La ricerca di software sui motori di ricerca nasconde, spesso, delle insidie che si trasformano in veri e propri pericoli: è ciò che è capitato in una recente campagna di diffusione malware che, sfruttando la cassa di risonanza offerta dagli annunci sponsorizzati di Google Ads sui risultati delle ricerche, ha mietuto parecchie vittime di ransomware.
Indice degli argomenti
Annunci Google Ads che veicolano malware
Gli analisti della sicurezza di MalwareHunterTeam hanno scoperto che un attore di minacce identificato come DEV-0569 diffondeva malware soprannominato “Rhadamanthys” (Figlio di Zeus in greco) ospitandolo dietro annunci di Google Ads.
Pertanto, il motore di ricerca sembra essersi trasformato, negli ultimi giorni, in un focolaio di attività dannose, offrendo prezioso supporto agli attori delle minacce dietro alla campagna malevola, contro le persone alla ricerca di programmi software popolari come WinRAR, VLC, TradingView, Awesome Miner, LibreOffice, MS Office, LightShot e foto editing.
Doing a search for "tradingview" in Google right now gives 2 malware ads.
Both are currently redirecting to: http://trading-terminal[.]top/index-set.html
Download: http://cdn-download[.]top/TradingView_setup.msi
cc @1ZRR4H @wdormann @tradingview pic.twitter.com/yINeAxU7FA— MalwareHunterTeam (@malwrhunterteam) January 25, 2023
La cosa sorprendente di questa attività è che i malintenzionati usano le classiche tattiche SEO per avvelenare i motori di ricerca, i cui risultati (di prodotti ricercati dagli utenti), vengono posizionati in maniera eccellente e con la sperata alta posizione ma che, in realtà non sono legittimi.
Tali pratiche risalgono già dal febbraio 2022. Ma fanno affiorare ora l’alta attenzione, poiché il numero di vittime di tali attacchi è aumentato del 40% alla fine dello scorso anno.
Inoltre, gli attori delle minacce, dietro queste campagne, non stanno solo limitando la loro distribuzione alle piattaforme di download di software. In effetti sono state rilevate campagne malevole anche in annunci pop-up visualizzati sullo schermo quando guardiamo contenuti TV o film in streaming non legale.
Gli esperti fanno sapere che il rapporto di diffusione rispetto alla piattaforma di download di software fraudolento con piattaforme di streaming di contenuti pirata sia superiore del 30% rispetto a quello effettivo.
I ricercatori ritengono che DEV-0569 sembra avere qualche legame con la cyber gang Royal Ransomware e il team di Microsoft Threat Intelligence ha stilato un rapporto dettagliato alla società Alphabet Inc, proprio in riferimento a questo argomento, nel dicembre dello scorso anno. Questa prima campagna è stata riconosciuta dall’URL ads-check[.]com (già noto da novembre dicembre 2022).
Una seconda campagna collegata al ransomware CLOP
Della stessa tipologia e rilevata contemporaneamente alla precedente, viene messa in luce una seconda campagna malevola, atta questa volta a diffondere il malware della cyber gang CLOP. TA505 è il nome dato al gruppo criminale ed è stato collegato appunto, all’infrastruttura di CLOP ransomware.
Stavolta vengono sfruttate le ricerche su Google per i download di AnyDesk, Slack, Microsoft Teams, TeamViewer, LibreOffice e Adobe. Il dominio noto, che in questa campagna a consentito l’attribuzione malevola è download-cdn[.]com, questo è stato utilizzato come fonte di scaricamento della DLL malevola, all’interno dello script PowerShell che infetterà il computer della vittima.
Un meccanismo per mettere in guardia gli utenti online contro tali siti Web fraudolenti è già in atto e Microsoft sta collezionando tutti gli URL malevoli, al fine di riuscire a lanciare un avviso agli utenti Windows non appena ci si imbatte in tali indirizzi Web sospetti di compromissione.
Dal punto di vista statistico, affermano i ricercatori che si sono occupati di questa vicenda, non è facile fare una stima precisa: tuttavia, ci si può basare sul pannello di controllo dell’andamento della campagna, al quale Germàn Fernàndez ha avuto accesso. Tale tracciatura viene resettata ogni 24 ore e, nella giornata di ieri, il ricercatore ha confermato di aver visto il numero valorizzato in 63.576, stimando tale valore come potenziali vittime per quella giornata o che, perlomeno, sono entrate in contatto con il download del malware.
