Le campagne di malvertising riguardano principalmente Google Search. Gli esperti dei Malwarebytes Labs hanno individuato recenti attacchi che sfruttano le inserzioni di Microsoft Bing per pubblicizzare NordVPN. In realtà, gli utenti scaricano sul computer un pericoloso malware, noto come SecTopRAT.
Versione fake di NordVPN sponsorizzata su Bing
Le campagna di malvertising sono molto frequenti sui motori di ricerca. I cybercriminali riescono ad abusare delle piattaforme di advertising per mostrare link sponsorizzati all’inizio della pagina dei risultati. Quando l’utente cerca “nord vpn“, Bing mostra il link al sito nordivpn.xyz che sembra quello ufficiale.
Cliccando sul link viene effettuato il redirecting al sito besthord-vpn.com che ha un design simile all’originale, in particolare alla pagina di NordVPN che ospita la versione per Windows. Con un clic sul pulsante Download App è possibile scaricare l’installer NordVPNSetup.exe da Dropbox.
Il sito besthord-vpn.com viene ora bloccato da Google Safe Browsing, ma i cybercriminali hanno già cambiato il redirecting al nuovo sito thenordvpn.info. L’eseguibile ha un certificato digitale di NordVPN, ma la firma non è valida. Oltre alla VPN, sul computer verrà installato anche il payload del malware, iniettato in MSBuild.exe. Si tratta di SecTopRAT, noto anche come ArechClient2, che permette l’accesso remoto e il furto di molti dati, tra cui quelli del browser e dei wallet di criptovalute.
Prima di cliccare sui link sponsorizzati e scaricare file è necessario prestare attenzione al dominio (spesso è sufficiente leggere l’URL posizionando il puntatore del mouse su link e pulsanti). Per limitare i rischi è possibile usare un ad blocker che nasconde le inserzioni dei motori di ricerca.
Ti potrebbe interessare
8 apr 2024