lunedì 21 giugno 2021

Come i cyber criminali diffondono malware per il furto dati tramite gli annunci pubblicitari PPC di Google

I malware infostealer, deputati al furto di informazioni dai dispositivi infetti, non sono affatto una novità, anzi: una volta avuto accesso ad un pc, comunicano agli attaccanti i dati relativi alla macchina, ma anche tutte le informazioni che possono raccogliere sull'utente, comprese credenziali, documenti, dati dai browser e, in alcuni casi, laddove siano presenti funzionalità di keylogging, perfino le battiture della tastiera. Inutile dire che questa tipologia di malware predilige il furto di credenziali bancarie e in generale di qualsiasi tipo di dato che possa essere rivenduto con profitto. Non è una novità neppure l'utilizzo da parte degli attaccanti di annunci pubblicitari per distribuire questi malware, ma da qualche tempo c'è un vero e proprio boom degli annunci pubblicitari PPC (pay per click) di Google: sono, per capirsi, quegli annunci che compaiono in cima ai risultati di ricerca mostrati da Google quando sono ricercate determinate parole chiave. 

I ricercatori di Morphisec hanno ricostruito questa catena di attacco, studiando e monitorando proprio la diffusione di 3 info stealer "di successo" come Redline, Taurus e Tesla ecc.. 

Come funziona la catena di attacco

Lo scopo del gioco è chiaro: utilizzare gli annunci a pagamento di Google per portare la vittima, passo dopo passo, a scaricare un file solitamente in formato .ISO. Già qui c'è un primo trucchetto anti antivirus: la maggior parte delle ISO analizzate sono superiori a 100 MB. Moltissimi scanner antivirus sono sviluppati per l'analisi di file minori, quindi file più pesanti semplicemente non vengono analizzati. 

Una volta montata, è proprio l'immagine .ISO che avvia l'installazione del malware: malware che solitamente portano con sé ulteriori tecniche di evasione degli antivirus e un livello variabile di offuscamento del codice per complicare quanto più possibile l'analisi dell'infostealer. 

Gli annunci pubblicitari come vettore
Google sta combattendo da anni la battaglia contro l'uso di annunci pubblicitari compromessi a pagamento: ad esempio offre una funzionalità chiamata SafeFrame, ma anche la possibilità di segnalare annunci sospetti. Oltre a ciò scansiona regolarmente gli ads in cerca di qualsiasi pericolo. Il rischio è così certamente minimizzato, ma non annullato: dall'altro lato ci sono cyber criminali che spendono cifre molto importanti (nell'ordine delle migliaia di dollari) per generare "lead" e ottenere il ritorno economico sperato dopo l'investimento in ads. 

Quali parole chiave sono utili per questo attacco?
Difficile dirlo, dipende dal momento e dal contesto: le campagne più recenti che sono state analizzate però danno spunti interessanti. La maggior parte degli annunci pubblicitari compromessi che sono stati analizzati dai ricercatori di Morphisec  venivano visualizzati dagli utenti che cercavano le parole:

  • Anydesk o Anydesk download;
  • Dropbox;
  • Telegram.

Queste parole chiave offrono un doppio vantaggio agli attaccanti: attirano infatti semplici utenti finali che vogliono usare tali servizi, ma anche dipendenti e collaboratori di aziende che ne fanno un uso lavorativo, soprattutto dopo il boom di lavoro da remoto e smart working. Inutile dire che dal pc di un dipendente che accede in remoto alla rete aziendale, gli attaccanti possono dilagare in tutta la rete aziendale per compiere movimenti laterali e rilasciare ulteriori malware. L'utente che ricerca queste parole chiave visualizza come primi risultati gli annunci PCC compromessi, viene reindirizzato verso landing page fake dalle quali scarica l'eseguibile fake del programma desiderato sotto forma di file .ISO: a quel punto viene semplicemente scaricata ed installata una versione "trojanizzata" del programma. 

L'immagine sottostante mostra tra di questi annunci a pagamento: la chiave di ricerca è "anydesk download". I risultati? I primi due annunci servono a distribuire lo stealer Redline, il terzo invece distribuisce l'infostealer Taurus. 

Fonte: https://blog.morphisec.com

L'unica buona notizia che ci danno i ricercatori di Morphisec è che le catene di infezione da loro studiate riguardando uno specifico range di IP localizzato negli Stati Uniti e pochissimi altri stati: gli IP non compresi in questo range sono reindirizzati verso le pagine legittime dei vari software ricercati.

Poco conta però, perchè truffe simili sono perennemente in corso ed è necessario che sia l'utente a prestare grande attenzione ai download che compie, verificando prima di tutto le fonti.
Google può verificare quanti più annunci possibili, ma interagendo con milioni di clienti che pagano per la pubblicità è difficile che possa verificarli tutti: inoltre l'uso di file .ISO da parte degli attaccanti offre una grande protezione dalle soluzioni antivirus. Infine gli attaccanti devono avere grandi disposizioni di denaro, riuscendo evidentemente a pagare di più degli inserzionisti legittimi: evidentemente non sono degli sprovveduti, che ormai hanno conoscenze "professionali" nel massimizzare i profitti evitando di essere scoperti.  La difesa in questo caso, come in molti altri casi, non viene da un'intelligenza artificiale o una app, ma risiede tutta nel Fattore Umano. 

Nessun commento:

Posta un commento