Il malvertising è uno dei metodi preferiti dai cybercriminali per distribuire malware. Ovviamente i servizi più utilizzati sono quelli di Google. I ricercatori di Malwarebytes hanno scoperto inserzioni pubblicitarie di Notepad++, un popolare editor di testo per Windows, ma il link punta a siti fake che ospitano uno script usato per installare Cobalt Strike.
Malvertising con Notepad++
Gli esperti di Malwarebytes hanno notato un incremento delle campagne di malvertising che abusano di Google Ads. Una delle più recenti riguarda Notepad++. Quando l’utente cerca il sito del software vede diversi link sponsorizzati all’inizio della pagina dei risultati delle ricerche.
I più distratti leggono solo il nome del popolare editor, senza fare caso all’URL (più piccolo) dei siti fasulli, quindi cliccano sul link. Se viene rilevata l’uso di una VPN, l’utente verrà portato su un sito esca che non ospita nessun contenuto infetto. Se viene invece rilevato il target desiderato (tramite indirizzo IP), l’utente vedrà una pagina simile a quella legittima con l’elenco delle versioni di Notepad++.
Quando l’ignara vittima clicca su un link per scaricare il software viene copiato sul computer uno script HTA. Nel codice è presente il link ad un server remoto, dal quale viene scaricato Cobalt Strike, noto tool usato in maniera legittima, ma anche dai cybercriminali per ottenere l’accesso remoto al computer.
Per evitare di cadere in trappola è meglio verificare il dominio mostrato nel link sponsorizzato oppure saltare al link non sponsorizzato. L’alternativa è usare un ad blocker che nasconde le inserzioni di Google Search.