Attenti ai Google Ads, sono usati dagli hacker per nascondere pericoli: ecco come difendersi
Il servizio Google Ads può essere utilizzato dagli hacker per diffondere malware sul proprio computer in maniera del tutto celata e indisturbata.
A quanto pare, questi criminali della rete riescono ad aggirare i sistemi di sicurezza per veicolare malware tramite siti web o annunci sulla SERP (Search Engine Results Page) di Google. In tal modo fanno credere agli utenti di star visitando un sito o di star scaricando sul proprio PC un software del tutto innocuo.
Una tecnica piuttosto estesa per diffondere malware è quella di far passare siti web autorevoli come sicuri. L’hacker così, dietro le quinte, lavora per lanciare virus al sistema operativo. Lo fa soprattutto attraverso gli annunci di Google Ads, che al principio appaiono come innocui all’utente, ma dopo averci cliccato sopra, la parte “malevola” inizia a proliferare; in tal modo sfruttano le campagne pubblicitarie legittime.
Ci sono diversi software che, come vittime di malware, vanno per la maggiore. Troviamo Grammarly, MSI Afterburner, Slack, Audacity, μTorrent, Libre Office, Teamviewer, Thunderbird, Brave, OBS, Dashlane, Ring e AnyDesk. Mentre, tra i malware maggiormente utilizzati vi sono delle varianti di Raccoon Stealer e di Vidar Stealer. Esiste, inoltre, un altro sviluppatore di malware denominato IcedID.
Guardio Labs (estensione web di sicurezza e privacy) ha tentato di vederci più chiaro sul modo in cui gli utenti vengono esposti a tali siti o payload malevoli. Google Ads permette agli inserzionisti di inserire annunci a pagamento e indicizzarli tra i primi risultati della pagina di ricerca Google. I link a pagamento vengono contrassegnati come annunci. Tuttavia, molti utenti trascurano spesso questo dettaglio. Ecco perché credono di esser sempre davanti ad un sito legittimo. Google prevede delle contromisure di sicurezza in situazioni del genere. Purtroppo, però, gli hacker più esperti hanno trovato il modo di aggirarle.
Qual è il loro stratagemma, e come difendersi?
Guardio ha denominato masquerAd il “sito innocuo” creato da questi individui. Inoltre, spiega che “nel momento in cui questi siti masquerAd vengono visitati mediante l’annuncio sul motore di ricerca, il server reindirizza immediatamente i visitatori al sito canaglia e da lì al payload dannoso. Questi siti canaglia sono praticamente invisibili ai visitatori che non li raggiungono tramite il flusso promozionale che sfrutta il sito masquerAd mostrandolo come legittimo ai crawler, bot, visitatori occasionali e alle contromisure di Google”.
Nell’immagine appena sopra lo stratagemma di propagazione dei malware. Alcuni ricercatori citano una campagna di monitoraggio di attività malevole condotta a novembre 2022. In essa viene illustrato come il malware Raccoon Stealer sia stato distribuito insieme ad una versione legittima di Grammarly.
Dunque, il concetto chiave, secondo Guardio, è quello secondo il quale “la sicurezza è una questione di fiducia”. Da qui l’approccio basilare a cui tutti dovrebbero attenersi, ovvero “trust no one“. Pertanto non fidarsi di nessuno, controllare sempre gli URL (con eventuali refusi o typosquatting), ed evitare di cliccare a priori sui primissimi annunci che appaiono sui risultati di Google.