Le campagne pubblicitarie dannose continuano ad essere uno dei metodi prediletti dai cybercriminali per distribuire malware. Recentemente, si è assistito all'incremento di attacchi che sfruttano piattaforme pubblicitarie legittime per veicolare contenuti nocivi, approfittando della fiducia degli utenti in servizi e marchi riconosciuti. Uno degli ultimi esempi di questa tendenza riguarda una campagna maligna che prende di mira gli utenti del motore di ricerca Microsoft Bing, tramite falsi annunci legati a una delle migliori VPN, NordVPN.
Gli attaccanti hanno orchestrato una campagna di malvertising creando annunci fraudolenti che appaiono nei risultati di ricerca quando gli utenti cercano “nord vpn” su Bing. Uno di questi annunci promuoveva un sito, registrato con un nome di dominio molto simile a quello ufficiale (nordivpn[.]xyz), concepito per trarre in inganno gli internauti meno attenti. Il sito dannoso, realizzato solo poche ore prima della campagna, mira a imitare fedelmente l'aspetto del sito autentico di NordVPN, persuadendo le vittime a scaricare una falsa versione del software.
Il file scaricabile, mascherato da installer di NordVPN, contiene in realtà un payload malevolo. Il processo di installazione, volutamente semplificato, bypassa le normali procedure, come la registrazione o il login, consentendo il download diretto tramite un link Dropbox. Tale facilitazione serve a ridurre i sospetti durante il download, aumento quindi il tasso di infezione. Tuttavia, oltre al programma legittimo, il file eseguibile nasconde al suo interno un Trojan di accesso remoto (RAT), identificato come SecTopRAT, che consente ai malintenzionati di prendere il controllo del sistema infetto.
L'impatto di tali campagne non si limita al danno immediato causato dal malware; esse minano anche la fiducia degli utenti nei confronti delle piattaforme pubblicitarie e dei motori di ricerca, oltre a danneggiare l'immagine dei marchi sfruttati come esche. Inutile dire che, ovviamente, NordVPN è totalmente estraneo alla campagna malevola degli hacker.
Le autorità competenti sono state allertate riguardo alla presenza dell'annuncio malevolo su Bing, così come i fornitori di servizi coinvolti nella diffusione dell'infrastruttura dannosa sono stati informati per intraprendere le necessarie azioni di contenimento e rimozione. Inoltre, si è venuti a sapere che Dropbox ha già disabilitato il link al download malevolo, bloccando così una delle vie di diffusione del malware.
Come difendersi dalla pubblicità dannosa
Esistono dei modi per difendersi da campagne di malvertising come questa? Ovviamente sì. Ci sono due consigli che vogliamo darvi: il primo è quello più ovvio, ossia prestare attenzione all'URL del sito web che state visitando: basta un po' di accortezza per capire che besthord-vpn[.]com non è il sito ufficiale di NordVPN, e questo vale per praticamente qualsiasi altra campagna di pubblicità malevola.
Il secondo consiglio è quello di usare una delle migliori VPN, che offrono protezione da questo tipo di minacce. Ad esempio, basta attivare la Threart Protection dall'app di Nord VPN (quella vera!) per essere protetti da questo tipo di campagne malevole e da eventuali malware che vengono erroneamente scaricati sul PC.