Una campagna di annunci dannosi che, almeno in teoria, proponeva il download di Notepad++ è stata individuata su Google. Secondo Malwarebytes, questa è rimasta attiva per mesi e mesi prima che qualcuno individuasse la stessa, segnalandola al colosso di Mountain View.
In questo senso, non è ancora noto quale sia il loader finale distribuito dalla campagna anche se gli esperti sospettano si tratti di Cobalt Strike o comunque di altri ransomware con un alto grado di pericolosità.
Gli annunci in questione promuove URL con titoli fuorvianti, che fanno riferimento al noto editor di testo. I cybercriminali, per rendere più credibili i link, hanno utilizzato alcune strategie comuni nel contesto del malvertising. Per esempio, hanno utilizzato titoli molto lunghi rispetto agli URL, nascondendo il nome del sito e traendo in inganno la vittima.
Una volta che l’utente fa clic su uno qualsiasi degli annunci, una fase di reindirizzamento controlla il loro IP per impedire l’accesso a crawler, VPN, bot e simili. Una volta che viene appurata la natura “umana” del visitatore, questo viene direzionato verso un sito che imita quello ufficiale di Notepad++, con tanto di link per il download delle varie versioni dell’app.
Notepad++ e non solo: come scaricare software senza rischi di questo tipo
Il click per il presunto download di Notepad++, in realtà, permette ai cybercriminali di effettuare un’ulteriore verifica, cercando di capire se la presunta vittima sta agendo da un ambiente sandbox.
Appurato che l’utente è reale e non protetto, viene fornito allo stesso uno script HTA, con annesso ID univoco utile per il tracciamento della vittima. Il passo successivo dello script è di collegarsi a un dominio remoto da un’apposita porta: questo tipo di azione sembra andare a favorire l’eventuale distribuzione di agenti malevoli come Cobalt Strike.
Gli esperti hanno voluto fornire alcuni preziosi consigli per evitare questo tipo di attacco. Per evitare di scaricare malware quando cerchi strumenti software specifici, può essere utile evitare i risultati promozionali sulla SERP di Google e andare manualmente sul sito ufficiale dell’app.
Se è difficile individuare quest’ultima, risulta possibile consultare Wikipedia o i canali social della software house per cercare di capire qual è la piattaforma in grado di garantire il programma desiderato senza rischi.