Annunci Google promuovono falsa app CPU-Z con trojan incorporato

Sfruttando il nome e l’attendibilità di un sito legittimo, ovvero WindowsReport, alcuni cybercriminali hanno creato delle piattaforme fittizie, poi pubblicizzate attraverso annunci Google.

Pubblicità e siti clonati sono stati sfruttati per diffondere una versione modificata dello strumento CPU-Z contenente il temibile malware noto come Redline. La campagna di malvertising, individuata dagli esperti di Malwarebytes, segue un canovaccio già noto ai ricercatori.

L’app CPU-Z è un software gratuito, comunemente utilizzato per monitorare le componenti hardware di un computer. I dati raccolti dall’app spaziano dalle frequenze di clock della CPU fino alla velocità delle ventole, fornendo una panoramica completa sullo stato del PC in uso.

Giusto qualche mese fa, infatti, un’operazione simile aveva sfruttato Notepad++ per distribuire trojan attraverso annunci sul celebre motore di ricerca.

La falsa app CPU-Z promossa tramite annunci Google diffonde il temuto malware Redline

Cliccando sulla falsa pubblicità, la potenziale vittima viene “filtrata” rispetto ai crawler che setacciano il Web alla ricerca di siti malevoli. In questo modo, strumenti di analisi vengono direzionati verso piattaforme innocue, mentre gli utenti finiscono sul sito dove è disponibile il download dell’app modificata.

I siti sfruttati a tale scopo finora individuati risultano collegati ai seguenti domini:

• argentferia[.]com
• realvnc[.]pro
• corporatecomf[.]online
• cilrix-corp[.]pro
• thecoopmodel[.]com
• winscp-apps[.]online
• app wireshark[.]online
• cilrix-corporate[.]online
• app workspace[.]online

Questi, realizzati di proposito per disorientare l’utente, propongono in download di un file MSI. Lo stesso, dopo un’analisi dei ricercatori, ha dimostrato di contenere uno script PowerShell dannoso. A rendere particolarmente insidiosa la versione malevola di CPU-Z è la presenza di una firma digitale apparentemente legittima.

Quando la vittima cerca di attivare l’installazione, il loader recupera il payload di Redline da un URL remoto, con conseguente avvio dell’infezione vera e propria.

Per evitare casi come questo, oltre all’utilizzo di una antivirus, il consiglio è di controllare sempre l’URL del sito da cui si sta per scaricare un software. Risulta infatti molto importante affidarsi solo a siti ufficiali.