Secondo recenti rivelazioni BingChat, il nuovo motore di ricerca Microsoft assistito dall’intelligenza artificiale con il suo vasto bacino di utenti avrebbe attirato l’attenzione del cyber crime, diventando un vettore per il malvertising e sollevando serie preoccupazioni.
Il falso annuncio punta ad una presunta fonte ufficiale
In un suo rapporto, Jérôme Segura, ricercatore senior di sicurezza presso Malwarebytes Labs, infatti punta i riflettori sull’allarmante sfruttamento del motore di ricerca Microsoft da parte dei cyber criminali per incorporare falsi annunci pubblicitari all’interno del chatbot che portano all’installazione di malware. In particolare gli attaccanti con un falso annuncio, spacciato come come un normale risultato di ricerca afferente al fornitore di Advanced IP Scanner (uno strumento di scansione utilizzato dagli amministratori di rete), indurrebbero gli utenti a fare il download del tool da una presunta fonte ufficiale (https://mynetfoldersip[.]cfd).
Typosquatting
Una volta cliccato sul link, il sito web (https://mynetfoldersip[.]cfd), il cui scopo è filtrare il traffico e separare le vittime reali da macchine virtuali o sandbox, per il download dell’applicazione reindirizza solo gli utenti reali verso un sito ingannevole “https://advenced-ip-scanner[.]com”, che assomiglia nel nome alla piattaforma ufficiale https://advanced-ip-scanner.com. Questo è un tipico caso di typosquatting in cui il nome del falso dominio si differenzia da quello legittimo per la sola lettera “e” (adv[e]nced/adv[a]nced).
Infine il programma di installazione .MSI al momento dell’esecuzione avvia uno script VBS che scarica il payload da un indirizzo IP 65.21.119[.]59.
Raccomandazioni
Attacchi di malvertising perpetrati abusando di una piattaforma chatbot basata sull’intelligenza artificiale rappresenta di sicuro una novità che apre scenari preoccupanti.
Sebbene BingChat offra un’esperienza di ricerca diversa, offre alcuni degli stessi annunci visualizzati tramite una query Bing tradizionale. In questo caso, l’autore malintenzionato è entrato nell’account pubblicitario di un’azienda australiana legittima e ha creato due annunci dannosi.”, continua Segura e conclude “Con pagine di destinazione convincenti, le vittime possono essere facilmente indotte con l’inganno a scaricare malware e non venirne a conoscenza.”
Per proteggersi da tali minacce, è sempre consigliabile prestare particolare attenzione ai siti Web che si visitano e mantenere aggiornati software, sistemi e soluzioni antivirus.
Di seguito la scansione VirusTotal di un campione del programma d’installazione .MSI utilizzato in questa campagna malvertising.
