La tecnica del malvertising è molto utilizzata dai cybercriminali per ingannare gli utenti e spingerli ad accedere ad un sito fasullo simile a quello di noti brand. Gli esperti di Malwarebytes hanno scoperto che una falsa app Google Authenticator è stata pubblicizzata dalla stessa Google sul motore di ricerca. In realtà viene installato un infostealer.
Google non blocca le inserzioni fasulle
Ignoti cybercriminali sono riusciti ad aggirare i controlli della piattaforma di advertising di Google. Quando l’utente cerca l’app Google Authenticator viene mostrato un link sponsorizzato con URL “https://www.google.com“, quindi sembra la fonte ufficiale. L’identità dell’inserzionista (un certo Larry Marr) è stata anche verificata da Google, evidenziando un’altra vulnerabilità del servizio.
Cliccando sul link vengono effettuati diversi redirecting fino ad arrivare al sito fake di Google Authenticator, in cui è presente il pulsante per il download. L’eseguibile viene scaricato da GitHub. Essendo un sito conosciuto, i file superano i controlli di sicurezza. Avviando l’app fasulla viene installato l’infostealer DeerStealer che ruba password, cookie e altri dati dal browser.
Google ha comunicato di aver bloccato l’account dell’inserzionista. Gli utenti devono controllare l’URL del sito prima di scaricare un file ed effettuare la scansione antivirus prima dell’esecuzione. Come soluzione estrema è possibile usare un ad blocker che nasconde i link sponsorizzati su Google.