L’azienda di cybersicurezza Malwarebytes ha scoperto una campagna di malvertising che sfrutta Google Ads per reindirizzare gli utenti a siti truffaldini di supporto Windows.
Malwarebytes ha descritto la campagna come spettacolare perché sfrutta un tipico comportamento di navigazione che consiste nel cercare un sito web per nome invece di digitare l’URL nella barra degli indirizzi del browser.
Ad esempio, quando qualcuno intende guardare i video di YouTube, cerca “youtube” invece di digitare “youtube.com” nella barra degli indirizzi del browser.
Questa strategia consente ai truffatori di presentare contenuti legittimi per la revisione, ma di caricare contenuti diversi per gli utenti reali. Google considera questo comportamento una violazione delle “Linee guida per i webmaster di Google“.
Se i truffatori determinano che un visitatore è una persona reale, lo reindirizzano a pagine con truffe di assistenza tecnica. Altrimenti, li reindirizzano ai contenuti legittimi. I truffatori reindirizzano i loro obiettivi più volte prima di farli arrivare alla falsa pagina di assistenza.
Il primo reindirizzamento è verso un dominio di occultamento che determina se reindirizzare il visitatore alle pagine truffaldine dell’assistenza Windows o ai contenuti legittimi.
Al momento dell’acquisizione dell’obiettivo, il secondo reindirizzamento è a un browser locker che carica il contenuto dannoso su un iframe da un URL CloudFront usa e getta. Malwarebytes ha avvertito che la rimozione dei singoli URL non avrebbe interrotto la campagna di malvertising.
L’iframe occupa il 100% della larghezza e dell’altezza della pagina e visualizza un avviso di sicurezza di Windows Defender. L’iframe nasconde anche gli URL sospetti, in modo che l’utente veda solo i domini ‘.com‘ più comuni.
Oltre al meccanismo di reindirizzamento e occultamento, la campagna di malvertising presenta le caratteristiche di una tipica truffa di assistenza Windows.
Gli utenti vengono collegati a un centro di assistenza tecnica all’estero dopo aver chiamato i numeri di assistenza elencati sul sito Web dannoso.
Gli attori delle minacce dietro la campagna di malvertising chiedono ai loro obiettivi di scaricare strumenti di amministrazione remota come TeamViewer.
La truffa del supporto Windows ha colpito molti utenti di Internet
Malwarebytes prevede che la campagna di malvertising della truffa dell’assistenza Windows abbia colpito molti utenti di Internet.
La società di cybersicurezza ha basato la sua valutazione sull’uso di parole chiave e refusi popolari. La campagna di malvertising Windows support scam prende di mira siti web popolari come Amazon, Facebook, Walmart e YouTube, consultati da milioni di persone ogni giorno.
Considerando una media di 5,6 miliardi di ricerche su Google al giorno, la campagna di malvertising di Google Ads Windows support scam ha probabilmente raggiunto il massimo.
Inoltre, i ricercatori sono in grado di riprodurre più volte le catene di malvertising, cosa solitamente impossibile con campagne di questo tipo.
Allo stesso modo, gli annunci di Google visualizzati nella campagna di malvertising sono troppo realistici per destare qualche sospetto. Mostrano anche l’URL corretto e gli elementi tipici che gli utenti si aspettano dal sito web che intendono visitare.
Il posizionamento strategico degli annunci di Google rende gli utenti più propensi a cliccarli piuttosto che scorrere verso il basso per trovare il link diretto. Alcuni degli annunci di Google appaiono prima di quelli dei siti web legittimi.
Secondo Malwarebytes, la maggior parte degli utenti clicca sul primo risultato di ricerca, sia esso una promozione a pagamento o organico.
La campagna di #malvertising di Windows support ha preso di mira parole chiave popolari e errori di battitura per visualizzare #GoogleAds dannosi che corrispondono ai risultati di ricerca attesi dall’utente. #cybersecurity #rispettodeidati
Malwarebytes ha segnalato gli annunci Google implicati per violazione delle politiche dell’inserzionista. Inoltre, l’azienda ha elencato gli indicatori di compromissione associati alla campagna di malvertising per il supporto di Windows.