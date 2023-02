Gli esperti di SentinelOne hanno scoperto una nuova campagna di malvertising che sfrutta le inserzioni di Google. I cybercriminali distribuiscono il malware Formbook attraverso un loader, denominato MalVirt, nascosto in software fasulli che vengono pubblicizzati come Blender. È sempre consigliata l’installazione di una soluzione di sicurezza che rileva e blocca queste minacce.

Malware virtualizzato

La piattaforma Google Ads viene usata spesso per mostrare siti fake nelle prime posizioni dei risultati delle ricerche. I ricercatori di SentinelOne hanno scoperto che cercando il software Blender vengono mostrati link a siti che sembrano legittimi, dai quali le ignare vittime scaricano in realtà il loader MalVirt.

Quest’ultimo è stato scritto in .NET e sfrutta una virtualizzazione basata su KoiVM per offuscare il codice e ostacolare l’analisi con i tool di sicurezza. I loader può rilevare ambienti virtualizzati e usa il driver di Process Explorer per modificare i processi in esecuzione.

Il loader scarica sul computer il noto info-stealer Formbook. Questo malware veniva solitamente distribuito tramite macro inserite nei documenti di Office. Microsoft ha disattivato l’esecuzione delle macro, quindi i cybercriminali hanno trovato un metodo alternativo.

Finché Google non riuscirà a bloccare le inserzioni fasulle, gli utenti dovranno prestare molta attenzione a siti pubblicizzati, anche se vengono mostrati in cima ai risultati. La soluzione più semplice (e gratuita) è quella di utilizzare un ad-blocker. È comunque consigliata l’installazione di un antivirus che blocca l’accesso ai siti fake e il download di file infetti.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.