Sicurezza Informatica

Pubblicità su Bing per NordVPN conduce a malware SecTopRAT

da Livio Varriale
scritto da Livio Varriale 0 commenti 2 minuti leggi
Microsoft Bing AI

Un recente post del blog di Malwarebytes rivela che gli attori di minacce stanno sfruttando la piattaforma pubblicitaria di Microsoft Bing per distribuire campagne di malvertising che impersonano il popolare software VPN NordVPN. Gli utenti che cercano “nord vpn” su Bing potrebbero imbattersi in annunci pubblicitari ingannevoli che li reindirizzano a un sito decoy, quasi identico a quello ufficiale di NordVPN.

Annunci

Frode pubblicitaria su Bing

image 37
Pubblicità su Bing per NordVPN conduce a malware SecTopRAT 9

L’annuncio malizioso su Bing sembra legittimo, ma l’URL evidenziato nell’annuncio è sospetto. Il dominio nordivpn[.]xyz, creato solamente un giorno prima (il 3 aprile 2024), cerca di ingannare gli utenti con una somiglianza visiva al nome ufficiale.

image 38
Pubblicità su Bing per NordVPN conduce a malware SecTopRAT 10

Il sito di destinazione, besthord-vpn[.]com, è stato creato poche ore prima dell’individuazione dell’annuncio e serve come trampolino di lancio per il download di un installer malevolo.

Payload del Malware

Il file scaricato, NordVPNSetup.exe, contiene sia un installer per NordVPN che un payload malware. Sebbene sia digitalmente firmato, dando l’impressione di essere un file ufficiale, la firma non è valida.

image 39
Pubblicità su Bing per NordVPN conduce a malware SecTopRAT 11

Il payload del malware viene iniettato in MSBuild.exe e stabilisce una connessione con il server di comando e controllo dell’autore del malware all’indirizzo 45.141.87[.]216 sulla porta 15647.

Azioni prese

Malwarebytes sottolinea la facilità con cui gli attori delle minacce possono implementare infrastrutture per distribuire malware sotto le spoglie di download di software popolari. La pubblicità maliziosa e gli indicatori correlati sono stati segnalati, e collaborazioni con partner del settore sono in corso per contrastare questa campagna. Dropbox ha già intrapreso azioni per rimuovere il download malevolo.

Indicatori di compromissione

  • Domini malevoli:
    • nordivpn[.]xyz
    • besthord-vpn[.]com
  • Falso installer di NordVPN:
    • e9131d9413f1596b47e86e88dc5b4e4cc70a0a4ec2d39aa8f5a1a5698055adfc
  • C2 di SecTopRAT:
    • 45.141.87[.]216

Questo caso evidenzia l’importanza di una vigilanza costante nella verifica della legittimità dei download di software e nell’attenzione verso le pubblicità online, anche su piattaforme affidabili come Bing.

Potreste Essere Interessati

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Si può anche come

RHC Conference 2025: Roma ospita l’hub italiano della...

Guerra cibernetica, sabotaggio strategico e cyberspionaggio nei teatri...

Attacchi mirati, falle critiche e compromissioni software nell’ecosistema...

StealC evolve con la versione 2

FBI chiede informazioni su Salt Typhoon e aiuto

Russia, Corea del Sud, Francia e Olanda sotto...

Logo Matrice Digitale, sicurezza, informatica, mondo digitale, confronto smartphones

Matrice Digitale è un media INDIPENDENTE sul mondo della tecnologia. Specializzato in Guerra Cibernetica, Cybersecurity e Cybercrime, Matrice Digitale realizza inchieste ed analisi OSINT esclusive.  

Leggi la trasparenza

Iscriviti alla Newsletter

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Facebook Twitter Instagram Youtube Rss Envelope

Developed with love by Giuseppe Ferrara