Occhi aperti su Google in quanti gli hacker sfruttano proprio questo motore di ricerca per utilizzare numerosi malware.
Sono sempre di più i malware che si diffondono sul web al punto che gli utenti spesso fanno fatica a distinguere una comunicazione vera da una nata con il solo scopo di rubare dei dati. Dei pericoli che si nascondono dietro una semplice applicazione oppure un link su Google. Insomma, è importante sempre tenere gli occhi aperti.
Pare infatti che nell’ultimo periodo I ricercatori di Malwarebytes siano stati in grado di scoprire un’altra campagna di malvertising. In questo caso i cybercriminali vanno a sfruttare Google Ads per mostrare un’inserzione che però conduceva sul sito fake KeePass, anche se sembra che questa volta l’indirizzo utilizzato sia quello ufficiale. In verità però è stata usata una codifica Punycode.
Il sito fake da Google Ads
Spesso Google ADS viene usato per far vedere dei link sponsorizzati all’interno dei risultati di ricerca anche se molti sono coloro che riescono a scoprire un inganno, andando a leggere il dominio.
Pare però che questa volta sia stato utilizzato un metodo molto più complesso. Nel momento in cui un utente va a cercare su Google “keepass” tra i primi risultati trovano un inserzione pubblicitaria della pagina la quale sembra essere legittima in quanto possiede sia l’URL ufficiale che il logo.
Ma nel momento in cui si clicca sul link, si viene reindirizzati verso un sito temporaneo il quale va a verificare la presenza di sandbox o bot. Nel caso in cui il test viene superato, ci si trova di fronte ad un ennesimo re indirizzamento sul dominio xn--eepass-vbb.info.
All’interno della barra degli indirizzi però compare l’URL keepass.info ossia quello legittimo. Ovviamente il sito fake ha il medesimo design di quello originale. Sembra infatti che i cybercriminali abbiano sfruttato la codifica Punycode per effettuare la conversione dei caratteri unicode del nome del dominio, cambiandoli in caratteri ASCII.
Sembra che gli utenti questa volta facciano parecchia difficoltà a distinguere l’URL reale e quello fittizio. Andando a cliccare sul pulsante download, si va a scaricare un installer MSIX in cui è presente uno script Power Shell.
Nel caso in cui questo viene eseguito, si va a copiare sul computer il loader FakeBat. In ogni caso Google si è già mossa nella rimozione delle inserzione che Malwarebytes hanno scoperto anche se non mancano numerosi altri link sponsorizzati che conducono ad altri siti fake di Keepass.