Attenzione al nuovo malware: in che modo sfrutta Google per rubare i nostri dati sensibili
Andiamo a scoprire di più in merito a questa nuova e losca campagna di malvertising che mira a rubare i dati sensibili degli utenti
Brutte notizie per utenti della rete. Gli analisti di Malwarebytes hanno infatti scoperto un’operazione che sfrutta gli annunci di Google per diffondere una versione modificata dello strumento CPU-Z che aiuta a diffondere il famigerato malware Redline. Per chi ha già dimestichezza si tratta di uno strumento noto per il furto di informazioni.
Questa “nuova campagna” presenta notevoli somiglianze con un precedente attacco che utilizzava il malvertising di Notepad++ e non è altro che un’evoluzione delle tattiche di cui i cybercriminali si avvalgono per cercare di aumentare i loro guadagni illeciti. Non resta che capire come funziona il tutto.
In che modo il pericoloso malware può rubare i dati delle persone
Andando per gradi la pubblicità promossa su Google porta ad una versione clonata del rispettabile sito di notizie WindowsReport. In questo scenario CPU-Z strumento molto utilizzato per la profilazione dell’hardware del computer su Windows è diventato un complice del tutto inconsapevole di questo losco raggiro.
L’app compromessa diventa così un vettore per la distribuzione del virus Redline. Di fatto le vittime vengono reindirizzate attraverso una serie di passaggi progettati per eludere i meccanismi anti-abuso di Google. Vengono esclusi i visitatori non validi e ci si assicura che le “prede” vengano guidate verso siti di notizie contraffatti.
A tal proposito ecco i domini della discordia che possono essere dei veri e propri campanelli d’allarme:
- argenferia[.]com
- realvnc[.]pro
- corporatecomf[.]online
- cilrix-corp[.]pro
- thecoopmodel[.]com
- winscp-apps[.]online
- wireshark-app[.]online
- cilrix-corporate[.]online
- workspace-app[.]online
Tutto ruota quindi attorno all’imitazione di questi siti attraverso cui i malviventi della rete mirano a nascondere le loro attività facendole sembrare credibili e addirittura lecite.
Il passaggio chiave che ovviamente non bisogna mai portare a termine è quello di cliccare sul pulsante “scarica ora”. In questo modo i poveri malcapitati scaricano inconsapevolmente un programma di installazione dei CPU-Z con firma digitale che contiene lo script PowerShell. Trattasi di un caricatore di malware noto come “FakeBat”.
L’uso di un certificato valido durante il processo di firma riduce la probabilità di essere rilevato da parte degli strumenti di sicurezza di Windows. A quel punto agisce Redline che ruba i dati di estrema importanza tra cui password, cookie, cronologia di navigazione da vari browser di applicazioni web. Per difendersi sarebbe opportuno l’utilizzo di un ad-blocker per lo screening automatico grazie al quale è possibile tenere alla larga il temuto malware.