Il malware è stato creato appositamente per colpire gli esperti di hardware. Gli analisti di Malwarebytes hanno scoperto come si stiano sfruttando gli annunci di Google per diffondere una versione alterata dello strumento CPU-Z. Questo processo installa il noto malware Redline utilizzato per il furto di informazioni. Questa campagna, particolarmente ingegnosa, mostra quanto si stanno evolvendo le tecniche dei criminali online che ricercano guadagni illeciti.
Il malware “dedicato” agli esperti di hardware
Il sistema si basa su una pubblicità promossa su Google. Questa rimanda ad un sito fake clonato sulla base del sito di notizie WindowsReport. CPU-Z è un’utility particolarmente utilizzata per la profilazione dell’hardware su Windows. Dunque, quest’ultimo è diventato complice, anche se inconsapevolmente, di questo nuovo raggiro che riesce così ad eludere tutti i meccanismi anti-abuso messi in atto da Google. L’app che è stata compromessa diventa un mezzo per diffondere il malware Redline.
Il raggiro si basa proprio sull’utilizzare siti di notizie noti e familiari. Questi siti, infatti, non solo ispirano fiducia, ma ospitano anche link di download che sono legittimi. Imitando queste fonti, i cybercriminali provano a nascondere le loro attività dietro una finta credibilità. Quando gli utenti, convinti di essere al sicuro, cliccano su “Scarica ora”, scaricano inconsapevolmente un programma di installazione di CPU-Z che contiene uno script PowerShell che carica a sua volta il noto malware “FakeBat”. Nel processo viene utilizzato anche il certificato con firma digitale che riduce ulteriormente la probabilità di essere rilevati dai sistemi di sicurezza di Windows così come anche le diverse soluzioni di antivirus.
Come funziona la truffa
Questo processo di reindirizzamento porta i visitatori ignari su un sito di notizie contraffatto, che presentano domini come:
- cilrix-corporate[.]online
- realvnc[.]pro
- argenferia[.]com
- wireshark-app[.]online
- winscp-apps[.]online
- workspace-app[.]online
- cilrix-corp[.]pro
- thecoopmodel[.]com
- corporatecomf[.]online
Una volta avviato questo meccanismo entra in gioco Redline. Il potente malware ruba tutta una serie di informazioni e dati sensibili comprese password, cronologie di navigazione, applicazioni web e cookie. Più il sistema lavora più penetra in profondità, arrivando anche a rubare informazioni relative a portafogli di criptovalute. Questo fa comprendere ulteriormente la gravità di questa minaccia.
Per riuscire a tutelarsi da questi meccanismi è importante prestare sempre attenzione, anche quando si naviga tra i risultati proposti da Google Search. Bisogna sempre verificare la corrispondenza tra il sito che stiamo cercando, il suo dominio e quello che stiamo effettivamente visitando. In ultimo, è importante utilizzare anche sistemi come ad-blocker che possano effettuare screening automatici così che possano bloccare queste campagne di malware.