E' attualmente in corso una capillare campagna di malvertising finalizzata a reindirizzare i visitatori verso siti web contenenti l'exploit kit Fallout.

 

Partiamo dalle basi: la parola malvertising si compone di due "pezzi", ovvero "malicious", cioè dannoso", e "advertising" ovvero pubblicità. In breve, si intende un tipo di pubblicità ingannevole che serve in realtà a diffondere malware. Solitamente i cyber criminali infettano con malware di vario tipo pubblicità legittime e le inseriscono poi in siti web più o meno legittimi o conosciuti. Solitamente gli utenti cliccano, ingannati, sull'annuncio e vengono infettati con malware e trojan. 

 

Per exploit kit si intende invece una serie di software che servono a sfruttare vulnerabilità contenuti nei software o nel sistema operativo in uso su un dispositivo/computer al fine di ottenere l'accesso al sistema stesso o per installare malware. 

 

Una volta che l'utente ha cliccato sulla pubblicità compromessa e attivato l'exploit kit, questo tenterà di sfruttare una serie di vulnerabilità già note di Windows per ottenere l'accesso al sistema della vittima per poi tentare di installare una serie di malware, dal trojan bancario Dana all'infostealer Nocturnal (pensato per rubare dati sensibili e credenziali), fino al ransomware GlobeImposter. 

 

HookAds è una campagna che acquista spazi pubblicitari a basso costo su reti pubblicitarie di bassa qualità, comunemente usate su siti web per adulti, per giochi online ecc... Questi annunci contengono un javascript responsabile del reindirizzamento del visitatore attraverso una serie di siti di richiamo fino a quella contenente l'exploit: l'utente non si accorgerà neppure, mentre visita la pagina dannosa, che l'exploit kit sarà attivo e tenterà silenziosamente di installare il payload dei malware. 

 

Ad oggi sono state individuate ben due campagne: la prima, in corso l'8 Novembre, ha distribuito in svariate nazioni il trojan per il furto di credenziali bancarie DanaBot. L'altra invece è stata individuata il 10 Novembre e diffondeva il "rubainfo" Nocturnal e il ransomware GlobeImposter. 

 

 

Nella foto i reindirizzamenti dalla campagna HookAds.