I ricercatori di Silen Push lo hanno fatto identificato una serie di campagne di malvertising rivolte ai professionisti del design grafico, che sfruttano gli annunci di Ricerca Google per distribuire malware. Gli attacchi sono iniziati nel novembre 2024 e hanno utilizzato due indirizzi IP, 185.11.61.243 e 185.147.124.110, per ospitare più domini dannosi. Questi annunci reindirizzano gli utenti a siti Web che avviano download dannosi, rappresentando una significativa minaccia alla sicurezza per le vittime ignare.
Gli hacker sfruttano gli annunci Google per prendere di mira i grafici
Il vettore di attacco principale coinvolge domini fraudolenti che imitano software di progettazione grafica legittimi, con campagne lanciate quasi quotidianamente. I domini degni di nota collegati a questo schema includono frecadsolutions.com, freecad-solutions.net e rhino3dsolutions.io. Secondo quanto riferito, ciascuna campagna ha utilizzato indirizzi IP dedicati per mascherare l’attività dannosa dietro pubblicità apparentemente legittima.
Le campagne di malvertising sono continue dal 13 novembre 2024 e sfruttano numerosi domini per distribuire contenuti dannosi. La prima campagna è stata ospitata su frecadsolutions.com ed è diventata attiva il 6 novembre 2024. Le campagne successive hanno utilizzato nomi di dominio leggermente modificati per eludere il rilevamento, con campagne segnalate su siti come planner5design.net e variazioni di freecad-solutions.
Come dettagliato nei risultati di Silent Push, gli autori malintenzionati hanno orchestrato un’operazione ben strutturata. Sfruttando le vulnerabilità delle reti pubblicitarie, questi aggressori reindirizzano gli utenti dagli annunci Google a siti Web dannosi che offrono download di software ingannevoli mascherati da strumenti CAD. L’uso di strumenti ospitati su piattaforme affidabili come Bitbucket aggiunge credibilità ai collegamenti dannosi, aumentando la probabilità di download da parte di utenti ignari.
Inoltre, Silent Push sottolinea che l’identificazione di queste minacce dovrebbe essere semplice attraverso indagini di base sul dominio e sull’indirizzo IP, ma gli aggressori continuano a operare imperterriti, evidenziando potenziali difetti nelle capacità di monitoraggio degli annunci di Google. La ricerca indica che fino a dieci campagne distinte hanno utilizzato la stessa infrastruttura pubblicitaria, dimostrando l’approccio metodico degli aggressori.
Panoramica tecnica degli indirizzi IP e dei domini
Gli indirizzi IP coinvolti, 185.11.61.243 e 185.147.124.110, hanno registrato un’attività coerente con più domini univoci mappati su di essi. Il primo indirizzo IP è attivo dal 29 luglio e ospita oltre 109 domini univoci. Nel frattempo, il secondo IP ha iniziato ad operare il 25 novembre 2024 ed è attualmente collegato a 85 domini unici progettati per distribuire malware.
Il 14 novembre 2024, è stata lanciata una campagna su frecadsolutions.cc, utilizzando Bitbucket per l’hosting di file. Lo schema è continuato con la comparsa di freecad-solutions.net il 26 novembre, che inizialmente si collegava al primo IP ma successivamente è migrato al secondo. Ciò illustra uno sforzo coordinato tra gli aggressori per mantenere le proprie operazioni nonostante il tentativo di nascondere le proprie tracce attraverso la commutazione IP.
Una serie di campagne sono continuate fino a dicembre, attivando domini come rhino3dsolutions.net e planner5design.net, che hanno visto il loro hosting migrare tra i due IP dannosi. La natura continua di questi attacchi solleva preoccupazioni sull’efficacia delle attuali misure di protezione contro schemi di malvertising così sofisticati.
Per quanto riguarda la natura delle minacce poste, rapporti recenti suggeriscono che questi individui potrebbero anche sfruttare le vulnerabilità dei browser Web e delle reti pubblicitarie, aumentando il rischio per gli utenti che inavvertitamente fanno clic su questi annunci. La portata e la persistenza di queste campagne sottolineano la necessità di vigilanza sia tra i professionisti del design grafico che tra il pubblico in generale.
Credito immagine in primo piano: Pankaj Patel/Unsplash
