Google diffonde un falso installer di CPU-Z infetto da malware nei risultati di ricerca
Pratiche ingannevoli simili vengono utilizzate anche con Notepad++
Una campagna di malvertising ha utilizzato annunci su Google per distribuire un falso installer di CPU-Z contenente il malware Redline. Gli annunci sembravano provenire da una fonte legittima e molti utenti sono stati ingannati nel scaricare l'installer infetto. Anche Notepad++ è stato oggetto di una campagna simile. Google ha politiche contro questi siti, ma è difficile rilevare il contenuto dannoso dopo l'approvazione dell'annuncio. Gli utenti devono prestare attenzione alle parole "annuncio sponsorizzato" e al nome del sito web nei risultati di ricerca. È importante non ignorare gli avvisi dei software di sicurezza.
È stato creato un sito web appositamente per questa campagna, che è stata attiva dal 2 novembre fino a quando il proprietario ha spento il sito. Secondo le informazioni WHOIS, il nome di dominio è di proprietà di Namecheap e il server del sito web è ospitato da PQ Hosting. Va anche notato che, secondo i dettagli WHOIS, questo è stato aggiornato un giorno fa al momento della stesura dell'articolo, quindi è probabile che il proprietario del sito web possa aver cambiato il server di hosting del sito e lo abbia tenuto disattivato.
Gli attacchi che sfruttano la fiducia e la familiarità di CPU-Z tra gli utenti non sono nuovi; possono essere rintracciati fin dal 2021. Alcuni addirittura affermavano di fornire installer di CPU-Z, solo per scaricare e installare se stessi come downloader.
Questa campagna di malwaretising è simile a quanto visto con Notepad++, che può essere rintracciato fino al 2021. Alcuni utenti di Notepad++ hanno scaricato l'app da un annuncio posizionato sopra i risultati di ricerca e hanno sfruttato il sistema utilizzando lo stesso metodo.
Secondo la fonte, RedLine Stealer è un malware scoperto nel marzo 2020. È stato anche scoperto che si nascondeva dietro un tool per la privacy già dal 1° luglio 2021.
Google ha politiche contro tali siti web, ma anche se Google controlla il sito web e i contenuti scaricabili per eventuali software dannosi, non è difficile modificare i contenuti scaricabili dopo che l'annuncio è stato approvato. Questa è una sfida che la rete pubblicitaria e le società di hosting devono risolvere.
Creare un sito web a basso costo è facile e fornire dati di registrazione falsi a un registrar di domini e a un'azienda di hosting non richiede sforzo. Con l'accettazione delle criptovalute da parte di determinate società di hosting, è facile eludere la necessità di fornire informazioni genuine tramite carta di credito o avere la possibilità di mettere un utente in lista nera in base alle credenziali della carta di credito.
Visto che questa può essere un'attività redditizia, non sorprende che campagne simili vengano utilizzate contro app ben note come Notepad++ e CPU-Z. Fino a quando Google non implementerà ulteriori misure di sicurezza o almeno evidenzierà chiaramente gli annunci basati su parole nei risultati di ricerca di Google, gli utenti dovranno stare attenti alla dicitura 'annuncio sponsorizzato' sopra il link e notare il nome del sito web indicato nell'annuncio e nel risultato di ricerca.
Come al solito, è meglio non ignorare gli avvisi delle app di sicurezza, supponendo che possano essere falsi positivi. Avere l'occhio per individuare gli indizi di un problema è l'unico modo avanti per il momento.