Gli analisti di Malwarebytes hanno scoperto un'operazione che sfrutta gli annunci di Google per diffondere una versione alterata dello strumento CPU-Z, che in ultima analisi installa il famigerato malware Redline per il furto di informazioni. Questa insidiosa campagna, che presenta notevoli somiglianze con un precedente attacco che utilizzava il malvertising di Notepad++, sottolinea l'evoluzione delle tattiche degli attori delle minacce nella loro ricerca di guadagni illeciti.
La malevola pubblicità promossa su Google porta ad una versione clonata del rispettabile sito di notizie WindowsReport. CPU-Z, un'utility molto utilizzata per la profilazione dell'hardware del computer su Windows, è diventato un complice inconsapevole di questo raggiro: l'app compromessa è ora un vettore per la distribuzione del malware Redline.
Il modus operandi di questa campagna prevede il reindirizzamento delle vittime attraverso una serie di passaggi progettati per eludere i meccanismi anti-abuso di Google. Il processo di reindirizzamento esclude i visitatori non validi, assicurando che solo gli obiettivi previsti siano guidati verso un sito di notizie contraffatto ospitato su domini come:
- argenferia[.]com
- realvnc[.]pro
- corporatecomf[.]online
- cilrix-corp[.]pro
- thecoopmodel[.]com
- winscp-apps[.]online
- wireshark-app[.]online
- cilrix-corporate[.]online
- workspace-app[.]online
La malvagità dell'attacco risiede nella familiarità degli utenti con i siti di notizie tecnologiche che ospitano abitualmente link di download legittimi. Imitando queste fonti affidabili, gli aggressori mirano a nascondere le loro attività sotto un velo di credibilità. Facendo clic sul pulsante "Scarica ora", le vittime scaricano inconsapevolmente un programma di installazione di CPU-Z con firma digitale (file MSI) che contiene uno script PowerShell caricatore di malware e noto come "FakeBat".
L'uso di un certificato valido durante il processo di firma aggiunge un livello di sofisticazione, riducendo la probabilità di rilevamento da parte degli strumenti di sicurezza di Windows o delle soluzioni antivirus di terze parti. Il loader, una volta attivato, recupera il payload di Redline Stealer da un URL remoto e lo distribuisce sul sistema della vittima.
Redline, un potente malware ruba-informazioni, raccoglie una serie di dati sensibili, tra cui password, cookie e cronologia di navigazione da vari browser e applicazioni web. Non si ferma qui: estende il suo raggio d'azione per rubare informazioni preziose dai portafogli di criptovalute, intensificando la gravità della minaccia.
Per rafforzare le proprie difese digitali, vi consigliamo sempre di prestare attenzione quando interagite con i risultati promossi in Google Search. La verifica della corrispondenza tra il sito caricato e il dominio, o l'utilizzo di un ad-blocker per lo screening automatico, possono essere utili per sventare queste insidiose campagne di malware.