Falsi annunci che promettono l’accesso gratuito a TradingView Premium e altre piattaforme finanziarie: è questa l’esca della campagna di malvertising diffusa tramite Meta, Google e YouTube, che sta colpendo utenti e content creator. A individuarla e studiarla sono i ricercatori di Bitdefender Labs.

Tutto inizia con annunci sponsorizzati su Facebook, poi migrati verso Google Ads e piattaforme video come YouTube, che funzionano perché sono strumenti pubblicitari affidabili, di cui gli attaccanti abusano grazie ad account pubblicitari Google compromessi, canali YouTube verificati, rubati e riproposti con branding TradingView pressoché identico all’originale. L’efficacia è testimoniata dai dati relativi al singolo video promozionale “Free TradingView Premium – Secret Method They Don’t Want You to Know”, che ha totalizzato oltre 182.000 visualizzazioni in pochi giorni. La descrizione include i link per il download, che invece del contenuto legittimo scaricano eseguibili malevoli ben mascherati.

Il malware

Una delle peculiarità della campagna in questione riguarda la struttura del malware individuato e classificato da Bitdefender. L’installer è un file .exe di dimensioni elevate (oltre 700 MB) che elude le piattaforme di analisi automatizzata e dispone di funzioni anti-sandbox e verifica ambienti virtualizzati.

L’infezione si realizza in più stadi: la componente primaria stabilisce persistenza mediante la creazione automatica di un task schedulato, disattiva Windows Defender e avvia la fase successiva dell’attacco usando codice offuscato. La catena di attacco comprende vari livelli di tracciamento degli utenti per ottenere una segmentazione precisa delle vittime, che porta alla possibilità di bloccare richieste non gradite e alla visualizzazione di contenuti differenti a seconda di un indice di “affidabilità” degli obiettivi.

Il payload finale, che è il Trojan Agent GOSL, noto anche come JSCEAL o WeevilProxy, consente un’ampia gamma estesa di funzioni, dal keylogging al furto di cookie e credenziali, passando per la capacità di agire come proxy per intercettare tutto il traffico di rete, rubare dati dei wallet di criptovalute e garantire una persistenza prolungata sul dispositivo infetto. Tutto questo lo rende una delle varianti più sofisticate di stealer/remote access tool attualmente in circolazione.

L’infrastruttura criminale

Gli esperti di Bitdefender stimano che l’infrastruttura malevola abbia all’attivo oltre 500 domini e sottodomini. La distribuzione è capillare, con centinaia di account Google e migliaia di pagine Facebook coinvolte che diffondono quotidianamente nuovi annunci, prevalentemente in lingua inglese, vietnamita e thailandese. Le campagne in questione ruotano costantemente i domini utilizzati per evitare i sistemi di blacklist e ostacolare le attività investigative. La quantità di annunci creati supera le diverse centinaia ogni giorno.

Per supportare nella gestione della minaccia, Bitdefender ha pubblicato una lista aggiornata e completa degli Indicatori di Compromesso e consiglia agli utenti di diffidare delle offerte di accesso gratuito a software premium. Importanti poi le solite regole di cyber igiene: controllare attentamente i dettagli del canale o della pagina su cui è pubblicato l’annuncio, evitare download da fonti non ufficiali e adottare soluzioni antimalware evolute e strumenti di verifica dei link. Aziende di creators e gestori di canali YouTube, che sono maggiormente esposti a questa minaccia, sono esortati ad attuare (qualora non lo fosse già) la multi-factor authentication.