Il malvertising è un metodo particolarmente usato dai cybercriminali per distribuire malware sulla rete a portata di click per tutti i malcapitati che viaggiano su internet. Non sorprende sapere che, per questa pratica, i servizi più utilizzati sono quelli di Google. In particolare, Notepad++, il popolare editor di testo per Windows, è vittima costante di ultimi e frequenti attacchi.
Infatti, gli esperti di Malwarebytes hanno rilevato un aumento delle campagne di malvertising che abusano di Google Ads, in particolare quelle di Notepad++. Quando gli utenti cercano il sito web del software per poterlo scaricare si vedono diversi link sponsorizzati all’inizio della pagina dei risultati delle ricerche.
Notepad++: versione infetta
Una volta effettuata la ricerca si tende a credere che il primo risultato sia quello che ci serve. In realtà, se si presta abbastanza attenzione all’URL del sito è possibile notare che non è quello giusto, ma porta invece a siti fasulli. Se il sito rileva l’uso di una VPN, l’utente viene portato su un sito esca che non ospita contenuti infetti. Se invece è rilevato il target desiderato, tramite l’uso dell’indirizzo IP, allora l’utente vedrà apparire una pagina simile a quella originale con un elenco di tutte le versioni scaricabili di Notepad++.
Cliccando su uno dei link per poter scaricare il software (ovviamente fasullo) viene copiato sul computer uno script di tipo HTA. Nel codice che viene scaricato è presente un link per un server remoto, dal quale viene scaricato Cobalt Strike. Il noto tool può essere utilizzato in modo legittimo, ma se usato da cybercriminali può fornire a quest’ultimi l’accesso da remoto al computer della vittima dell’inganno.
Sono tante le situazioni di pericolo che si celano su internet e il miglior modo per evitare di ritrovarsi in queste spiacevoli situazioni è avere un corretto e attento atteggiamento sul web. Per poter evitare di cadere nella trappola, infatti, è sempre meglio verificare il dominio mostrato nel link che viene sponsorizzato. Un altro modo per non incappare nelle truffe è non cliccare su link sponsorizzati, ma passare a quelli che non lo sono. Ultima alternativa possibile è quella che comprende l’uso di un ad blocker che in automatico nasconde le inserzioni di Google Search.