Ennesima campagna di malvertising che sfrutta la piattaforma Google Ads. I ricercatori di Malwarebytes hanno scoperto sul motore di ricerca annunci pubblicitari che puntano a siti fake di CPU-Z. La versione infetta del tool è nascosto un info-stealer. Una simile tecnica era stata utilizzata nel mese di ottobre, sfruttando la popolarità di Notepad++.
Attenzione alla versione di CPU-Z
CPU-Z è un tool che permette di visualizzare informazioni su processore, memoria, GPU e scheda madre. Può essere scaricato dal sito di CPUID. Gli utenti che cercano il link su Google potrebbero vedere un annuncio pubblicitario all’inizio delle pagina dei risultati. L’URL è chiaramente diverso, ma i più distratti cliccano senza leggere e finiscono su un sito fasullo che sembra quello di Windows Report.
I cybercriminali usano la tecnica nota come cloaking per mostrare un contenuto differente in base al target e aggirare i controlli di Google. Cliccando sul link viene effettuato un redirecting verso un altro dominio che non corrisponde a quello del sito legittimo.
Cliccando sul pulsante mostrato nel sito fake di Windows Report viene scaricato un installer MSIX che contiene uno script PowerShell, ovvero il loader FakeBat. Il file è firmato digitalmente, quindi gli antivirus potrebbero non rilevarlo. Eseguendo l’installer viene effettuato il collegamento con il server remoto, dal quale viene scaricato l’info-stealer Redline.
Il malware permette di rubare numerosi dati dal computer, come password e cookie dai browser. Gli utenti devono prestare molta attenzione all’URL indicato nell’inserzione pubblicitaria. La soluzione migliore è installare un ad-blocker per nascondere gli annunci di Google.