skip to Main Content

Cybercrime, i malware ora passano dagli annunci Google PPC

di Pierguido Iezzi

Cybercrime, i malware ora passano dagli annunci Google PPC

Fra i malware più pericolosi nel panorama attuale ci sono i cosiddetti information stealer, letteralmente dei ladri di informazioni. Si tratta di programmi utilizzati da diversi gruppi del cybercrime in campagne del passato. Amadey, Taurus e Tesla dovrebbero essere nomi già conosciuti dagli addetti ai lavori. Recentemente, c’è stata un’evoluzione per quanto riguarda il vettore tramite il quale vengono rilasciati. Il canale è infatti quello degli annunci pubblicitari PPC (Pay-per-click) ai quali siamo abituati, dato che vengono mostrati da Google in cima ai risultati di ricerca di moltissime parole chiave.

Cosa sono gli information stealer?

Gli information stealer sono un gruppo di malware che comprende diverse tipologie specifiche di trojan e password grabber. Lo scopo principale di questi programmi è sottrarre informazioni di valore dalla macchina infetta, in particolare credenziali di accesso di account online (indirizzo e-mail e password), dati relativi a conti bancari o qualsiasi altro dato che possa essere utile direttamente o indirettamente all’organizzazione criminale.

Lo schema offensivo

Come spiegato dagli esperti di cybersecurity di Morphisec, le nuove catene di attacco relative agli information stealer hanno un aspetto comune: lo step iniziale, ovvero l’utilizzo di annunci pubblicitari a pagamento di Google per portare le vittime a scaricare un file ISO. Le dimensioni rilevanti di questa immagine da scaricare (sempre superiori a 100 MB), rendono inutili alcuni scanner anti-virus, che sono stati sviluppati per file di dimensioni minori. A seconda dei casi, una volta montata l’immagine ISO, viene eseguita l’installazione degli. I malware, quando installati, fanno leva su tecniche di offuscamento per evitare il rilevamento da programmi anti-virus, al fine di sottrarre le informazioni dalla macchina colpita.

Gli annunci pubblicitari come vettore infettivo dei malware

Non si tratta di una novità, dato che questa tecnica è utilizzata secondo modalità variabili da più di 10 anni. Google collabora costantemente con i propri clienti per offrire annunci sicuri ai propri utenti. Con funzionalità come SafeFrame e la possibilità di segnalare annunci sospetti, riduce il rischio in maniera significativa. Ma non totale. Infatti, i threat actor sono pronti a correre il rischio e anche ad anticipare cifre importanti a Google per ottenere “lead” e conseguentemente il ritorno economico che tanto vogliono.

Quali parole chiave interessano ai Criminal Hacker?

I termini di ricerca per i quali i gruppi del cybercrime hanno pagato Google danno spunti di riflessione interessanti. Infatti, gli annunci pubblicitari a pagamento venivano mostrati agli utenti statunitensi che cercavano:

  • Anydesk o Anydesk download;
  • Dropbox;
  • Telegram

Alla luce delle parole chiave messe nel mirino, è possibile colpire sia semplici utenti che intendono utilizzare questi servizi, ma soprattutto dipendenti o collaboratori di altro genere che cercano questi programmi per far fronte alle nuove necessità del lavoro da remoto. Ottenendo l’accesso su macchine personali dei lavoratori, è possibile mettere le mani su informazioni utili per altri attacchi orizzontali o per rilasciare un ransomware all’interno del sistema informatico di un’azienda per cui operano.

Come arginare il problema?

Considerando le dimensioni di Google e il numero di clienti che si interfacciano con il gigante della pubblicità digitale, è difficile immaginare che la minaccia dell’abuso degli annunci pubblicitari a pagamento scompaia del tutto per opera di “Big G”. Naturalmente, la multinazionale disporrebbe del budget e delle risorse umane per sviluppare sistemi automatizzati e manuali per arginare la questione. Ed è evidente lo sforzo in tale direzione a tutela della propria reputazione, degli inserzionisti e degli utenti finali. Ma in questo caso specifico, il semplice fatto di aver utilizzato un file ISO di grandi dimensioni ed essere stati disponibili a pagare di più degli inserzionisti legittimi per aggirare le difese di Google, ci dice evidentemente che si doveva fare di più. Ecco perché, almeno sul breve periodo, è bene rimanere molto vigili, dato che questo rischio continuerà a essere presente, ancora di più nel mondo post-pandemia, caratterizzato da una superficie d’attacco più ampia e frastagliata che mai.

I gruppi del cybercrime sono disposti a investire in previsione di ritorni altissimi

Dai dati raccolti da Morphisec, nel periodo intercorso da maggio 2020 e aprile 2021, il prezzo d’asta per la parola chiave “anydesk” ha avuto un valore variabile fra 0,42 $ e 3,97 $. Considerando la vastità dell’interesse potenziale per tale argomento, è chiaro che una campagna offensiva potrebbe richiedere costi iniziali di diverse migliaia di dollari. E solitamente le organizzazioni dei Criminal Hacker agiscono in maniera razionale, consci di poter ottenere profitti altissimi.

Le soluzioni

Per quanto riguarda le contromisure specifiche, bisogna concentrarsi sul Fattore Umano. L’obiettivo è rafforzare l’awareness, la consapevolezza del problema, fra tutte le parti coinvolte. Come farlo? Con corsi di formazione, in presenza o da remoto, che forniscano a dipendenti, collaboratori e decision-makers tutti gli strumenti necessari per valutare i rischi e comprendere gli scenari con occhio critico e il giusto know-how.

Non abbassiamo la guardia!

Back To Top