Sicurezza: così gli hacker usano Google Ads per veicolare malware
Da un lato c’è il malware, cioè un software progettato intenzionalmente per causare interruzioni a un computer, server, client o rete di computer, divulgare informazioni private e chi più ne ha più ne metta. Dall’altro c’è Google Ads, lo strumento, messo a disposizione da Google, per pianificare campagne di advertising sulla rete dei siti partner di Google o per campagne sulla rete di ricerca. In mezzo ci sono loro, gli hacker, che con le loro abilità informatiche sono in grado di introdursi e violare reti di computer illegalmente, senza alcuna autorizzazione.
Il team di esperti di Guardio Labs fa luce sul modo in cui gli utenti vengono esposti a questi siti web, i quali vengono promossi ad un ampio pubblico sfruttando le campagne pubblicitarie Google Ads. Si tratta di siti farlocchi mostrati tra le inserzioni pubblicitarie di Google. Tra i principali prodotti sfruttati per la campagna vi sono: Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird e Brave.
Ma come fanno questi cybercriminali a truffare un così alto numero di utenti? I siti promossi vengono posizionati nella parte superiore della pagina dei risultati, in questo modo gli utenti sono portati a pensare che sia tutto nella norma e che questi siti siano legittimi. Quando Google rileva un sito infetto, le inserzioni vengono immediatamente rimosse, ma in questo caso i cybercriminali sono riusciti a trovare un sistema per superare i controlli. Il trucco consiste nell’andare a creare siti innocui che vengono evidenziati quando l’utente usa determinate parole chiave. Da questo sito web falso può essere eseguito il download di software legittimo, ma l’installer MSI o l’archivio ZIP contiene pure il malware. Tra quelli maggiormente usati ci sono Raccoon e Vidar, che agiscono rubando numerosi dati dal computer e appartengono precisamente alla categoria degli info-stealer.
Ricapitolando. Lo stratagemma consiste dunque nel portare l’utente che clicca sull’annuncio pubblicitario verso un sito innocuo creato ad hoc, che Guardio chiama “masequerAd”, e successivamente indirizzarle di nuovo ad un sito dannoso che impersona la risorsa legittima ricercata dall’utente.
“Nel momento in cui questi siti masquerAd vengono visitati mediante l’annuncio sul motore di ricerca – spiegano gli esperti di Guardio – il server reindirizza i visitatori al sito canaglia e da lì al payload dannoso. Questi siti canaglia sono praticamente invisibili ai visitatori che non li raggiungono tramite il flusso promozionale che sfrutta il sito masquerAd mostrandolo come legittimo ai crawler, bot, visitatori occasionali e alle contromisure di Google”.
Insomma un vero e proprio “regalino” sgradito. Proprio per questo motivo gli esperti di Guardio tengono a sottolineare come “la sicurezza sia una questione di fiducia, per questo è importante rivolgersi a fornitori affidabili e fidati per le proprie attività quotidiane sul web. Questo concetto di masquerAD abusa della fiducia che a volte concediamo ciecamente a Google e ai suoi risultati di ricerca”.
