Una nuova campagna di malvertising di Google Ads, in concomitanza con il lancio del browser web Arc per Windows, induceva le persone a scaricare programmi di installazione contenenti trojan che li infettavano con payload malware.
Il browser Arc è un nuovo browser Web caratterizzato da un design innovativo dell’interfaccia utente che lo distingue dai browser tradizionali.
Lanciato nel luglio 2023 per macOS e dopo aver ricevuto ottime recensioni da pubblicazioni tecnologiche e utenti, il suo recente lancio su Windows era molto atteso.
I criminali informatici prendono di mira il lancio di Arc per Windows
Secondo a segnalazione di Malwarebytesi criminali informatici si sono preparati al lancio del prodotto, impostando annunci pubblicitari dannosi su Ricerca Google per attirare gli utenti che desideravano scaricare il nuovo browser web.
La piattaforma pubblicitaria di Google ha un problema significativo che consente agli autori delle minacce di pubblicare annunci che mostrano URL legittimi, di cui si è abusato per prendere di mira Amazzonia, Mercato delle balene, WebExe la piattaforma video di Google, Youtube.
Malwarebytes ha trovato risultati promossi per i termini di ricerca “programma di installazione di arc” e “finestre del browser di arc” che visualizzano l’URL corretto per Arc.
Tuttavia, dopo aver fatto clic sull’annuncio, gli utenti vengono reindirizzati a domini contenenti errori di battitura che assomigliano visivamente al sito Web autentico.
Se si fa clic sul pulsante “Download”, un file di installazione contenente trojan viene recuperato dalla piattaforma di hosting MEGA, che scarica un ulteriore payload dannoso denominato “bootstrap.exe” da una risorsa esterna.
L’API di MEGA viene utilizzata in modo improprio per operazioni di comando e controllo (C2), inviando e ricevendo istruzioni e dati operativi.
Il file di installazione recupera un file PNG contenente codice dannoso che compila e rilascia il payload finale, “JRWeb.exe”, sul disco della vittima.
Malwarebytes ha anche osservato una catena di infezione separata che coinvolge il programma di installazione che utilizza un eseguibile Python per inserire codice in msbuild.exe, che interroga un sito esterno per recuperare i comandi da eseguire.
Gli analisti suggeriscono che il payload finale di questi attacchi sia un info-stealer, anche se questo non è stato ancora determinato.
Dato che il browser Arc viene installato come previsto sul computer della vittima e i file dannosi vengono eseguiti di nascosto in background, è improbabile che la vittima si renda conto di essere stata infettata da malware.
Gli autori delle minacce che sfruttano l’hype che circonda il lancio di nuovi software/giochi non sono una novità, ma continuano a essere un metodo efficace per distribuire malware.
Gli utenti che desiderano scaricare software dovrebbero saltare tutti i risultati promossi su Ricerca Google, utilizzare blocchi pubblicitari che nascondono tali risultati e aggiungere ai segnalibri i siti Web ufficiali del progetto per un utilizzo futuro.
Inoltre, verifica sempre l’autenticità dei domini da cui stai per scaricare i programmi di installazione ed esegui sempre la scansione dei file scaricati su uno strumento AV aggiornato prima di eseguirli.