Google Ads utilizzato per diffondere un Trojan camuffato da TradingView Premium

Una campagna pubblicitaria dannosa che ha indotto i creatori di contenuti e gli utenti ignari a scaricare software dannosi offrendo "accesso gratuito" a TradingView Premium ha ampliato notevolmente le sue operazioni, avvertono i ricercatori della sicurezza.

Questa campagna in corso, monitorata da Bitdefender Labs nell'ultimo anno, si dice sia passata dagli annunci Facebook di Meta ad apparire sia su Google Ads che su YouTube, mettendo a rischio molti più utenti.

Questa campagna era stata precedentemente segnalata da Hackread.com per aver sfruttato gli annunci di Facebook utilizzando falsi siti crittografici e immagini di celebrità per diffondere malware, ma ora ha evoluto le sue tattiche.

Le ricerche rivelano che i criminali informatici dietro questo attacco sono altamente organizzati: utilizzano oltre 500 indirizzi di siti web diversi e pubblicano ogni giorno migliaia di annunci pubblicitari dannosi in diverse lingue (principalmente inglese, vietnamita e tailandese).

Gestiscono i loro annunci prendendo il controllo di account aziendali legittimi e verificati su Google e YouTube, incluso l'account inserzionista Google dirottato di un'agenzia di design in Norvegia. Per vostra informazione, TradingView Premium è un servizio a pagamento che offre strumenti e funzionalità avanzate per l'analisi del trading finanziario.

Per apparire autentici, i truffatori dirottano un canale YouTube verificato, eliminano tutti i suoi contenuti originali e lo rinominano in modo che assomigli esattamente alla pagina ufficiale di TradingView, inclusi i loghi e la grafica del banner corretti. Copiano persino le playlist del canale reale in modo che quello falso appaia attivo, abusando del badge di verifica per indurre gli utenti a presumere l'autenticità.

Utilizzano quindi annunci a pagamento per promuovere video speciali nascosti alla vista del pubblico, chiamati "video non elencati", per evitare di essere scoperti. Uno di questi video, intitolato "Free TradingView Premium – Metodo segreto che non vogliono che tu conosca", ha raccolto oltre 182.000 visualizzazioni in pochi giorni grazie a questa pubblicità aggressiva.

Tuttavia, un'analisi più attenta rivela segnali d'allarme, come un handle di canale diverso (non @TradingView) e un basso numero complessivo di visualizzazioni registrate, il che sarebbe impossibile per la popolare piattaforma di trading.

L'obiettivo principale di questa campagna sembra essere quello di indurre gli utenti a scaricare un file pericoloso mascherato da app premium gratuita. Questo file è in realtà un tipo di spyware chiamato Trojan.Agent.GOSL , in grado di controllare da remoto il computer della vittima. Questo programma è progettato per rubare informazioni altamente sensibili, tra cui password, dati personali e dettagli del portafoglio di criptovalute .

Condivisa con Hackread.com, questa ricerca avverte i creatori di contenuti che la compromissione dei propri account aziendali non solo danneggia la loro reputazione, ma consente anche ai truffatori di impossessarsi del canale YouTube connesso e verificato e di usarlo come arma.

Ecco perché dovresti sempre scaricare il software dai siti web ufficiali. Bitdefender consiglia agli utenti di controllare attentamente l'handle del canale e il numero di iscritti, e di considerare qualsiasi pubblicità che prometta l'accesso premium gratuito a un'app che normalmente è a pagamento un serio campanello d'allarme.