I ricercatori di sicurezza informatica di Malwarebytes hanno recentemente scoperto una campagna malvertising che dirotta Google Ads e viene offerta alle persone che cercano Notepad++ o Keepass.
Una nuova campagna pubblicitaria ai danni di Google, attiva da “mesi”, che rischiava di far cadere le implementazioni di Cobalt Strike su vittime ignare. Questo è il malvertising.
Cos’è il malvertising
Il malvertising è una tattica popolare, vista più volte in precedenza. Parola macedonia da malware e advertising, funziona come amo da esca per gli avventori di Google nella ricerca organica.
Nella pagina dei risultati del motore di ricerca, i titoli dei siti appaiono con caratteri più grandi rispetto ai collegamenti, rendendo facile per le persone dimenticare di ricontrollarli e semplicemente fare clic sul risultato suggerito.
Una volta che la vittima clicca sul collegamento, il sito esegue prima alcuni rapidi test per assicurarsi che il visitatore sia autentico (e non un bot, una VPN o simili) e poi visualizza un sito che sembra quasi identico al sito originale della loro ricerca.
Se sono bot (o visitatori altrimenti non idonei), il sito li reindirizza a un sito esca. Se clienti abituali, viene presentata una pagina 404.
L’abuso della rete pubblicitaria non è una novità. Gli esperti di sicurezza informatica avvertono gli utenti di prestare attenzione a qualunque cosa facciano online e di ricontrollare sempre per assicurarsi che stiano scaricando software legittimo da fonti legittime. I software piratati e quelli distribuiti tramite collegamenti contenuti in e-mail e messaggi sui social media sono quasi sempre dannosi.
Perché sono stati colpiti Notepad e Keepass
Così è avvenuto per quanto riguarda Notepad e Keepass, dopo il caso dei chatbot di Bing. Ogni volta che qualcuno cerca Notepad++ , i primi risultati che vedrebbero sarebbero annunci pubblicitari, alcuni dei quali li porterebbero a un sito dannoso.
Nel caso di Keepass, guardando l’annuncio, che si maschera da presentazione del gestore di password open source Keepass, non c’è modo di sapere che è falso. Per rendere lo stratagemma ancora più convincente, cliccandoci sopra si accede a ķeepass[.]info che, se visualizzato nella barra degli indirizzi, sembra essere il vero sito Keepass .
Sembra ci sia l’utilizzo di uno schema di codifica noto come punycode. Consente di rappresentare i caratteri Unicode nel testo ASCII standard. Purtroppo le truffe malware potenziate da Punycode hanno una lunga storia. Ad oggi non esiste un modo sicuro per rilevare annunci Google dannosi o URL codificati da punycode.
In caso di dubbio, le persone possono aprire una nuova scheda del browser e digitare manualmente l’URL. Oppure controllare il certificato TLS per assicurarsi che appartenga al sito visualizzato nella barra degli indirizzi.
