Negli ultimi mesi le campagne malvertising stanno imperversando online, coinvolgendo suo malgrado un colosso informatico ritenuto inattaccabile come Google.
Il network di Google Ads, infatti, è ormai assediato da svariate pubblicità che, sfruttando i nomi di software legittimi, portano gli utenti a siti phishing o diffondono direttamente agenti malevoli.
L’ultima campagna che si accoda alle altre scoperte di recente, sfrutta il nome di programmi rinomati come Advanced IP Scanner, Slack, WinSCP e Cisco AnyConnect per dirigere verso siti Web dannosi. In seguito a una ricerca di eSentire, è stato possibile definire meglio l’operazione in questione, che sembra focalizzarsi contro aziende ed enti pubblici di America ed Europa.
La campagna nasce da alcuni account Google di professionisti rubati e sfruttati per impostare campagne pubblicitarie. Per ottenere l’accesso ad essi, vengono sfruttate tecniche di social engineering abbinate a malware o, più semplicemente, gli account compromessi vengono acquistati sul Dark Web.
Annunci falsi sfruttati per diffondere BlackCat: Google Ads ancora nel mirino dei cybercriminali
Una volta impostata la campagna, i cybercriminali direzionano le potenziali vittime verso siti Web che permettono il download dei suddetti software. Le piattaforme in questione, come da prassi, sono preparate graficamente per risultare quanto più verosimili e trarre in inganno il numero maggiore di persone.
Il malware diffuso attraverso questo canale, ovvero Nitrogen, viene poi utilizzato per scaricare sui dispositivi infettato BlackCat che a sua volta va ad agire come da prassi per un ransomware, con tanto di richiesta di riscatto per i file crittografati. La natura di Ransomware-as-a-Service (RaaS) di BlackCat, rende difficile intuire chi sono effettivamente gli ideatori di questa campagna.
Per i comuni utenti, i consigli al fine di evitare gli annunci falsi sono sempre gli stessi. Affidarsi solo a siti ufficiali per il download di software e, prima di scaricare i file, verificare l’URL del sito in questione. In caso di indirizzo sospetto, meglio lasciare immediatamente il sito Web senza interagire con lo stesso.