
Una nuova campagna di malvertising sarebbe stata scoperta utilizzare siti falsi che si mascherano da WindowsReport.com, il legittimo portale di notizie Windows, per diffondere l’istallazione di una popolare utility di sistema chiamata CPU-Z, che in realtà è un malware.

La campagna esaminata
In questa campagna è stata impiegata una tecnica nota come cloaking. Tale pratica che consiste nel cambiare la pagina visibile agli utenti rispetto a quella visibile da Google rientra a pieno titolo tra le tecniche di black hat SEO.
L’obiettivo dei criminali è ingannare gli utenti designati che cercano CPU-Z sui motori di ricerca, pubblicando annunci dannosi che reindirizzano al falso portale workspace-app[.]online. Per tutti gli altri utenti viene invece servito un blog innocuo con articoli generici.

Il programma di installazione MSIX proposto, firmato ed ospitato sul sito Web non autorizzato contiene uno script PowerShell ovvero un loader noto come FakeBat, che apre le porte per distribuire RedLine Stealer sull’host compromesso.
Redline Stealer
RedLine stealer è un noto malware utilizzato dai criminali per esfiltrare informazioni. Attivo dagli inizi del 2020, si tratta di un prodotto venduto come MaaS in abbonamento su Telegram ed è noto per essere utilizzato dagli IAB per raccogliere informazioni da rivendere ad attori malevoli specializzati in attacchi ransomware.
Conclusioni
“È possibile che l’autore della minaccia abbia scelto di creare un sito esca simile a Windows Report perché molte utilità software vengono spesso scaricate da tali portali invece che dalla loro pagina web ufficiale“, ha osservato Jérôme Segura di Malwarebytes e conclude “In un ambiente aziendale, potrebbe essere saggio verificare il checksum di un file per assicurarsi che non sia stato manomesso confrontando il suo hash sum SHA256 con quanto pubblicato sul sito Web del fornitore.”