I criminali informatici hanno colpito utilizzando la tecnica MasquerAds, clonando il portale di supporto Dell per diffondere malware. Attraverso annunci fraudolenti su Google Ads, gli utenti in cerca dell'utility RVTools venivano indirizzati su un sito civetta (rvtooles[.]info) graficamente identico all'originale.
Il file scaricabile conteneva un trojan (RAT) che era stato progettato per esfiltrare dati. Per proteggersi, gli esperti hanno consigliano di verificare sempre le URL, e quindi ignorare i risultati sponsorizzati dai motori di ricerca e controllare l'hash dei file prima dell'installazione.
Il fenomeno del MasquerAds, tecnica che vede i cybercriminali abusare del servizio Google Ads per posizionare siti malevoli in cima ai risultati di ricerca, continua a mietere vittime nel mondo IT.
Questa volta nel mirino è finito RVTools, il celebre strumento gratuito per l’inventario e la gestione di ambienti VMware, ampiamente utilizzato dai sistemisti di tutto il mondo.
La dinamica dell’attacco: un clone quasi perfetto
L’attacco inizia con una semplice ricerca su Google. L’utente, cercando rvtools per scaricare l’utility, si trova di fronte a un risultato sponsorizzato che sembra del tutto legittimo.
Advertising
Il dominio utilizzato, rvtooles[.]info è un classico esempio di typosquatting studiato per ingannare l’occhio umano.
Cliccando sull’annuncio, la vittima viene reindirizzata su una landing page ad-hoc che imita in modo il portale ufficiale di Dell Technologies per lo scarico di questo software.
La grafica, i loghi e persino la struttura dei menu sono riprodotti fedelmente per infondere un falso senso di sicurezza. E’ presente un link per scaricare il checksum.
Il payload malevolo: l’analisi VirusTotal
Il sito fake forniva un link diretto su Azure Front Door che in seguito veniva reindirizzato a un file ospitato su un Dropbox pubblico, questo permette di nascondere la destinazione finale dietro un dominio certificato e reputato sicuro dai firewall o altri strumenti di ispezione contenuti.
Secondo l’analisi effettuata su VirusTotal, ben 9 vendor di sicurezza su 68 hanno immediatamente identificato il file come trojan.
I motori di scansione evidenziano la presenza di un dropper o di un loader (spesso basato su script Python convertiti in EXE) progettato per stabilire una persistenza nel sistema della vittima ed esfiltrare dati sensibili.
A un primo sguardo, il file scaricato presenta già segnali d’allarme evidenti: non è firmato digitalmente da Dell e pesa ben 18 MB, più del doppio rispetto agli 8 MB della versione originale di RVTools.
L’analisi tecnica effettuata su Hybrid-Analysis rivela inoltre che si tratta di un eseguibile PE modificato tramite tool di infezione dinamica (come Shellter). Questa tecnica permette di “iniettare” codice malevolo all’interno di un file legittimo per ingannare sia antivirus che utenti.
Tracce residue
Sebbene la pagina principale sia stata cambiata in seguito delle segnalazioni e l’annuncio su Google è stato modificato, l’infrastruttura sottostante mostra ancora segni di attività.
Esaminando domini correlati come rvtoolvm[.]com, che ospitava alcuni contenuti come le immagini, è possibile trovare ancora asset grafici ospitati sui loro server, come immagini che richiamano direttamente il branding Dell e le schermate di rvtools.
Questo dimostra come le campagne di MasquerAds siano spesso supportate da una rete di domini specchio pronti a essere riattivati.
Altri recedenti
Non è la prima volta che assistiamo a simili operazioni. Come già riportato da Red Hot Cyber e da altre testate di settore, un caso analogo ha recentemente coinvolto il gestore di password KeePass. Anche in quel caso, un annuncio fraudolento su Google Ads portava a un sito clone che distribuiva il malware “FakeBat”.
La tecnica MasquerAds è particolarmente insidiosa perché sfrutta la fiducia intrinseca che gli utenti ripongono nel motore di ricerca più usato al mondo. Come abbiamo già spiegato in un nostro precedente approfondimento sul pericolo dei Google Ads, i criminali riescono a superare i controlli automatizzati di Google utilizzando tecniche di cloaking, mostrando contenuti puliti ai bot di scansione e il sito malevolo solo agli utenti reali.
Come difendersi
Attenzione ai domini: controllate sempre l’URL. rvtooles.info non è robware.net (il sito ufficiale originale) o il portale ufficiale Dell.
Ignorate gli annunci: per software critici o di amministrazione di sistema, evitate di cliccare sui risultati “Sponsorizzati”. Scorrete verso il basso fino ai risultati organici.
Verificate l’Hash: prima di eseguire tool con privilegi amministrativi, verificate sempre il checksum (MD5/SHA256) del file scaricato confrontandolo con quello fornito dal produttore ufficiale.
Uso di AdBlocker: l’installazione di estensioni che bloccano la pubblicità può prevenire la visualizzazione stessa di questi annunci pericolosi.
La cybersecurity non è solo una questione di software, ma di attenzione ai dettagli.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Ho iniziato la mia carriera occuparmi nella ricerca e nell’implementazioni di soluzioni in campo ICT e nello sviluppo di applicazioni. Al fine di aggiungere aspetti di sicurezza in questi campi, da alcuni anni ho aggiunto competenze inerenti al ramo offensive security (OSCP), occupandomi anche di analisi di sicurezza e pentest in molte organizzazioni.
Aree di competenza:Ethical Hacking, Bug Hunting, Penetration Testing, Red Teaming, Security Research, Cybersecurity Communication
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.