Gli esperti di SentinelOne hanno scoperto una nuova campagna di malvertising che sfrutta le inserzioni di Google. I cybercriminali distribuiscono il malware Formbook attraverso un loader, denominato MalVirt, nascosto in software fasulli che vengono pubblicizzati come Blender. È sempre consigliata l’installazione di una soluzione di sicurezza che rileva e blocca queste minacce.
Malware virtualizzato
La piattaforma Google Ads viene usata spesso per mostrare siti fake nelle prime posizioni dei risultati delle ricerche. I ricercatori di SentinelOne hanno scoperto che cercando il software Blender vengono mostrati link a siti che sembrano legittimi, dai quali le ignare vittime scaricano in realtà il loader MalVirt.
Quest’ultimo è stato scritto in .NET e sfrutta una virtualizzazione basata su KoiVM per offuscare il codice e ostacolare l’analisi con i tool di sicurezza. I loader può rilevare ambienti virtualizzati e usa il driver di Process Explorer per modificare i processi in esecuzione.
Il loader scarica sul computer il noto info-stealer Formbook. Questo malware veniva solitamente distribuito tramite macro inserite nei documenti di Office. Microsoft ha disattivato l’esecuzione delle macro, quindi i cybercriminali hanno trovato un metodo alternativo.
Finché Google non riuscirà a bloccare le inserzioni fasulle, gli utenti dovranno prestare molta attenzione a siti pubblicizzati, anche se vengono mostrati in cima ai risultati. La soluzione più semplice (e gratuita) è quella di utilizzare un ad-blocker. È comunque consigliata l’installazione di un antivirus che blocca l’accesso ai siti fake e il download di file infetti.