Il mio primo "eh?" momento è che l'URL abbreviato non includeva alcun riferimento a Google ma piuttosto un collegamento a rebrand.ly – un servizio senza legami evidenti con Google e con uffici a Dublino, Irlanda. Mi sembrava strano che un gigante di Internet utilizzasse i servizi di un altro provider e così ho avuto il sospetto. Ho poi riletto il testo dell'annuncio e, pur non essendo di madrelingua inglese, ho fatto fatica a credere che nessuno sembrasse aver riletto quel contenuto piuttosto confuso. 

Ho quindi controllato la sezione dei commenti sotto l'annuncio alla ricerca di suggerimenti su possibili frodi, ma con mia (piccola) sorpresa, sembrava che tutti adorassero "l'app". Riferirsi semplicemente all'app sembrava piuttosto generico, mentre altri lodavano l'intelligenza artificiale, senza mai menzionare Google. Alcuni davano “una valutazione a 5 stelle” (sic) – in una sezione commenti?! In qualche modo, miracolosamente, sembrava che tutti nei commenti avessero scaricato e testato l'app nello stesso momento, solo per scrivere i loro commenti esattamente nello stesso momento - che nel mio caso era "6 ore fa" - aggiungendo solo alla mia sospetti. 

Ho scelto di attivare il mio ambiente protetto per indagare un po’ più a fondo. Per prima cosa ho controllato il link rebrandly su VirusTotal, che è stato contrassegnato come dannoso da 3 fornitori su 90. Questo è un primo indicatore, ma non è alcuna prova, poiché potrebbe anche trattarsi di un falso positivo. 

Così ho fatto e ho aperto il collegamento in una finestra anonima del browser – che si è rivelata un'idea perfetta poiché il collegamento portava a un vero sito di Google – hxxps://sites.google.com/view/12345328?fbclid=IwAR2V87sG77nklWVC1tLS-R-fjrL_nNNDhjtDorxKHkN56g8oNVV09Edjgwo  

Se avessi effettuato l'accesso al sito mentre ero connesso al browser, in particolare con il mio account Google in Chrome, i criminali avrebbero potenzialmente ottenuto molte più informazioni su di me di quanto avrei voluto! 

Sebbene il sito sia ospitato sull'infrastruttura cloud di Google, il contenuto ovviamente non è correlato né fornito da Google stessa. Dà anche qualche altro indizio che qualcosa di losco sta per accadere, qui. Per prima cosa, diamo un'occhiata al titolo della pagina nella scheda del browser: “Trang chủ” (vietnamita per “home page”). Inoltre, sembra ovvio, ancora una volta, che il testo sul sito non è stato creato da un madrelingua o da un madrelingua inglese esperto. Ciò suggerisce che gli aggressori dietro questa campagna abbiano sede in Vietnam, ma ovviamente questa non è affatto una prova sufficiente.

Il pulsante “Download” porta quindi a hxxps://drive.google.com/u/0/uc?id=1sn-Lzt-2vJ_i-6I9lkbGgr_-IN2TVcA-&export=download – uno spazio personale su Google Drive, cercando di creare l’illusione che la campagna fosse un’offerta ufficiale di Google, sebbene fosse semplicemente un mezzo di distribuzione economico per gli aggressori. 

Il file scaricato è un archivio RAR – GoogleAIUpdata.rar. Scansionarlo o caricarlo su VirusTotal non porta a nulla di utile poiché è "protetto" con una password. Ci si potrebbe chiedere perché se si trattasse di un download autentico da Google, dici? Ebbene, questa “protezione” tramite password funge solo da modo semplice per gli aggressori di superare gli scanner di malware, nient’altro. Se apri l'archivio (senza decomprimerlo!) con la password "789" fornita nella pagina di download, vedrai che l'archivio contiene un programma di installazione in MSI (Programma di installazione del software Microsoft) formato - Google Bard AI setup.msi. Per fortuna, strumenti di estrazione dall'archiviazione come 7-zip offrono la possibilità di creare hash di file SHA-256 (e altri), che possono quindi essere cercati su VirusTotal, ancora una volta, senza la necessità di decomprimere un file potenzialmente dannoso. 

La ricerca del file fornisce l'ultima prova che si tratta di una campagna dannosa. 26/59 venditori contrassegnare il file come dannoso, con ESET che fornisce alcune informazioni in più nel nome del rilevamento. JS/ExtenBro.Agent.EK è un agente JavaScript che proverà a modificare le impostazioni (del tuo browser), impedendo l'accesso a determinati siti di fornitori di sicurezza per eliminarlo dopo un'infezione, ma principalmente serve come Adware, visualizzando annunci fastidiosi e indesiderati praticamente su qualsiasi sito Web a cui tenti di accedere e promettendo denaro agli aggressori per ogni annuncio visualizzato sul computer della vittima. 

Nel momento in cui scriviamo la campagna era ancora visibile in diverse varianti, ma l'ho segnalata e sicuramente non sarò l'unica a farlo. Purtroppo, sembra che questa potrebbe essere una campagna più grande poiché ora ho riscontrato altri esempi come "meta AI" o altri falsi annunci "Google AI". Dopotutto, questa campagna può essere considerata un disperato tentativo di guadagnare “un soldo veloce” con l'attuale e continua campagna pubblicitaria sull'intelligenza artificiale, diffondendo adware sempre così fastidiosi per fare ancora più soldi. Non si è trattato assolutamente di una campagna sofisticata. Ma la triste realtà è che le persone cadranno in tali truffe nella speranza di mettere le mani sulle ultime tecnologie. Un’altra triste verità è che non possiamo fare affidamento sui giganti della tecnologia come Facebook e Google per fornire ambienti puliti e sicuri al 100%.  

Spero che questo post del blog aiuti un po' a individuare le probabilità, i suggerimenti e come indagare su una potenziale truffa o attacco malware senza la necessità di strumenti costosi, direttamente da casa.