Ecco come gli hacker sfruttano Google Ads per veicolare malware

Una tecnica diffusa tra gli operatori di malware per diffondere i propri strumenti di attacco è quella di clonare siti web di software popolari e sfruttarli per distribuire versioni trojan del software agli utenti che credono così di effettuare un donwload sicuro e legittimo.

Tra i software che vengono per la maggior parte usati a questo scopo vi sono Grammarly, MSI Afterburner, Slack, Audacity, μTorrent, Libre Office, Teamviewer, Thunderbird, Brave, OBS, Dashlane, Ring e AnyDesk. Alcuni tra i malware diffusi tramite questa tecnica sono varianti di Raccoon Stealer, una versione di Vidar Stealer e un altro caricatore di malware IcedID.

Guardio Labs fa luce sul modo in cui gli utenti vengono esposti a questi siti web, i quali vengono promossi ad un ampio pubblico sfruttando le campagne pubblicitarie Google Ads.

Il servizio Google Ads permette agli inserzionisti di promuovere, a pagamento, i propri siti tra i risultati di ricerca di Google, posizionandoli al primo posto della pagina dei risultati e spesso al di sopra del sito web ufficiale del progetto che si sta ricercando. I link che sono promossi a pagamento sono anche corredati da un piccolo contrassegno che li identifica come annunci, dettaglio che spesso viene trascurato dall'utente che è al contrario convinto di avere a che fare con un sito legittimo.

Per limitare i rischi Google prevede un livello di contromisure: se il sito di destinazione viene rilevato come pericoloso, la campagna viene bloccata e gli annunci rimossi, limitando quindi l'effettivo potenziale di questa strategia. Tuttavia gli attori delle minacce hanno trovato un modo per aggirare questo sistema di controllo.

Lo stratagemma è quello di portare le vittime che cliccano sull'annuncio verso un sito innocuo creato dall'attore di minaccia, che Guardio chiama "masequerAd", e successivamente reindirizzarle ad un sito dannoso che impersona la risorsa legittima ricercata dall'utente. 

"Nel momento in cui questi siti masquerAd vengono visitati mediante l'annuncio sul motore di ricerca, il server reindirizza immediatamente i visitatori al sito canaglia e da lì al payload dannoso. Questi siti canaglia sono praticamente invisibili ai visitatori che non li raggiungono tramite il flusso promozionale che sfrutta il sito masquerAd mostrandolo come legittmo ai crawler, bot, visitatori occasionali e alle contromisure di Google" spiega Guardio Labs.

Il payload, in formato zip o msi, viene scaricato da servizi di condivisione file come GitHub, Dropbox o il CDN di Discord, evitando in questo modo che gli antivirus in esecuzione sul computer della vittima non impediscano il download.  I ricercatori citano come esempio una campagna monitorata lo scorso novembre tramite la quale il malware Raccoon Stealer è stato distribuito assieme ad una versione legittima di Grammarly: gli utenti caduti in trappola hanno quindi ottenuto ciò che cercavano, con il "regalino" di un malware che si installa dietro le quinte senza lasciare traccia. 

Il rapporto di Guardio Labs si conclude con la puntualizzazione di un concetto chiave: "La sicurezza è una questione di fiducia, per questo ci rivolgiamo costantemente a fornitori affidabili e fidati per le nostre attività quotidiane sul web. [...] Questo concetto di "masquerAD" [abusa] della fiducia che a volte concediamo ciecamente a Google e ai suoi risultati di ricerca".

Da qui discende l'approccio basilare alla sicurezza che va sotto il nome di "trust no one", ovvero non credere a nessuno e utilizzare quel pizzico di scrupolo in più, quasi al limite della paranoia, ogni volta che si compie un'azione sul web. Nel caso specifico, verificare sempre gli url da cui si scaricano risorse, prestare attenzione ad eventuali caratteri anomali (il cosiddetto typosquatting) e quando si effettuano ricerche su Google evitare a priori di cliccare sugli annunci in cima all'elenco dei risultati.