Oltre 8.500 sistemi compromessi da siti-trappola che imitano tool noti: ecco come funziona il nuovo attacco da SEO poisoning
Quando il pericolo si nasconde nei primi risultati di ricerca
In apparenza tutto è normale: digiti su Google “scarica PuTTY” o “download WinSCP”, clicchi il primo link, installi e vai avanti. Ma dietro quel link si nasconde un attacco informatico sofisticato. Una campagna globale di SEO poisoning ha colpito oltre 8.500 sistemi informatici, infettando sviluppatori e amministratori IT con una backdoor invisibile chiamata Oyster.
L’obiettivo? Prendere controllo remoto dei dispositivi compromessi, sfruttando la fiducia negli strumenti open source e nella visibilità dei risultati di Google.
Come funziona l’inganno: tra SEO manipolata e download truccati
I cybercriminali hanno creato siti clone di tool noti, come PuTTY e WinSCP, con indirizzi molto simili a quelli ufficiali: domini come updaterputty[.]com o putty[.]run, facili da confondere con quelli legittimi. Poi hanno utilizzato tecniche di blackhat SEO per posizionare questi siti in cima ai risultati di ricerca.
In alcuni casi, gli utenti sono stati indirizzati da annunci pubblicitari ingannevoli, inseriti direttamente nei motori di ricerca. Il tutto avviene in modo apparentemente “pulito” e professionale.
Il malware Oyster: una porta aperta ogni 3 minuti
Una volta scaricato e avviato il software contraffatto, viene installato Oyster, noto anche come Broomstick o CleanUpLoader. Questo malware crea una backdoor persistente: ogni tre minuti viene attivato un processo rundll32.exe che esegue il file twain_96.dll sfruttando l’export DllRegisterServer.
Risultato? L’attaccante ottiene accesso continuo al sistema e può eseguire comandi a distanza, indisturbato. Il tutto senza generare allarmi evidenti per l’utente.
Un attacco da APT: la firma dei professionisti
Secondo il rapporto di Arctic Wolf, l’intera infrastruttura fa pensare a un’operazione di tipo APT (Advanced Persistent Threat): obiettivi strategici, strumenti su misura, tecniche di lunga durata. Lo scenario peggiore è che si tratti di un attacco a catena di fornitura (supply chain), con effetti che potrebbero estendersi a livello aziendale e istituzionale.
Questo dimostra come oggi i motori di ricerca siano diventati vettori di attacco, sfruttando la fretta e l’abitudine degli utenti a fidarsi del primo risultato.
Iscriviti alla newsletter. Resta aggiornato!
Te la invieremo periodicamente per comunicazioni importanti e news sul mondo digitale. Potrai disiscriverti in ogni momento cliccando l’apposito link in calce alla newsletter.
Lascia un commento