Abbiamo scoperto che gli attori malintenzionati hanno utilizzato il malvertising per distribuire il malware attraverso pagine web clonate di organizzazioni legittime. La distribuzione riguardava una pagina web della nota applicazione WinSCP, un’applicazione Windows open-source per il trasferimento di file. Siamo stati in grado di identificare che questa attività ha portato a un’infezione da BlackCat (alias ALPHV) e gli attori hanno anche utilizzato SpyBoy, un terminatore che interferisce con la protezione fornita dagli agenti.

Recentemente, il team di risposta agli incidenti di Trend Micro si è occupato di un’organizzazione mirata dopo aver identificato attività altamente sospette attraverso il servizio Targeted Attack Detection (TAD). Nel corso dell’indagine, gli attori malintenzionati hanno utilizzato il malvertising per distribuire un malware tramite pagine web clonate di organizzazioni legittime. In questo caso, la distribuzione riguardava una pagina web della nota applicazione WinSCP, un’applicazione Windows open-source per il trasferimento di file.

Le piattaforme pubblicitarie come Google Ads consentono alle aziende di mostrare annunci pubblicitari a un pubblico mirato per incrementare il traffico e le vendite. I distributori di malware abusano della stessa funzionalità in una tecnica nota come malvertising, in cui le parole chiave scelte vengono dirottate per visualizzare annunci malevoli che attirano gli ignari utenti dei motori di ricerca a scaricare determinati tipi di malware.