Alcuni hacker hanno creato dei siti web fasulli relativi a software gratuiti e open source molto noti, allo scopo di indurre gli utenti a scaricare file dannosi tramite annunci pubblicitari nei risultati di ricerca di Google.
Fra le vittime, anche un noto influencer nell’ambito delle criptovalute, conosciuto come NFT God, che ha subito una violazione dopo aver scaricato un file EXE fake per il software di registrazione video e live streaming Open Broadcaster Software (OBS), scaricato da un annuncio di Google nei risultati di ricerca.
La vittima ha scoperto quasi subito che il proprio account sul mercato OpenSea NFT era stato compromesso e che un altro wallet era indicato come proprietario di uno dei suoi beni digitali. Lo stesso è avvenuto per altri account come Substack, Gmail e Discord.
Questa tecnica, sicuramente non nuova, è sempre più utilizzata. Già a ottobre 2022, il noto blog di cybersicurezza BleepingComputer ha riferito di una massiccia campagna che si basava su più di 200 domini typosquatting relativi a vari brand popolari. Inizialmente, non era noto il metodo di distribuzione, ma in seguito Trend Micro e Guardio hanno rivelato che gli hacker stavano sfruttando la piattaforma Google Ads per spingere download dannosi nei risultati di ricerca.
Every channel I have with my community, friends, and family was compromised over the last 24 hours
— Alex Finn (@AlexFinnX) January 15, 2023
My Twitter, Substack, Gmail, Discord, and wallets were all invaded and taken over by bad actors
Significantly less important than all of that I lost all of my digital assets
Proprio in seguito alla vicenda che ha coinvolto NFT God, BleepingComputer ha condotto una propria ricerca e ha scoperto che OBS fa parte di un lungo elenco di software che gli hacker stanno utilizzando per indurre gli utenti a download dannosi nei risultati di ricerca di Google Ads.Un altro programma molto noto e sfruttato in questa campagna è l'editor di testo e codice sorgente Notepad++. Anche in questo caso, il responsabile ha utilizzato il typosquatting per creare un dominio simile a quello legittimo dello sviluppatore ufficiale.
Il ricercatore di sicurezza Will Dormann ha scoperto che i falsi download di Notepad++ nella sezione sponsorizzata della ricerca di Google erano disponibili da ulteriori URL, tutti i file sono stati contrassegnati come dannosi da vari motori antivirus sulla piattaforma di scansione Virus Total. Ci sono altri brand molto popolari, come 7-ZIP e WinRAR, nonché il famosissimo lettore multimediale VLC.
BleepingComputer ha condiviso alcune di queste scoperte con Google e l’azienda ha già avviato le proprie indagini.
Per evitare di cadere in questa trappola, innanzitutto è bene controllare sempre gli URL delle fonti da cui vogliamo effettuare un download. Inoltre, l’utilizzo di un ad-blocker potrebbe aumentare la protezione da questo tipo di minacce. Gli ad-blocker sono disponibili come estensioni nella maggior parte dei browser web e impediscono il caricamento e la visualizzazione di annunci pubblicitari su una pagina web, compresi i risultati di ricerca. Gli ad-blocker migliorano anche la privacy, impedendo ai cookie di tracciamento presenti nelle pubblicità di raccogliere dati sulle vostre abitudini di navigazione. In questo caso specifico, tuttavia, tali estensioni potrebbero fare la differenza tra la perdita dell'accesso alle informazioni sensibili o agli account online e l'ottenimento di risorse digitali da venditori legittimi.