Una nova campanya de publicitat malintencionada de Google Search s’adreça als usuaris que volen baixar el popular editor de text Notepad++, que empra tècniques avançades per evitar la detecció i l’anàlisi.

Els actors de l’amenaça abusen cada cop més de Google Ads en campanyes de publicitat malintencionada per promocionar llocs web de programari fals que distribueixen programari maliciós.

Segons Malwarebytes, que va detectar la campanya de publicitat malintencionada de Notepad++, la campanya fa diversos mesos que està en marxa, però va aconseguir evadir el radar durant tot aquest temps.

Es desconeix la càrrega útil final lliurada a les víctimes, però Malwarebytes diu que és molt probable que sigui Cobalt Strike, que normalment precedeix els desplegaments de programari de segrest molt perjudicials.

Abús dels anuncis de Google

La campanya publicitària malintencionada de Notepad++ promou URL que, òbviament, no estan relacionats amb el projecte de programari, però utilitzen títols enganyosos que es mostren als anuncis de resultats de la Google Search.

En aquest cas, s’abusa molt d’aquesta estratègia de SEO i, com que els títols són molt més grans i més visibles que els URL, és probable que molta gent caigui en el parany.

Una vegada que les víctimes fan clic a qualsevol dels anuncis, la redirecció comprova la seva IP per filtrar els usuaris que probablement són rastrejadors, VPN, robots, etc., i els condueix a un lloc d’engany que no deixa caure res maliciós.

En canvi, els objectius legítims es redirigien a «notepadxtreme[.]com» que imita el lloc real de Notepad++, amb enllaços de descàrrega per a diverses versions de l’editor de text.

Quan els visitants fan clic en aquests enllaços, es fa una segona comprovació d’empremtes dactilars del sistema mitjançant un fragment de JavaScript per validar que no hi ha anomalies o indicis que el visitant estigui fent servir un sandbox.

Aleshores, a les víctimes marcades com a objectius adequats se’ls ofereix un script HTA, al qual se li assigna un identificador únic, que probablement permetrà als atacants fer un seguiment de les seves infeccions. Aquesta càrrega útil només es publica una vegada per víctima, de manera que una segona visita provoca un error 404.

L’anàlisi del HTA de Malwarebytes no va produir cap informació útil perquè no estava armat en aquell moment, però els analistes van trobar el mateix fitxer en una càrrega de VirusTotal del juliol.

Aquest fitxer va intentar connectar-se a un domini remot en un port personalitzat, i els investigadors van creure que probablement formava part d’un desplegament de Cobalt Strike.

Per evitar baixar programari maliciós quan busqueu eines de programari específiques, ometeu els resultats promocionats a la Cerca de Google i comproveu que hàgiu arribat al domini oficial.

Si no esteu segurs del lloc web real del projecte, consulteu la seva pàgina “Quant a”, la documentació, la pàgina de Viquipèdia i els canals oficials de les xarxes socials.