Una nuova campagna di malvertising starebbe abusando indisturbata di Google Ads per promuovere un sito Web di software falso che distribuisce malware, impiegando tecniche avanzate per eludere il rilevamento e l’analisi. Si tratterebbe del popolare editor di testo Notepad++.
Secondo Malwarebytes, che ha fatto la scoperta, tale campagna sarebbe attiva da diversi mesi riuscendo a passare inosservata per tutto questo tempo, abusando dell’avvelenamento SEO per promuovere, con annunci Google fuorvianti, URL che non hanno niente a che fare con il legittimo progetto software.
La catena d’attacco
Una volta che le vittime cliccano su di uno qualsiasi degli annunci, una fase di reindirizzamento controlla il loro indirizzo IP per intercettare eventuali VPN conducendo in tal caso il visitatore a un sito esca che non rilascia nulla di male.
Diversamente gli obiettivi legittimi vengono reindirizzati al sito “notepadxtreme[.]com” una riproduzione del vero sito Notepad++, con collegamenti per il download di varie versioni.
Successivamente un secondo controllo viene eseguito durante l’eventuale download da un codice JavaScript fingerprinting per verificare che non vi siano segnali che il visitatore stia utilizzando emulatori o macchine virtuali. Solo alle vittime contrassegnate come idonee viene infine fornito uno payolad .HTA, a cui viene assegnato un ID univoco e fornito solo una volta. “Questo è probabilmente a scopo di tracking ma anche per rendere ogni download unico e time sensitive“, ritiene Jerome Segura di Malwarebytes. Purtroppo il carico finale consegnato alle vittime non è noto, ma Malwarebytes afferma che molto probabilmente potrebbe trattarsi di Cobalt Strike, solitamente il precursore di attacchi ransomware.
Campagne malvertising sempre più sofisticate
“Negli ultimi mesi abbiamo osservato un aumento del volume delle campagne di malvertising ma anche della loro sofisticatezza. Gli autori delle minacce stanno applicando con successo tecniche di evasione che aggirano i controlli di verifica degli annunci e consentono loro di prendere di mira determinati tipi di vittime.”, avverte Segura.
Per evitare di scaricare malware quando si cercano determinati software è sempre consigliabile, prestare sempre attenzione ai risultati promossi dai motori di ricerca e cercare di verificare la legittimità del dominio visitato tramite altri canali ufficiali.
