Gli esperti di Malwarebytes hanno scoperto l’ennesima campagna di malvertising che sfrutta la piattaforma Google Ads. Le ignare vittime vedono inserzioni di Webex in evidenza, ma il link porta ad un sito che ospita l’installer fasullo del noto software per le videoconferenze. L’obiettivo dei cybercriminali è distribuire BatLoader.
Controllare l’URL prima di cliccare
Gli esperti di Malwarebytes hanno visto il falso annuncio pubblicitario per circa una settimana. Inserendo “webex” in Google, il primo risultato mostrato all’inizio della pagina era riferito al presunto sito ufficiale di Webex con link e logo ufficiali. Cliccando sui tre puntini verticali accanto all’indirizzo è possibile leggere informazioni sul risultato, tra cui la fonte. In questo caso, l’inserzionista (certificato da Google) si trova in Messico (Webex è della californiana Cisco).
I cybercriminali hanno sfruttato un “loophole” del modello di monitoraggio della piattaforma Google Ads che permette di effettuare il redirecting verso un dominio diverso da quello visualizzato nell’inserzione pubblicitaria.
Quando l’ignara vittima clicca sul link, il browser apre un sito molto simile a quello legittimo con il pulsante per scaricare l’installer (fasullo) di Webex. I cybercriminali hanno usato diverse tecniche per aggirare la protezione degli antivirus. Eseguendo l’installer MSI viene copiato su disco BatLoader che, a sua volta, scarica il malware DanaBot.
Quest’ultimo è un trojan bancario che raccoglie password, scatta screenshot e consente l’accesso remoto con hVNC. Le credenziali rubate vengono usate per attacchi successivi o vendute nel dark web. Google ha rimosso l’inserzione fasulla. Gli utenti devono sempre controllare l’URL dei siti prima di scaricare file. La soluzione migliore è accedere direttamente alla fonte ufficiale.
Ti potrebbe interessare
18 set 2023