Sembra un download più che legittimo, e dunque sicuro, ma in realtà nasconde un trojan malevolo. Alcuni tra i più diffusi sono stati riconosciuti come varianti dei malware IcedID, Raccoon Stealer e Vidar Stealer, e vengono proposti utilizzando come vettore le campagne pubblicitarie di Google Ads. Scopriamo tutti i dettagli del fenomeno cybercriminale.
Google Ads utilizzati come vettori per diffondere malware: una tecnica sempre più diffusa tra i cybercriminali, che clonano siti web di software popolari in modo da convincere gli utenti malcapitati a scaricarne i contenuti, credendo di effettuare download totalmente sicuri e legittimi. In realtà, però, come é stato denunciato e spiegato dal portale di tecnologia Guardio Labs, sono trojan.
E sfruttare Google Ads serve agli hacker ad aumentare il più possibile il numero di potenziali bersagli. Il sistema di Google, infatti, consente di indicizzare i siti web degli inserzionisti ai primi posti dei risultati delle ricerche. Questo consente a determinati siti di essere, quindi, più semplicemente e velocemente raggiungibili.
Complice il fatto che alcuni utenti non si accorgano che siano annunci, insieme alla percezione – per chi invece se ne accorge – di trovarsi di fronte ad un sito sicuro proprio perché promosso da Google, ecco che i click aumentano. E di conseguenza, a causa del fenomeno tutt’ora in atto, anche le vittime degli attacchi informatici.
Come viene aggirato il sistema di sicurezza e controllo di Google Ads da parte dei cybercriminali
Google ha sviluppato numerose contromisure di verifica e controllo per assicurarsi che i siti degli inserzionisti siano sicuri e leciti. In caso questi vengano riconosciuti come pericolosi, la campagna pubblicitaria di Big G viene quindi bloccata e gli annunci vengono rimossi.
Per aggirare il sistema, gli hacker hanno però messo a punto un passaggio intermedio. Il primo “approdo” dopo il click sull’annuncio, infatti, é effettivamente un sito innocuo (definito da Guardio “masquerAd”). Ma questo poi reindirizza al sito dannoso, con il contenuto da scaricare che all’utente sembra quindi più che legittimo e che, al contrario, é compromesso dal malware.
Il malware, poi, viene scaricato in formato zip oppure msi da servizi di condivisione come DropBox e GitHub, in modo da impedire agli eventuali antivirus attivi sul computer della vittima di evitarne il download. Ed una volta aperto e installato il programma, il malware – ahinoi – é già nel sistema. Per questo é necessaria sempre attenzione massima, prima di scaricare qualsiasi cosa dal web, verificando e ri-verificando dettagli come l’indirizzo mostrato nella URL, anomalie presenti tra i caratteri e stranezze in fase di caricamento delle pagine. E valutare se, rispetto agli annunci, sia presente anche un’alternativa non sponsorizzata del sito web ricercato.