Notepad++: annunci malevoli sfuggiti ai controlli Google per mesi

La società di sicurezza Malwarebyte ha scovato una campagna di malvertising nella Ricerca Google, passata inosservata per diversi mesi. In particolare, gli autori delle minacce avevano creato dei falsi siti per scaricare il celebre editor di testo Notepad++, impiegando tecniche avanzate per eludere il rilevamento e l’analisi. Al momento non è ancora noto il l’entità del danno e delle vittime coinvolte in questa campagna. Malwarebytes pensa però che, per accedere ai computer delle vittime, i criminali abbiano potuto utilizzare Cobalt Strike, strumento (legittimo) per rilevare le vulnerabilità di penetrazione del sistema, ma molto usato anche dagli hacker.

Notepad++: la campagna di malvertising rilevata da Malwarebytes

La campagna di malvertising di Notepad++ promuove URL che non sono legati al software originale, e che utilizzano titoli fuorvianti negli annunci della ricerca Google. I cybercriminali abusano pesantemente di questa strategia SEO, poiché i titoli sono più grandi e visibili degli URL. Gli utenti spesso fanno caso solo al titolo e non si curano dell’URL, quindi è facile cadere nella trappola. Una volta che gli utenti cliccano su uno degli annunci, nella fase di reindirizzamento viene controllare il loro IP per filtrare casi di crawler, VPN, bot, ecc. Questi vengono infatti reindirizzati su un sito esca che non rilascia nulla di dannoso. Gli obiettivi legittimi vengono invece reindirizzati al sito “notepadxtreme[.]com”, che imita il vero sito Notepad++, con link per il download di varie versioni del software.

Cliccando sul link viene effettuato un ulteriore controllo, per verificare che non vi siano anomalie o che il visitatore stia utilizzando una sandbox. Alle vittime considerate “idonee” viene fornito uno script HTA, a cui viene assegnato un ID univoco che consente ai criminali di accedere al sistema dei malcapitati. Prima di scaricare un software specifico è bene controllare che il dominio a cui si desidera accedere sia quello ufficiale. Inoltre, è anche più sicuro saltare i risultati promossi su Ricerca Google e cliccare direttamente sul sito ufficiale. Per evitare qualsiasi problema, è possibile controllare la pagina delle informazioni della pagina ufficiale, i canali social o la scheda Wikipedia dedicata al software.