vari componenti hardware, dalle velocità delle ventole alle frequenze di clock della CPU, tensione e dettagli della cache. Cliccando sull’annuncio, le vittime vengono indirizzate attraverso un passaggio di reindirizzamento che inganna i crawler anti-abuso di Google, inviando visitatori non validi verso un sito innocuo.
Siti Clonati e Processo di Infezione
Gli utenti considerati validi per ricevere il payload vengono reindirizzati verso un sito che imita quello di notizie Windows, ospitato su uno dei seguenti domini:
- argenferia[.]com
- realvnc[.]pro
- corporatecomf[.]online
- cilrix-corp[.]pro
- thecoopmodel[.]com
- winscp-apps[.]online
- wireshark-app[.]online
- cilrix-corporate[.]online
- workspace-app[.]online
L’uso di un clone di un sito legittimo aggiunge un ulteriore livello di fiducia al processo di infezione, poiché gli utenti sono abituati a siti di notizie tecnologiche che ospitano link per il download di utility utili.
Conseguenze dell’Installazione e Precauzioni
Cliccando sul pulsante “Scarica ora”, si riceve un installer di CPU-Z (file MSI) firmato digitalmente contenente uno script PowerShell dannoso identificato come il loader di malware ‘FakeBat’. La firma digitale del file riduce la probabilità che gli strumenti di sicurezza di Windows o i prodotti antivirus di terze parti lancino un avviso per l’utente. Il loader scarica il payload di Redline Stealer da un URL remoto e lo lancia sul computer della vittima. Redline è un potente strumento di furto in grado di raccogliere password, cookie e dati di navigazione da una gamma di browser web e applicazioni, oltre a dati sensibili da portafogli di criptovalute.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
