I criminali informatici stanno sfruttando sempre più la pubblicità di Google per distribuire malware. Un esempio recente coinvolge risultati di ricerca manipolati e false pubblicità Google che ingannano gli utenti facendoli scaricare malware mascherato da software legittimo, come WinSCP. Questa tattica, nota come “malvertising”, sta guadagnando popolarità tra i cybercriminali.
Campagna SEO#LURKER
La società di cybersecurity Securonix sta monitorando questa attività in corso, denominata “SEO#LURKER”. L’attacco inizia con una pubblicità dannosa che conduce l’utente a un sito WordPress compromesso, che poi reindirizza a un sito di phishing controllato dagli attaccanti. L’obiettivo finale è attirare gli utenti su un falso sito WinSCP e indurli a scaricare malware.
Catena di Attacco
La complessa catena di attacco a più fasi coinvolge diversi passaggi:
- Gli utenti vengono prima indirizzati a un sito web compromesso.
- Vengono poi reindirizzati a un falso sito web che assomiglia al sito legittimo di WinSCP.
- Se l’header del referente è errato, gli utenti vengono reindirizzati a un video di Rick Astley su YouTube in una tattica nota come “Rickrolling”.
- Il payload finale è un file ZIP contenente un eseguibile di installazione che utilizza il side-loading di DLL per eseguire un file DLL dannoso.
Malware e il suo impatto
Il malware, mascherato da installer legittimo di WinSCP, rilascia in modo subdolo script Python in background per attivare comportamenti dannosi e stabilire un contatto con un server remoto. Ciò consente agli attaccanti di eseguire comandi sull’host. Il malware prende di mira chiunque cerchi il software WinSCP, con un focus particolare sugli utenti negli Stati Uniti, come suggerito dal geoblocking utilizzato sul sito che ospita il malware.
Tendenza crescente del Malvertising
Questo incidente non è la prima volta che le Dynamic Search Ads di Google vengono abusate per la distribuzione di malware. Malwarebytes ha recentemente segnalato una campagna simile che prendeva di mira gli utenti alla ricerca di PyCharm. La crescente tendenza del malvertising rappresenta una minaccia significativa, come visto nel recente aumento delle campagne di skimming delle carte di credito che prendono di mira i siti di e-commerce.
Richiamo alla vigilanza
La campagna SEO#LURKER sottolinea la necessità di una maggiore vigilanza nel scaricare software da internet. Gli utenti dovrebbero essere cauti nei confronti dei risultati di ricerca e delle pubblicità, anche quando sembrano legittimi, poiché i criminali informatici continuano a trovare modi innovativi per sfruttare le piattaforme online a scopi malevoli.