Allarme malvertising: annunci Google e Bing usati per diffondere malware

Il gruppo di cybercriminali BlackCat ha avviato una nuova e pericolosa campagna di malvertising.

Nello specifico, si parla degli annunci che appaiono durante le ricerche su Google e Bing che, promuovendo un’app per il trasferimento del file, andrebbero in realtà a favorire la diffusione di malware.

L’app in questione è una versione appositamente modificata di WinSCP, software open source alquanto diffuso, utilizzato per spostare dati tra diversi computer e server remoti.

Secondo un rapporto di Trend Micro, frutto dell’analisi di una vittima di questa forma di malvertising, questo tipo di attacco è alquanto raffinato. Si parla di diversi strumenti, tecniche e procedure implementati per sfruttare al meglio l’app-esca.

Come affermano i ricercatori “L’infezione inizia quando l’utente cerca la query WinSCP Download sul motore di ricerca Bing. Un annuncio dannoso per l’applicazione WinSCP viene visualizzato sopra i risultati di ricerca organici. L’annuncio porta a un sito Web sospetto contenente un tutorial su come utilizzare WinSCP per automatizzare il trasferimento di file“.

La campagna malvertising sfrutta la popolarità di un noto software per il trasferimento file

Gli utenti vengono quindi indirizzati a una pagina Web di download di WinSCP clonata, un indirizzo simile al sito legittimo del software (ovvero winscp.net). Da qui, viene richiesto di scaricare un file ISO dannoso.

L’ISO contiene due file: setup.exe, un eseguibile msiexec.exe rinominato, e msi.dll, un file DLL che funge da dropper per il programma di installazione di WinSCP più un’esecuzione di codice Python dannoso che riguarda anche Cobalt Strike.

Altri strumenti utilizzati nell’attacco includono AdFind, utilizzato per recuperare e visualizzare informazioni dagli ambienti Active Directory. Secondo gli esperti “Nelle mani di un cybercriminale, AdFind può essere utilizzato in modo improprio per l’enumerazione degli account utente, l’escalation dei privilegi e persino l’estrazione dell’hash delle password“.

A questo si aggiunge AccessChk64, strumento da riga di comando utilizzato per verificare le autorizzazioni di sicurezza e non solo.

Di fatto, prevenire tale tipo di infezione risulta essenziale al fine di evitare disastri. In tal senso, fare grande attenzione agli annunci su Google e Bing risulta essenziale. Prima di scaricare qualunque software, poi, è bene verificare che la fonte sia il sito ufficiale e non sia solo una copia (per quanto accurata) dello stesso.