I ricercatori di Malwarebytes Labs hanno di recente monitorato e osservato sul News Feed di Microsoft Edge una campagna malvertising utilizzata per reindirizzare le potenziali vittime a false pagine di supporto tecnico, secondo uno schema molto semplice che si basa essenzialmente sull’inserimento nella home page di Edge di annunci esca che cercano di attirare gli utenti.
Il flusso d’attacco
Il News Feed di Microsoft Edge è, lo ricordiamo, una raccolta di notizie, aggiornamenti sul traffico e annunci pubblicitari vari.
Nel caso specifico sarebbero stati identificati diversi annunci esca che reindirizzerebbero verso falsi avvisi di sicurezza (a tema supporto tecnico), secondo il flusso d’attacco mostrato in figura.
Quando l’utente fa click su uno degli annunci malevoli (1), verrebbe inviata una richiesta tramite l’API “api.taboola.com” alla rete pubblicitaria Taboola. Il server in ascolto risponderebbe così con una URL del tipo “https://[dominio truffatore]/{..}/?utm_source=taboola&” (nell’arco di 24 ore la telemetria di Malwarebytes Labs avrebbe raccolto oltre 200 nomi host diversi), la cui prima richiesta ha il compito di recuperare un JavaScript codificato Base64 per controllare il tipo di visitatore corrente e determinare se è o meno un potenziale bersaglio (2).
“L’obiettivo di questo script è mostrare solo il reindirizzamento dannoso alle potenziali vittime, ignorando bot, VPN e geolocalizzazioni non di interesse a cui viene invece mostrata una pagina innocua relativa all’annuncio” si legge nel rapporto.
Lo scopo finale è in realtà quello di ingannare gli utenti target con pagine di blocco del browser false (3): L’utente legge che il computer sarebbe stato bloccato per ragioni di sicurezza a causa di un trojan spyware rilevato da Windows Defender e che sarebbe possibile contattare un presunto supporto tecnico di Microsoft per ricevere assistenza e lanciare una scansione di controllo. Molto probabilmente dando seguito alle richieste si procederà a installare un qualsiasi tipo di malware con tutte le conseguenze del caso.
Conclusioni
Questa campagna, che secondo la telemetria di Malwarebytes Labs risulta una delle più attive del momento, mostrerebbe come Edge, il browser predefinito sulla piattaforma Microsoft Windows, stia diventando ben presto un ulteriore strumento sfruttabile dagli scammer. Probabilmente l’interesse sarebbe correlato anche all’aumento graduale del relativo bacino di utenti dopo la dismissione del suo predecessore Internet Explorer.
Ulteriori dettagli e IoC sono reperibili sul blog di Malwarebytes Labs .
