Infatti, gli esperti di Malwarebytes hanno rilevato un aumento delle campagne di malvertising che abusano di Google Ads, in particolare quelle di Notepad++. Quando gli utenti cercano il sito web del software per poterlo scaricare si vedono diversi link sponsorizzati all’inizio della pagina dei risultati delle ricerche.
Una volta effettuata la ricerca si tende a credere che il primo risultato sia quello che ci serve. In realtà, se si presta abbastanza attenzione all’URL del sito è possibile notare che non è quello giusto, ma porta invece a siti fasulli. Se il sito rileva l’uso di una VPN, l’utente viene portato su un sito esca che non ospita contenuti infetti. Se invece è rilevato il target desiderato, tramite l’uso dell’indirizzo IP, allora l’utente vedrà apparire una pagina simile a quella originale con un elenco di tutte le versioni scaricabili di Notepad++.
Cliccando su uno dei link per poter scaricare il software (ovviamente fasullo) viene copiato sul computer uno script di tipo HTA. Nel codice che viene scaricato è presente un link per un server remoto, dal quale viene scaricato Cobalt Strike. Il noto tool può essere utilizzato in modo legittimo, ma se usato da cybercriminali può fornire a quest’ultimi l’accesso da remoto al computer della vittima dell’inganno.
Sono tante le situazioni di pericolo che si celano su internet e il miglior modo per evitare di ritrovarsi in queste spiacevoli situazioni è avere un corretto e attento atteggiamento sul web. Per poter evitare di cadere nella trappola, infatti, è sempre meglio verificare il dominio mostrato nel link che viene sponsorizzato. Un altro modo per non incappare nelle truffe è non cliccare su link sponsorizzati, ma passare a quelli che non lo sono. Ultima alternativa possibile è quella che comprende l’uso di un ad blocker che in automatico nasconde le inserzioni di Google Search.