A Giugno 2022 è stata analizzata una campagna Malware (segnalazione) che sfrutta Google Ads e tecniche di SEO Poisoning per distribuire il malware RedLine Stealer sottoforma di installer Notepad++(Drive-By Compromise ; tattica: Accesso Iniziale).

Obiettivo della campagna sono i sistemi italiani e reparti tecnici IT. Sono infatti 2686 i sistemi compromessi da RedLine e messi in vendita negli ultimi 90 giorni (prezzo medio 10$).

La vittima, una volta avviato il file di installazione, esegue inconsapevolmente il Malware RedLine Stealer.

Alcune considerazioni:

• RedLine è uno fra i Malware più attivi
• i sistemi vittima vengono venduti in 2 diversi Black Market
• gli account dei venditori sono circa 15
• prezzo medio di vendita per postazione: 10$
• 2686 i sistemi italiani messi in vendita negli ultimi 90 giorni

Come difendersi

• attivando un servizio specialistico per la protezione da Cyber Attack (Maggiori informazioni)
• applicando un blocco perimetrale per il dominio notepad-edit-text[.]org (rimuovendo [ ])
• ponendo maggiore attenzione ai siti internet utilizzati per il download di software da installare nei sistemi aziendali
• eseguire attività di Threat Hunting per la ricerca di potenziali compromissioni

Cosa non fare

• applicare blocco perimetrale per gli indirizzi IP (presenza di CDN Cloudflare)
• disinstallare versioni lecite del software Notepad++
• impedire l’accesso ai siti internet ufficiali del software Notepad++

SEO Poisoning

Il SEO poisoning, o search poisoning, è una tecnica offensiva in cui i criminali creano siti Web malevoli facendoli apparire fra i primi risultati dei motori di ricerca. In questo modo è possibile creare una campagna offensiva targettizzata per vittime specifiche che ricercano determinate parole chiave.

Lo scopo degli attaccanti è quello di convincere la vittima ad eseguire il download di software malevolo.

Analisi del Sito

Eseguendo la ricerca “notepad++” tramite il motore di ricerca Google ecco apparire il banner pubblicitario:

Il sito internet risulta essere una copia della versione originale di Notepad++. Al suo interno, al percorso https://notepad-edit-text[.]org/downloads, è presente la lista delle versioni precedenti, ma i relativi link non sono funzionanti e restituiscono il codice di errore 404.

L’unico link funzionante per il download del software malevolo è quello relativo alla versione 8.4.1.

Il Threat Actor ha erroneamente mantenuto un link non più funzionante all’indirizzo “https://notepad-plus-plus.apps4p[.]org/“

Analisi dei Domini

Il dominio notepad-edit-text[.]org è stato registrato il 23 maggio 2022, attualmente protetto dal servizio Cloudflare che ne maschera i reali indirizzi di origine.

Dal WHOIS dei siti non risulta possibile ottenere informazioni utili:

Registry Registrant ID: REDACTED FOR PRIVACY
Registrant Name: REDACTED FOR PRIVACY
Registrant Organization: unknown
Registrant Street: REDACTED FOR PRIVACY
Registrant City: REDACTED FOR PRIVACY
Registrant State/Province: VA
Registrant Postal Code: REDACTED FOR PRIVACY
Registrant Country: US
Registrant Phone: REDACTED FOR PRIVACY
Registrant Phone Ext: REDACTED FOR PRIVACY
Registrant Fax: REDACTED FOR PRIVACY
Registrant Fax Ext: REDACTED FOR PRIVACY

Registry Registrant ID: REDACTED FOR PRIVACY
Registrant Name: REDACTED FOR PRIVACY
Registrant Organization: unknown
Registrant Street: REDACTED FOR PRIVACY
Registrant City: REDACTED FOR PRIVACY
Registrant State/Province: VA
Registrant Postal Code: REDACTED FOR PRIVACY
Registrant Country: US
Registrant Phone: REDACTED FOR PRIVACY
Registrant Phone Ext: REDACTED FOR PRIVACY
Registrant Fax: REDACTED FOR PRIVACY
Registrant Fax Ext: REDACTED FOR PRIVACY

Analisi del IP C2

Il malware contatta l’indirizzo IP 194.36.177[.]124 geolocalizzato in Ucraina e già associato in precedenza ad altre operazioni riconducibili a Malware RedLine Stealer.

Indicatori di Compromissione – IOC

Domini dei siti malevoli:

• notepad-edit-text.org
• notepad-plus-plus.apps4p.org

IP del server C2:

• 194.36.177.124