Ancora una volta, ignoti cybercriminali hanno sfruttato le inserzioni di Google Ads per pubblicizzare siti che distribuiscono malware. Il bersaglio più recente è Bitwarden, un noto password manager. L’obiettivo è ingannare gli utenti con siti di phishing e ottenere la “master password” che consente di accedere al servizio.
Attenzione alle pubblicità mostrate su Google
Molti utenti hanno segnalato che digitando “bitwarden password manager” in Google viene mostrato un link sponsorizzato ad un sito che sembra quello ufficiale. Il dominio indicato è “appbitwarden.com“, ma quando l’utente clicca sul link viene aperto il sito “bitwardenlogin.com” (il sito legittimo è “bitwarden.com“). Il layout è identico a quello della pagina di accesso alla cassaforte web (vault) di Bitwarden.
Le credenziali di login sono ovviamente inviate ai cybercriminali che hanno creato il sito di phishing. La pagina è stata chiusa, quindi non è possibile verificare se sono state implementate altre tecniche per rubare i token di sessione e intercettare i codici dell’autenticazione multi-fattore.
Il bersaglio principale è Bitwarden, ma i ricercatori del MalwareHunterTeam hanno scoperto anche inserzioni fasulle relative a 1Password. Il punto debole dei password manager cloud-based è proprio la master password. Sarebbe meglio usare una soluzione che conserva tutti i dati sul computer, come KeePass.
In ogni caso deve essere sempre attivata l’autenticazione in due fattori, preferibilmente con app di autenticazione o chiave hardware. I recenti attacchi contro Norton Password Manager e LastPass dimostrano che i cybercriminali sfruttano diversi metodi per portare a termine le loro attività illecite.