Un ricercatore ha scoperto un nuovo metodo per sfruttare siti Web vulnerabili al fine fornire annunci dannosi e mirati agli utenti dei motori di ricerca. Secondo l’esperto, questa nuova tecnica è potenzialmente in grado di diffondere un vero e proprio tsunami di malware.
La chiave di questo pericolo è costituita dagli annunci dinamici, una funzionalità in cui Google utilizza il contenuto della pagina di destinazione di un sito Web per abbinare annunci mirati alle ricerche. In un post sul blog del 30 ottobre, Jerome Segura, direttore senior dell’intelligence sulle minacce di Malwarebytes, ha descritto come un utente malintenzionato ha utilizzato un annuncio su un sito Web compromesso per sfruttare questa funzionalità, prendendo di mira gli utenti dei motori di ricerca.
Per Segura “Penso che l’annuncio in sé sia davvero casuale, nel modo in cui è stato creato. Il fatto che l’ho visto (in una ricerca su Google), non credo che l’autore della minaccia lo avesse pianificato affatto“.
Segura stava cercando parole chiave comuni utilizzate dagli hacker, spesso pubblicità false per applicazioni da ufficio, software di monitoraggio remoto e simili. In questo caso, la parola chiave era “PyCharm“, l’ambiente di sviluppo per la programmazione Python.
La ricerca ha portato un titolo che corrispondeva al contesto, mentre lo snippet sembrava fare riferimento a un sito di pianificazione di matrimoni. In seguito a un’indagine accurata, è stato possibile capire che il sito Web era compromesso.
Annunci dinamici di Google? Per gli esperti il rischio è un “diluvio” di infezioni malware
L’esperto ha poi approfondito specificando come “Nella maggior parte degli annunci che vedo relativi al download di software dannoso, il contenuto corrisponde al titolo. Quindi l’autore della minaccia si impegna effettivamente a creare un annuncio da zero: utilizza un account inserzionista compromesso e crea l’annuncio con un URL corrispondente , una descrizione corrispondente, e tutto ciò non era il caso in questo caso. Quindi ho pensato: perché qualcuno dovrebbe creare un titolo che non corrisponde alla descrizione?“.
Le indagini hanno portato a galla un’infezione malware sul sito di pianificazione dei matrimoni, attraverso cui i cybercriminali generavano spam.
Il malware ha riscritto i titoli di queste pagine e ha presentato ai visitatori un pop-up dove veniva proposta una chiave seriale PyCharm dannosa. A peggiorare le cose, la funzione di annunci dinamici di Google ha rilevato i contenuti dannosi proponendoli come pubblicità.
Se un visitatore inconsapevole cliccasse sul collegamento pop-up PyCharm, sperimenterebbe “Un diluvio di infezioni malware simili a quelle che abbiamo visto solo in rare occasioni, rendendo il computer completamente inutilizzabile“, ha spiegato Segura nel suo blog.