Il malvertising viene spesso sfruttato per spingere gli utenti ad aprire siti fasulli mostrati nei risultati di Google. La stessa tecnica è stata usata da ignoti cybercriminali per distribuire malware tramite annunci pubblicitari mostrati su Facebook, come hanno scoperto i ricercatori di Trustwave.
Inserzioni pericolose nelle pagine business
I ricercatori hanno individuato numerose pagine business, aperte dai cybercriminali o rubate con successiva modifica di nome e contenuti, con inserzioni che pubblicizzavano temi per Windows, giochi gratuiti e crack per molte applicazioni popolari, tra cui Windows, Office e Photoshop.
Il numero di inserzioni per ogni campagna di advertising è piuttosto elevato. In un caso sono stati pubblicati oltre 8.100 banner. Quando l’ignaro utente clicca sull’immagine viene portato su siti ospitati da Google Sites o True Hosting. Cliccando sul pulsante Download presente nella pagina viene scaricato un archivio ZIP con un nome corrispondente al contenuto pubblicizzato.
I file presenti nell’archivio installano SYS01, un noto infostealer che sfrutta una serie di DLL, script PowerShell e script PHP per creare la persistenza sul computer tramite un’attività pianificata e rubare diversi dati dal browser, tra cui cronologia, cookie e password.
Il malware può inoltre prendere il controllo degli account Facebook e accedere a tutti i dati, principalmente quelli usati dalle aziende per le attività commerciali. Le informazioni possono essere utilizzate per altre campagne di malvertising o sono vendute ad altri cybercriminali. Ciò potrebbe rappresentare anche un grave danno di immagine, oltre che finanziario.
Per proteggersi e prevenire questi rischi, è possibile leggere la nostra guida dedicata su come riconoscere ed eliminare un virus su Facebook.