Una recente campagna malvertising è stata scoperta mentre sfruttava un sito web compromesso per promuovere versioni false del software PyCharm nei risultati di ricerca di Google, utilizzando gli annunci dinamici.
Dettagli della campagna
Senza che il proprietario del sito ne fosse a conoscenza, uno dei suoi annunci è stato automaticamente creato per promuovere un popolare programma per sviluppatori Python, visibile a chi effettuava una ricerca su Google. Secondo Jérôme Segura, direttore dell’intelligence sulle minacce presso Malwarebytes, le vittime che cliccavano sull’annuncio venivano indirizzate a una pagina web compromessa con un link per scaricare l’applicazione. Tuttavia, invece di ottenere il software desiderato, venivano installati oltre una dozzina di diversi malware.
Il sito web compromesso
Il sito web infetto è un portale online specializzato nella pianificazione di matrimoni, che era stato manipolato per fornire link falsi al software PyCharm.
Come funzionano gli annunci dinamici
Gli obiettivi vengono indirizzati al sito web tramite Dynamic Search Ads, un’offerta pubblicitaria di Google che utilizza automaticamente il contenuto del sito per creare annunci mirati basati sui termini di ricerca. Google spiega che quando qualcuno effettua una ricerca con termini strettamente correlati ai titoli e alle frasi frequentemente utilizzate sul sito web, Google Ads utilizza questi titoli e frasi per selezionare una pagina di destinazione dal sito e generare un titolo chiaro e pertinente per l’annuncio.
Implicazioni
Un attore minaccioso con la capacità di alterare il contenuto del sito web potrebbe anche rendere le campagne pubblicitarie uno strumento appetibile per abusi, servendo agli utenti di Google Search annunci che possono portare a comportamenti non intenzionali. “Ciò che è accaduto qui è che Google Ads ha generato dinamicamente questo annuncio dalla pagina compromessa, rendendo il proprietario del sito web una vittima involontaria che paga per il proprio annuncio dannoso”, ha spiegato Segura.
Altre minacce correlate
Questo sviluppo arriva mentre Akamai ha dettagliato l’infrastruttura dietro una sofisticata campagna di phishing mirata ai siti di ospitalità e ai loro clienti. La campagna rappresenta una minaccia globale, con un notevole traffico DNS osservato in Svizzera, Hong Kong e Canada. Anche se inizialmente si pensava che la campagna fosse attiva solo da settembre 2023, la registrazione del dominio mostra nomi di dominio registrati e interrogati già a giugno 2023.