Gli esperti di Malwarebytes hanno scoperto una campagna di malvertising che inganna gli utenti con l’obiettivo finale di installare il noto info-stealer Aurora. I cybercriminali hanno sfruttato un nuovo loader, denominato Invalid Printer, per aggirare le protezioni di Windows e degli antivirus. La soluzione di sicurezza offerta dalla software house californiana rileva e blocca queste minacce.
Aurora e Invalid Printer: coppia pericolosa
La campagna di malvertising è stata avviata contro siti che ospitano contenuti per adulti. Le inserzioni pubblicitarie fasulle sono in forma di popunder (banner nascosti dietro la finestra del browser). Viene simulato un finto aggiornamento di Windows, al termine del quale l’utente deve cliccare sul pulsante OK per completare l’operazione. In realtà viene scaricato sul computer il file ChromeUpdate.exe
che nasconde Invalid Printer.
Quest’ultimo è un nuovo loader che aggira la protezione di molti antivirus. Il malware effettua una scansione del sistema per individuare il tipo di scheda video. Se trova una GPU simulata nelle macchine virtuali o in ambienti di sviluppo, la procedura si arresta. In caso contrario viene scaricato l’info-stealer Aurora dal server C2 (command and control).
Aurora può raccogliere numerosi dati da computer, tra cui cookie, password, numeri delle carte di credito e cronologia dai browser. Può inoltre accedere ai messaggi di Telegram e ad oltre 40 wallet di criptovalute. I cybercriminali possono controllare l’esito degli attacchi attraverso un pannello web.