Formbook distribuito da siti pubblicizzati da Google

Formbook distribuito da siti pubblicizzati da Google

Il noto info-stealer Formbook viene scaricato dal loader MalVirt distribuito tramite siti fasulli di Blender pubblicizzati da Google.
Formbook distribuito da siti pubblicizzati da Google
Il noto info-stealer Formbook viene scaricato dal loader MalVirt distribuito tramite siti fasulli di Blender pubblicizzati da Google.

Gli esperti di SentinelOne hanno scoperto una nuova campagna di malvertising che sfrutta le inserzioni di Google. I cybercriminali distribuiscono il malware Formbook attraverso un loader, denominato MalVirt, nascosto in software fasulli che vengono pubblicizzati come Blender. È sempre consigliata l’installazione di una soluzione di sicurezza che rileva e blocca queste minacce.

Malware virtualizzato

La piattaforma Google Ads viene usata spesso per mostrare siti fake nelle prime posizioni dei risultati delle ricerche. I ricercatori di SentinelOne hanno scoperto che cercando il software Blender vengono mostrati link a siti che sembrano legittimi, dai quali le ignare vittime scaricano in realtà il loader MalVirt.

Quest’ultimo è stato scritto in .NET e sfrutta una virtualizzazione basata su KoiVM per offuscare il codice e ostacolare l’analisi con i tool di sicurezza. I loader può rilevare ambienti virtualizzati e usa il driver di Process Explorer per modificare i processi in esecuzione.

Il loader scarica sul computer il noto info-stealer Formbook. Questo malware veniva solitamente distribuito tramite macro inserite nei documenti di Office. Microsoft ha disattivato l’esecuzione delle macro, quindi i cybercriminali hanno trovato un metodo alternativo.

Finché Google non riuscirà a bloccare le inserzioni fasulle, gli utenti dovranno prestare molta attenzione a siti pubblicizzati, anche se vengono mostrati in cima ai risultati. La soluzione più semplice (e gratuita) è quella di utilizzare un ad-blocker. È comunque consigliata l’installazione di un antivirus che blocca l’accesso ai siti fake e il download di file infetti.

Fonte: SentinelOne
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
3 feb 2023
Link copiato negli appunti