Una recente campagna di distribuzione di malware che ha sfruttato la cassa di risonanza fornita dagli annunci sponsorizzati da Google Ads sui risultati di ricerca ha mietuto molte vittime di ransomware. La ricerca di software sui motori di ricerca nasconde spesso insidie ​​che si trasformano in veri e propri pericoli: annunci Google contenenti malware.

Secondo quanto scoperto dagli analisti della sicurezza di MalwareHunterTeam il malware "Rhadamanthys" (Figlio di Zeus in greco) veniva distribuito dalla nota minaccia DEV-0569.
Sembra che il motore di ricerca sia recentemente diventato un centro di attività dannose che fornisce un'assistenza cruciale agli aggressori che mirano agli utenti che vanno alla ricerca di programmi software noti come WinRAR, VLC, TradingView, Awesome Miner, LibreOffice, MS Office, LightShot e fotoritocco.

In un tweet del MalwareHunterTeam (@malwrhunterteam) del 25 Gennaio 2023 si legge:

Doing a search for "tradingview" in Google right now gives 2 malware ads.
Both are currently redirecting to: http[://]trading-terminal[.]top/index-set[.]html
Download: http[://]cdn-download[.]top/TradingView_setup[.]msi

L'aspetto sorprendente di questa vicenda è che i malintenzionati utilizzano tecniche SEO tradizionali per avvelenare i motori di ricerca, facendo in modo che i loro risultati non sicuri appaiano in posizioni elevate.
Le evidenze di tali intenzioni si erano già avute nel Febbraio 2022, ma dato che il numero delle vittime di questi attacchi è aumentato del 40% alla fine dell'anno precedente, attualmente stanno ricevendo molta attenzione.
Quindi, a quanto pare, sembra chiaro che gli attori delle minacce artefici di queste campagne non si limitano a distribuire i loro contenuti dannosi tramite piattaforme per il download di software o annunci pop-up che appaiono sullo schermo durante la visione di programmi TV illegali o di film in streaming su piattaforme insicure.
Secondo gli esperti, il rapporto di distribuzione tra piattaforme per lo streaming di contenuti illegali e download di software fraudolenti è superiore del 30% rispetto alla media.

I ricercatori ritengono che DEV-0569 possa avere qualche legame con la cyber gang Royal Ransomware e il team di Microsoft Threat Intelligence, in riferimento a questo argomento, ha fornito un rapporto approfondito alla società Alphabet Inc nel dicembre dello scorso anno. Questa prima campagna è stata riconosciuta dall’URL ads-check[.]com (già noto da novembre/dicembre 2022).

Un secondo tentativo associato al ransomware CLOP.

Viene svelata un'altra campagna malevola, dello stesso tipo e scoperta contemporaneamente alla precedente, che mira a diffondere il malware della banda criminale CLOP. L'organizzazione è nota come TA505 ed è stata collegata all'infrastruttura di CLOP ransomware.
I download di AnyDesk, Slack, Microsoft Teams, TeamViewer, LibreOffice e Adobe vengono effettuati in questo momento tramite Google ricerche. Il dominio "download-cdn[.]com", che ha consentito l'attribuzione dannosa in questa campagna, è stato utilizzato nello script PowerShell che infetta il computer della vittima come fonte di download per la DLL dannosa.

Microsoft sta man mano stilando una lista di tutti gli URL dannosi rilevati in modo da poter avvisare gli utenti Windows non appena vengono scoperti ma esiste già un meccanismo per mettere in guardia gli utenti online contro tali siti web fraudolenti.
Secondo i ricercatori è difficile determinare una stima precisa delle vittime; tuttavia, un tale Germán Fernández ha avuto accesso al pannello di controllo dell'avanzamento della campagna e ha rilevato alcuni numeri. Il tracciamento viene azzerato ogni 24 ore e il ricercatore ha confermato di aver visto un numero pari a 63.576, stimando questo valore come potenziali vittime per quel giorno o che, come minimo, sono entrate in contatto con il download del malware.