C’è una nuova insidia per gli utenti del web: un pericolosissimo malware che ha tratto in inganno anche gli esperti informatici.
L’ultima pericolosa campagna scoperta dagli analisti di Malwarebytes somiglia molto a un precedente attacco hacker che si serviva del malvertising di Notepad++.
I truffatori della rete si fanno sempre più astuti e sofisticati elaborando tattiche sempre nuove per la loro ricerca di guadagni indebiti. Lo mostra l’ultima truffa che hanno architettato. Scopriamo come funziona e come difenderci nella maniera migliore.
Come funziona il malware che inganna anche gli esperti
La truffa che sta circolando in queste ore sfrutta gli annunci di Google allo scopo di diffondere una versione alterata dell’utility CPU-Z, molto usata per profilare l’hardware del pc su Windows. In questo modo trasformano un utile strumento in un inconsapevole complice dei loro raggiri.
L’app, così compromessa dai cybertrufatori, contiene infatti la classica polpetta avvelenata: l’insidioso malware Redline. Tramite una malevola pubblicità promossa da Google le vittime si vedono reindirizzare su una versione clonata del sito di notizie WindowsReport.
I truffatori in questo modo sono riusciti a eludere i meccanismi anti-truffa di Google: il reindirizzamento esclude i visitatori non validi, assicurando che soltanto gli obiettivi previsti vengano spinti verso un finto sito di notizie ospitati dai domini presenti in questo elenco:
- argenferia[.]com
- realvnc[.]pro
- corporatecomf[.]online
- cilrix-corp[.]pro
- thecoopmodel[.]com
- winscp-apps[.]online
- wireshark-app[.]online
- cilrix-corporate[.]online
- workspace-app[.]online
Il trucco è reso particolarmente pericoloso dalla consuetudine dei visitatori di siti di news tecnologiche, abituati a vedere ospitare link a download a siti affidabili. I truffatori si fasciano con le vesti di questa credibilità e fanno scaricare alle loro vittime – ovviamente del tutto all’oscuro dell’inganno – un programma per l’installazione di CPU-Z con firma digitale (file MSI). Al suo interno però contiene uno script PowerShell caricatore di malware, conosciuto come “FakeBat”.
Ecco come difendersi dal malware Redline
L’impiego di un certificato valido durante il processo di firma contribuisce a ridurre la possibilità di esseri rilevati dagli strumenti di sicurezza di Windows o dagli antivirus. Una volta scaricato e attivato, il loader va a recuperare da un URL remoto il payload di Redline Stealer, che a quel punto viene distribuito sul sistema del malcapitato.
In questa maniera si fa largo Redline, un pericoloso malware che ruba informazioni e dati sensibili (password, cookie, cronologia di navigazioni da diversi browser e app per il web). E non è finita qui: Redline è in grado di rubare anche informazioni dai portafogli di criptovalute.
Gli esperti consigliano di fare attenzione ai risultati di Google Search. In particolare va verificato che corrispondano il sito caricato e il dominio. In alternativa può tornare utile un ad-blocker per lo screening automatico.