In queste ore Google sta pubblicizzando questo editor di testo, ma purtroppo nella sua versione infetta: l’ultimo pericolo per gli utenti.
Sono sempre tanti i pericoli che è possibile incontrare in rete ed adesso ne sarebbe spuntato un altro direttamente da Google. Il motore di ricerca starebbe sponsorizzando un editor di testo ma nella sua versione infetta.
Nel corso di questo 2023 abbiamo potuto vedere come in rete si celino tantissimi pericoli pronti a mettere in difficoltà gli utenti più inesperti. Infatti in questi anni abbiamo visto il proliferare delle truffe per phishing, con il quale i cybercriminali colpiscono l’utenza spacciandosi per enti autorevoli oppure note marche di abbigliamento. Ma questo non è di certo l’unica insidia per chi naviga abitualmente in rete. Infatti delle volte degli autentici pericoli potrebbero nascondersi in Google.
Tra i metodi più innovativi degli hacker troviamo anche il malvertising che permette loro di distribuire dei malware. Questi saranno distribuiti proprio attraverso i servizi di Google. A rilevare l’ultimo pericolo ci hanno pesato i ricercatori di Malwarebytes che hanno rilevato delle inserzioni pubblicitarie di Notepad++, vale a dire un popolare editor di testo presente in Microsoft. Il problema reale però sorge quando gli utenti proveranno a scaricarlo. Andiamo quindi a scoprire cosa accade cliccando ‘Download’.
Google sta pubblicizzando una versione infetta di un notepad: bisogna fare attenzione
Ancora una volta a rilevare l’ultimo pericolo ci hanno pensato gli esperti di Malwarebytes, che hanno avuto modo di denunciare l’incremento delle campagne di malvertising che utilizzano fin troppo Google Ads, vale a dire il servizio che Mountain View mette a disposizione per inserire le pubblicità. Quindi nel momento in cui l’utente cercherà il sito del software vedrà diversi link sponsorizzati che appariranno nella pagina dei risultati delle ricerche. Inoltre i più distratti riescono a leggere solamente il nome del popolare editor.
In questo modo però verranno ignorati quei link sponsorizzati che rimandano proprio a dei siti fake che ospitano uno script che installerà Cobal Strike. Nel caso in cui l’utente utilizzerà una VPN verrà portato su un sito che farà da esca prima di indirizzare l’utente in una pagina che invece è infetta. Mentre invece se il gruppo di cyber-criminali sarà in grado di individuare un target desiderato, allora l’utente vedrà una pagina che ricorda a tutti gli effetti quella in cui è presente l’elenco delle versioni di Notepad++.
Essendo uno degli editor di testo più utilizzati al mondo è quindi possibile capire che è facile cadere nella trappola. Alla vittima quindi apparirà un link per scaricare una di queste versioni infette e se verrà cliccato download, nel computer verrà copiato uno script HTA. All’interno del codice sarò presente anche un link ad un server remoto che servirà per scaricare Cobalt Strike. Questo noto tool è utilizzato dai cyber-criminali per ottenere l’accesso da remoto al computer.
Esiste un metodo però che ti permetterà di non cadere nella trappola dei cyber-criminali. Infatti questo consiste nel verificare il dominio mostrato nel link sponsorizzato oppure saltare direttamente al link senza sponsor. In alternativa sarà possibile installare ad blocker, in grado di nascondere le inserzioni di Google Search.