Le reti pubblicitarie di Google e Bing sono state utilizzate per diffondere malware a gruppi di utenti mirati, secondo recenti ricerche. Gli esperti di cybersecurity di Sophos hanno annunciato la scoperta di una nuova campagna di malware chiamata Nitrogen. In questa campagna, gli attori della minaccia utilizzavano gli annunci di Google e Bing per pubblicizzare strumenti popolari, come AnyDesk, WinSCP, TreeSize Free e Cisco AnyConnect VPN.
Dettagli sulla campagna Nitrogen
Quando una vittima cerca uno di questi strumenti (o trova l’annuncio da qualsiasi parte del web dove vengono mostrati gli annunci di Google e Bing) e clicca sull’annuncio, non viene reindirizzata ai siti web ufficiali di questi prodotti. Invece, viene inviata a siti web WordPress compromessi (o pagine di destinazione progettate specificamente per la campagna) dove le viene offerto di scaricare gli installer (di solito file .ISO).
Gli installer sono in alcuni casi legittimi, ma vengono forniti con software dannoso che finisce per scaricare minacce come Cobalt Strike, o simili. Questo dà agli attaccanti l’accesso al punto finale di destinazione e permette loro di installare malware di seconda fase, che può essere praticamente qualsiasi cosa, da infostealer a ransomware.
Analisi: perché è importante?
Questo non è il primo e probabilmente non sarà l’ultimo attacco che sfrutta reti pubblicitarie legittime come Google Ads e Bing Ads per diffondere malware alle sue vittime. Questo tipo di attacco è popolare a causa dell’enorme fiducia che queste piattaforme pubblicitarie godono presso il grande pubblico. Molti utenti non guardano due volte quando cliccano sullo spazio riservato ai risultati dei motori di ricerca per la pubblicità a pagamento e non controllano due volte la barra degli indirizzi del sito web che hanno appena aperto.
Il modo migliore per rimanere al sicuro è essere sempre all’erta, anche quando si cerca su Google e Bing, o si clicca su annunci di reti pubblicitarie note. Gli utenti dovrebbero sempre essere consapevoli degli annunci serviti dai motori di ricerca e utilizzare estensioni per il blocco degli annunci. Inoltre, dovrebbero considerare di limitare la capacità di montare sistemi di file virtuali tramite Group Policy Objects e fare attenzione a scaricare estensioni di file “anomale”.
