Malvertising, una nuova campagna distribuisce Redline Stealer

Una nuova campagna di malvertising sarebbe stata scoperta utilizzare siti falsi che si mascherano da WindowsReport.com, il legittimo portale di notizie Windows, per diffondere l’istallazione di una popolare utility di sistema chiamata CPU-Z, che in realtà è un malware.

Confronto tra sito legittimo e falso. Fonte Malwarebytes

La campagna esaminata

In questa campagna è stata impiegata una tecnica nota come cloaking. Tale pratica che consiste nel cambiare la pagina visibile agli utenti rispetto a quella visibile da Google rientra a pieno titolo tra le tecniche di black hat SEO.

L’obiettivo dei criminali è ingannare gli utenti designati che cercano CPU-Z sui motori di ricerca, pubblicando annunci dannosi che reindirizzano al falso portale workspace-app[.]online. Per tutti gli altri utenti viene invece servito un blog innocuo con articoli generici.

Blog innocuo. Fonte Malwarebytes

Il programma di installazione MSIX proposto, firmato ed ospitato sul sito Web non autorizzato contiene uno script PowerShell ovvero un loader noto come FakeBat, che apre le porte per distribuire RedLine Stealer sull’host compromesso.

Redline Stealer

RedLine stealer è un noto malware utilizzato dai criminali per esfiltrare informazioni. Attivo dagli inizi del 2020, si tratta di un prodotto venduto come MaaS in abbonamento su Telegram ed è noto per essere utilizzato dagli IAB per raccogliere informazioni da rivendere ad attori malevoli specializzati in attacchi ransomware.

Conclusioni

È possibile che l’autore della minaccia abbia scelto di creare un sito esca simile a Windows Report perché molte utilità software vengono spesso scaricate da tali portali invece che dalla loro pagina web ufficiale“, ha osservato Jérôme Segura di Malwarebytes e conclude “In un ambiente aziendale, potrebbe essere saggio verificare il checksum di un file per assicurarsi che non sia stato manomesso confrontando il suo hash sum SHA256 con quanto pubblicato sul sito Web del fornitore.”

Su Salvatore Lombardo 258 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.