Il lancio del browser Arc per Windows è stato preso di mira da una campagna di malvertising su Google Ads, che ha indotto gli utenti a scaricare installatori infetti con malware.
L’ascesa di Arc Browser
Arc browser è un nuovo browser web che presenta un design dell’interfaccia utente innovativo, differenziandolo dai browser tradizionali. Lanciato a luglio 2023 per macOS, ha ricevuto recensioni entusiastiche da parte di pubblicazioni tecnologiche e utenti. Il suo recente lancio su Windows è stato molto atteso.
Cybercriminali colpiscono Arc per Windows
Secondo un rapporto di Malwarebytes, i cybercriminali hanno preparato la campagna di malvertising per il lancio del prodotto, pubblicando annunci dannosi su Google Search per attirare gli utenti che cercano di scaricare il nuovo browser web.
Google Ads ha un grave problema che consente ai criminali informatici di pubblicare annunci con URL legittimi, che è stato abusato per prendere di mira Amazon, Whales Market, WebEx e la piattaforma video di Google, YouTube.
Malwarebytes ha scoperto annunci promossi per i termini di ricerca “arc installer” e “arc browser windows” che mostrano l’URL corretto per Arc. Tuttavia, dopo aver fatto clic sull’annuncio, gli utenti vengono reindirizzati a domini con errori di battitura che assomigliano visivamente al sito web legittimo.
Se viene fatto clic sul pulsante “Download”, viene scaricato un installatore infetto da MEGA hosting platform, che scarica un payload malware aggiuntivo chiamato “bootstrap.exe” da una risorsa esterna.
L’API di MEGA viene abusata per le operazioni di comando e controllo (C2), inviando e ricevendo istruzioni e dati operativi.
L’installatore recupera un file PNG contenente codice malware che si compila e rilascia il payload finale “JRWeb.exe” sul disco del sistema della vittima.
Gli analisti di Malwarebytes hanno anche osservato una catena di infezione separata che utilizza un file eseguibile Python per iniettare codice in msbuild.exe, che interroga un sito esterno per ricevere comandi per l’esecuzione.
Gli analisti ritengono che il payload finale in questi attacchi sia un furto di informazioni, anche se non è stato ancora determinato.
A causa dell’installazione di Arc browser come previsto sulla macchina della vittima e dei file dannosi che vengono eseguiti in background in modo silenzioso, è improbabile che la vittima si accorga di essere stata infettata da malware.
Come proteggersi
I criminali informatici che sfruttano l’hype intorno al lancio di nuovi software o giochi non è una novità, ma continua a essere un metodo efficace per distribuire malware.
Ecco alcuni suggerimenti per proteggersi da tali attacchi:
- Evita i risultati promossi su Google Search: Ignora i risultati promossi quando cerchi software da scaricare.
- Utilizza blocchi annunci: Installa un’estensione per il browser che blocchi gli annunci per nascondere i risultati promossi.
- Bookmark official project websites: Bookmarka i siti web ufficiali dei progetti per future ricerche.
- Verifica l’autenticità dei domini: Assicurati di verificare l’autenticità del dominio prima di scaricare installatori.
- Scansiona i file scaricati: Utilizza uno strumento antivirus aggiornato per scansionare i file scaricati prima di eseguirli.
Seguendo queste best practice, puoi ridurre il rischio di infezioni da malware durante il download di software da Internet.
