Qualcuno si è spacciato per una nota testata giornalistica e ha abusato della rete pubblicitaria di Google Ads, il tutto per consegnare alle persone il malware RedLine infostealer.
Un nuovo rapporto di Malwarebytes ha individuato un falso sito web di WindowsReport ospitato su quasi una dozzina di domini diversi.
Sul sito web, i truffatori hanno ospitato una versione troianizzata di CPU-Z, un popolare strumento di utilità per Windows che aiuta gli utenti a tenere traccia di diversi componenti hardware come la frequenza di clock della CPU e simili. Lo strumento, in realtà, era RedLine Stealer, un noto infostealer in grado di esfiltrare i dati sensibili del sistema, le password memorizzate, le informazioni di pagamento, i cookie, le informazioni sui portafogli di criptovalute e altro ancora.
Poi hanno creato annunci e li hanno diffusi sulla rete Google Ads, promuovendo questa versione dannosa di CPU-Z. I ricercatori ipotizzano che la clonazione di WindowsReport sia stata fatta per aggiungere maggiore legittimità e affidabilità all’intera campagna. Ma prima di essere inviati a questo sito web, gli utenti vengono indirizzati attraverso una serie di reindirizzamenti, il tutto per eludere i crawler anti-abuso di Google.
Alcuni utenti vengono reindirizzati a pagine benigne, mentre altri – quelli più adatti a ricevere RedLine – vengono reindirizzati al sito web finale. Non sappiamo esattamente come gli aggressori scelgano le loro vittime.
A peggiorare le cose, il programma di installazione è firmato digitalmente con un certificato valido, il che significa che gli strumenti di sicurezza di Windows e altri prodotti antivirus molto probabilmente non lo segnaleranno come dannoso.
Malwarebytes ha analizzato l’infrastruttura degli attori delle minacce per questa campagna ed è giunto alla conclusione che è stata creata dalle stesse persone che hanno recentemente gestito la campagna Notepad++. Questa campagna, individuata a fine ottobre, era simile nel senso che anch’essa includeva una copia di un sito web legittimo e un gruppo di annunci malevoli serviti tramite Google Ads.
Il modo migliore per stare al sicuro è fare molta attenzione quando si cercano prodotti e soluzioni su Google e controllare sempre due volte l’URL nella barra degli indirizzi prima di scaricare qualcosa.
