Alcuni criminali informatici hanno sfruttato risultati di ricerca manipolati e annunci falsi su Google che hanno ingannato degli utenti i quali, al posto di scaricare software legittimo come WinSCP, faceva installare loro dei malware (adware, in questo caso) non di poco conto.
Come gli utenti che volevano scaricare WinSCP sono stati ingannati
La società di sicurezza informatica Securonix sta ancora monitorando l’attività in corso con il nome SEO#LURKER.
“L’annuncio malevolo indirizza l’utente verso un sito web WordPress compromesso, gameeweb[.]com, che reindirizza l’utente verso un sito di phishing controllato dagli attaccanti“, hanno dichiarato i ricercatori di sicurezza Den Iuzvyk, Tim Peck e Oleg Kolesnikov in un rapporto.
Si ritiene che questi malintenzionati sfruttino gli annunci di ricerca dinamici di Google (DSAs), che generano automaticamente annunci in base al contenuto di un sito per servire annunci malevoli che portano le vittime al sito infetto.
L’obiettivo finale di questa complessa serie di attacchi multistadio è convincere gli utenti a cliccare sul falso sito simile a WinSCP, winccp[.]net, e scaricare il malware.
“Il traffico dal sito web gaweeweb[.]com al falso sito winsccp[.]net dipende dal fatto che l’intestazione del referrer sia impostata correttamente“, hanno detto i ricercatori. “Se il referrer è errato, l’utente viene ‘Rickrolled’ e viene inviato al famoso video di Rick Astley su YouTube.”
Il payload finale si presenta sotto forma di un file ZIP (“WinSCP_v.6.1.zip”) che contiene un eseguibile di installazione, il quale, una volta avviato, utilizza il side-loading di DLL per caricare ed eseguire un file DLL chiamato python311.dll presente nell’archivio.
La DLL, a sua volta, scarica ed esegue un installer legittimo di WinSCP per rendere ulteriormente credibile tale inganno, mentre rilascia silenziosamente script Python (“slv.py” e “wo15.py”) in background per attivare il comportamento malevolo; tale file DLL è, tra le altre cose, responsabile di stabilire anche una certa persistenza.
Entrambi gli script Python sono progettati per stabilire un contatto con un server controllato da un attore remoto per ricevere ulteriori istruzioni che consentono agli attaccanti di eseguire comandi di enumerazione sull’host.
“Dato che gli attaccanti stavano sfruttando Google Ads per diffondere malware, si può presumere che i bersagli siano limitati a coloro che cercano il software WinSCP“, hanno detto i ricercatori e hanno aggiunto “L’uso del geoblocking sul sito che ospita il malware suggerisce che coloro che si trovano negli Stati Uniti sono vittime di questo attacco.”
Questa non è la prima volta che gli annunci di ricerca dinamici di Google vengono abusati per distribuire malware; non a caso, alla fine del mese scorso, Malwarebytes ha svelato una campagna che mira agli utenti che cercano PyCharm con link a un sito web hackerato che ospita un installer fraudolento che apre la strada alla distribuzione di malware che ruba informazioni.
La malvertising è cresciuta parecchi come popolarità tra i criminali informatici negli ultimi anni, con numerose campagne di malware che utilizzano questa tattica per attacchi negli ultimi mesi.
All’inizio di questa settimana, Malwarebytes ha rivelato un aumento delle campagne di “scrematura” di carte di credito nell’ottobre 2023, che si stima abbiano compromesso centinaia di siti web di e-commerce con l’obiettivo di rubare informazioni finanziarie mediante l’inserimento di pagine di pagamento contraffatte convincenti.
Si consiglia pertanto agli utenti che hanno accidentalmente scaricato questo installer tarocco di WinSCP, intanto di fare una bella passata di Malwarebytes, in secondo luogo è sempre meglio munirsi di un AdBlocker quando si naviga, che non è solamente un’arma contro la pubblicità, ma molto di più.
