Categorie
Sicurezza Informatica

Pubblicità su Bing per NordVPN conduce a malware SecTopRAT

Tempo di lettura: 2 minuti. Una campagna di malvertising su Bing, che impersona NordVPN, distribuisce il malware SecTopRAT, svelando i rischi di download ingannevoli di software.

Microsoft Bing AI
Microsoft Bing AI
Tempo di lettura: 2 minuti.

Un recente post del blog di Malwarebytes rivela che gli attori di minacce stanno sfruttando la piattaforma pubblicitaria di Microsoft Bing per distribuire campagne di malvertising che impersonano il popolare software VPN NordVPN. Gli utenti che cercano “nord vpn” su Bing potrebbero imbattersi in annunci pubblicitari ingannevoli che li reindirizzano a un sito decoy, quasi identico a quello ufficiale di NordVPN.

Frode pubblicitaria su Bing

L’annuncio malizioso su Bing sembra legittimo, ma l’URL evidenziato nell’annuncio è sospetto. Il dominio nordivpn[.]xyz, creato solamente un giorno prima (il 3 aprile 2024), cerca di ingannare gli utenti con una somiglianza visiva al nome ufficiale.

Il sito di destinazione, besthord-vpn[.]com, è stato creato poche ore prima dell’individuazione dell’annuncio e serve come trampolino di lancio per il download di un installer malevolo.

Payload del Malware

Il file scaricato, NordVPNSetup.exe, contiene sia un installer per NordVPN che un payload malware. Sebbene sia digitalmente firmato, dando l’impressione di essere un file ufficiale, la firma non è valida.

Il payload del malware viene iniettato in MSBuild.exe e stabilisce una connessione con il server di comando e controllo dell’autore del malware all’indirizzo 45.141.87[.]216 sulla porta 15647.

Azioni prese

Malwarebytes sottolinea la facilità con cui gli attori delle minacce possono implementare infrastrutture per distribuire malware sotto le spoglie di download di software popolari. La pubblicità maliziosa e gli indicatori correlati sono stati segnalati, e collaborazioni con partner del settore sono in corso per contrastare questa campagna. Dropbox ha già intrapreso azioni per rimuovere il download malevolo.

Indicatori di compromissione

  • Domini malevoli:
    • nordivpn[.]xyz
    • besthord-vpn[.]com
  • Falso installer di NordVPN:
    • e9131d9413f1596b47e86e88dc5b4e4cc70a0a4ec2d39aa8f5a1a5698055adfc
  • C2 di SecTopRAT:
    • 45.141.87[.]216

Questo caso evidenzia l’importanza di una vigilanza costante nella verifica della legittimità dei download di software e nell’attenzione verso le pubblicità online, anche su piattaforme affidabili come Bing.

Di Livio Varriale

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version