Hacker di lingua cinese che operano nel sud-est e nell’Asia orientale sono i protagonisti di una nuova campagna malevola che sfruttando Google Ads fornisce trojan di accesso remoto, come FatalRAT, a macchine compromesse.
Gli attacchi con le pubblicità prevedono l’acquisto di spazi pubblicitari da visualizzare nei risultati di ricerca di Google che indirizzano gli utenti alla ricerca di applicazioni popolari a siti Web non autorizzati che ospitano programmi di installazione trojan, ha affermato ESET in un rapporto pubblicato oggi: fortunatamente da allora gli annunci malevoli sono stati rimossi.
Certamente, non è la prima volta che vengono utilizzate applicazioni fasulle che imitano quelle vere.
Come funziona questa campagna di hacking che sfrutta le pubblicità di Google Ads?
Alcune delle applicazioni contraffatte includono Google Chrome, Mozilla Firefox, Telegram, WhatsApp, LINE, Signal, Skype, Electrum, Sogou Pinyin Method, Youdao e WPS Office.
“I siti Web e gli installer scaricati [dalle pubblicità] sono per lo più in cinese e in alcuni casi offrono falsamente versioni in lingua cinese di software che non sono disponibili in Cina“, ha affermato la società di sicurezza informatica slovacca, aggiungendo di aver monitorato gli attacchi tra agosto 2022 e gennaio 2023.
La maggior parte delle vittime si trova a Taiwan, Cina e Hong Kong, seguite da Malesia, Giappone, Filippine, Tailandia, Singapore, Indonesia e Myanmar.
L’aspetto più importante degli attacchi è la creazione di siti Web simili con domini typosquat per propagare il programma di installazione dannoso, che, nel tentativo di mantenere lo stratagemma, installa il software legittimo, ma rilascia anche un caricatore che distribuisce FatalRAT.
Google Ads, così facendo diventa un tramite per questi personaggi con cattive intenzioni: così si garantisce agli hacker il controllo completo del computer vittima, inclusa l’esecuzione di comandi shell malevoli, l’esecuzione di file, la raccolta di dati dai browser Web e l’acquisizione di sequenze di tasti.
“Gli aggressori hanno compiuto alcuni sforzi per quanto riguarda i nomi di dominio utilizzati per i loro siti Web, cercando di essere il più simili possibile ai nomi ufficiali“, hanno affermato i ricercatori. “I siti Web falsi sono, nella maggior parte dei casi, copie identiche dei siti legittimi“.
I risultati arrivano meno di un anno dopo che Trend Micro ha rivelato una campagna Purple Fox che sfruttava pacchetti software contaminati che imitavano Adobe, Google Chrome, Telegram e WhatsApp come vettore di arrivo per propagare FatalRAT.
C’è da aggiungere che Google Ads è stato usato non solo per questa campagna, ma anche per mettere in giro un’ampia gamma di malware o, in alternativa, portare gli utenti a pagine di phishing delle credenziali.
In uno studio correlato a questo, il Threat Hunter Team di Symantec ha fatto luce su un’altra campagna malware che prende di mira entità a Taiwan con un impianto basato su .NET precedentemente non documentato chiamato Frebniis.
“La tecnica utilizzata da Frebniis prevede l’iniezione di codice dannoso nella memoria di un file DLL (iisfreb.dll) relativo a una funzionalità IIS utilizzata per risolvere i problemi e analizzare le richieste di pagine Web non riuscite“, ha dichiarato Symantec.
Symantec ha poi aggiunto: “Ciò consente al malware di monitorare furtivamente tutte le richieste HTTP e riconoscere le richieste HTTP appositamente formattate inviate dall’attaccante, consentendo l’esecuzione di codice in modalità da remoto“.
La società di sicurezza informatica, che ha attribuito l’intrusione a un autore ignoto non identificato, ha affermato che al momento non è noto come sia stato ottenuto l’accesso alla macchina Windows che esegue il server Internet Information Services (IIS).
Ecco perché gli AdBlocker sono importanti
Purtroppo l’adblocker non è uno strumento che serve solo ad eliminare le pubblicità fastidiose: serve anche per difendersi da questi attacchi, poiché è un attimo cliccare accidentalmente nella pubblicità messa appositamente in un posto ingannevole.