Ultima modifica:
Attori malevoli minacciano il web con una nuova categoria di attacchi: il SEO Poisoning e Ads Phishing, cioè l'indicizzazione di pagine malevole su Google tramite gli Ads, con lo scopo di far scaricare contenuti malevoli.
Attacchi di SEO Poisoning & Ads Phishing
Fonte originale: Breaking Down the SEO Poisoning Attack, SentinelOneNelle ultime settimane sono emersi sempre più annunci pubblicitari malevoli sul web, in particolar modo all'interno del principale motore di ricerca utilizzato dall'84% delle persone al mondo: Google.
Questa tipologia di attacco, riconducibile alla categoria "malvertising", è meglio noto come SEO Poisoning o, più comunemente, Ads Phishing. Lo scopo e il funzionamento dell'attacco sono molto semplici: far scaricare alle proprie vittime del software dannoso falsificando il sito web di un noto brand o software, sfruttando però gli Ads offerti dai vari motori di ricerca per rankare in prima posizione la pagina malevola, prima ancora del sito originale.
Questa tipologia di attacco, riconducibile alla categoria "malvertising", è meglio noto come SEO Poisoning o, più comunemente, Ads Phishing. Lo scopo e il funzionamento dell'attacco sono molto semplici: far scaricare alle proprie vittime del software dannoso falsificando il sito web di un noto brand o software, sfruttando però gli Ads offerti dai vari motori di ricerca per rankare in prima posizione la pagina malevola, prima ancora del sito originale.
Vediamo un esempio concreto di questo attacco:
Blender è una nota suite open source per la modellazione di oggetti 3D. Il sito ufficiale (riquadrato in verde nell'immagine sopra) è https://www.blender.org/, e come tale dovrebbe essere il primo risultato di una ricerca per questo prodotto. Come si può evincere dall'immagine, però, così non è: sono stati indicizzati tramite i Google Ads 3 diverse copie malevole del sito originale, con l'intento di far scaricare a degli utenti ignari un programma malevolo anziché l'originale.
Paragoniamo l'aspetto grafico dei tre siti in questione rispetto all'originale:
Paragoniamo l'aspetto grafico dei tre siti in questione rispetto all'originale:
Sito originale
Primo sito malevolo
Secondo sito malevolo
Terzo sito malevolo
Come possiamo notare, i quattro siti sono praticamente uguali! Non mi meraviglierei affatto se un utente ignaro della truffa o poco attento scaricasse un programma malevolo anziché l'originale. E' vero che i domini sono diversi e che i link da cui vengono scaricati i malware in questione non sono fonti tradizionali di distribuzione software (un link punta a dropbox, un altro a google drive, un altro ancora a discord), ma ci hanno sempre insegnato che i primi risultati di un motore di ricerca sono i più pertinenti e affidabili...
beh, non è sempre così!
Così come Blender, anche altri prodotti sono stati presi di mira e copiati con lo stesso modus-operandi. Tra questi spiccano i nomi di Photoshop, GIMP, OBS Studio, VLC, 7-Zip, CCleaner, Rufus, Notepad++ e tanti altri programmi ancora.
In maniera molto similare, anche i principali password manager cloud-based sono stati presi di mira dalla stessa campagna di malvertising, con la differenza che per queste tipologie di applicazioni gli attaccanti sono interessati a rubare le credenziali delle vittime piuttosto che far scaricare loro dei programmi infetti.
Tra le principali piattaforme replicate spuntano i nomi di 1Password e Bitwarden, ma sono sicuro che anche altri brand come LastPass sono nel mirino dei criminali informatici.
Tra le principali piattaforme replicate spuntano i nomi di 1Password e Bitwarden, ma sono sicuro che anche altri brand come LastPass sono nel mirino dei criminali informatici.
Come proteggersi?
Visto che la problematica dipende principalmente da Google, l'unico modo per proteggersi effettivamente è quello di NON affidarsi ai risultati di ricerca pubblicizzati e sponsorizzati tramite Ads. Utilizzare un Ad-blocker può sicuramente fare comodo e limitare il problema, e anche utilizzare un antivirus di aggiornato di fascia medio-alto permette di restare al sicuro e di bloccare tutte le pagine sospette.
Non solo i motori di ricerca!
Sebbene la problematica del SEO Poisoning impatti i motori di ricerca, la stessa identica logica viene utilizzata anche per attuare truffe sui siti di acquisti online come ad esempio Amazon! Vi è mai capitato di trovare tra i primi risultati (o tra quelli sponsorizzati) prodotti scadenti o di dubbia provenienza? Beh, credo proprio di sì. Gli Ads non sono mai affidabili e spesso possono essere acquistati da chiunque. Prestate dunque sempre la massima attenzione.
Risorse esterne:

Hackers push malware via Google search ads for VLC, 7-Zip, CCleaner
Hackers are setting up fake websites for popular free and open-source software to promote malicious downloads through advertisements in Google search results.

Breaking Down the SEO Poisoning Attack | How Attackers Are Hijacking Search Results
SEO poisoning is gaining momentum as threat actors leverage malicious ads to deliver malware through web browser searches.


Bitwarden password vaults targeted in Google ads phishing attack
Bitwarden and other password managers are being targeted in Google ads phishing campaigns to steal users' password vault credentials.

Until further notice, think twice before using Google to download software
Over the past month, Google has been outgunned by malvertisers with new tricks.
Made with ❤ for Inforge