Oltre 4.000 Google Gruppi e oltre 3.500 URL ospitati su Google Drive e Docs sono stati sfruttati per distribuire due noti malware: Lumma Stealer per Windows e Ninja Browser per Linux. Lo scopo dei cybercriminali è rubare credenziali e stabilire persistenza sui computer di varie aziende, tra cui Microsoft, Meta, NVIDIA, Oracle e la stessa Google.
Servizi Google sfruttare per campagne malware
L’attacco inizia con la pubblicazione di messaggi che includono link su Google Gruppi. Sono scritti in modo da ingannare gli utenti che partecipano a discussioni su argomenti tecnici. Per i link vengono usati noti servizi di URL shortener oppure vengono sfruttati Google Drive o Docs. Durante il redirecting verso questi servizi viene identificato il sistema operativo installato sul dispositivo, in modo da distribuire il malware compatibile.
Nel caso di Windows viene scaricato un archivio ZIP. Quando l’ignara vittima esegue il file presente nell’archivio inizia l’infezione con Lumma Stealer. È un noto infostealer che raccoglie informazioni sul sistema e ruba numerosi dati, tra cui password e cookie dal browser, che vengono quindi inviati al server C2 (command-amd-control) dei cybercriminali.
Nel caso di Linux viene scaricato Ninja Browser basato su Chromium che dovrebbe offrire la privacy con ad blocker e VPN integrati. In realtà vengono scaricate estensioni (senza il consento dell’utente) che rubano dati, iniettano script nelle pagine web e installano un RAT (Remote Access Trojan) per il controllo remoto.
In entrambi i casi sono utilizzate varie tecniche per evitare la rilevazione dei malware. Le aziende rischiano il furto di informazioni riservate e frodi finanziarie. Gli attacchi sono difficili da rilevare perché sfruttano i servizi di Google. È necessario quindi analizzare gli URL e impostare specifiche regole per i firewall. Ovviamente i dipendenti non devono cliccare sui link condivisi.
Ti potrebbe interessare
19 feb 2026