Unul dintre cele mai populare editoare de text a fost infectat cu reclame rău intenționate. Acest incident a atras atenția asupra unei probleme în creștere în lumea digitală: malvertisingul. Malvertisingul, practica de a introduce coduri rău intenționate în reclame care par legitime, afectează atât site-urile mici, cât și pe cele mari5. În acest caz, editorul de text vizat a fost Notepad++, un instrument popular pentru Windows, precum și alte programe software similare, cum ar fi convertorii PDF4.

În ultimele săptămâni, s-a observat o creștere a campaniilor de malvertising prin căutările Google. Mai mulți actori de amenințare pe care îi urmărim și-au îmbunătățit tehnicile pentru a evita detectarea pe tot parcursul lanțului de livrare. Se crede că această evoluție va avea un impact real în lumea corporativă, cu utilizatorii care se compromit prin reclame rău intenționate, ceea ce duce în cele din urmă la implementarea de malware și ransomware4.

Campania de malvertising care a vizat Notepad++ pare să fi trecut neobservată pentru cel puțin câteva luni. Este unică prin modul în care identifică utilizatorii și distribuie încărcături sensibile la timp. Reclamele rău intenționate pentru Notepad++ au fost rulate de același actor de amenințare, dar prin diferite conturi de reclame, probabil compromise4.

Un prim nivel de filtrare are loc atunci când utilizatorul face clic pe una dintre aceste reclame. Acesta este probabil un control IP care respinge VPN-urile și alte adrese IP non-autentice și în schimb arată un site de diversiune. Cu toate acestea, țintele intenționate vor vedea o replică a site-ului real Notepad++ găzduit la notepadxtreme[.]com4.

Un al doilea nivel de filtrare are loc atunci când utilizatorul face clic pe linkul de descărcare unde codul JavaScript efectuează o amprentă a sistemului. S-a observat anterior că unele campanii de malvertising verifică prezența emulatoarelor sau a mașinilor virtuale și acesta este cazul și aici, deși codul utilizat este diferit și mai complex4.

Această campanie se distinge de altele prin modul în care încărcătura este descărcată. Fiecare utilizator primește un ID unic cu următorul format: CukS1=[șir de 10 caractere][13 cifre]. Acest lucru este probabil pentru scopuri de urmărire, dar și pentru a face fiecare descărcare unică și sensibilă la timp4.

În concluzie, acest incident subliniază importanța securității în lumea digitală și nevoia de a fi conștienți de amenințările potențiale, cum ar fi malvertisingul. Este esențial să ne protejăm dispozitivele și datele, să fim atenți la ce descărcăm și de unde, și să ne asigurăm că avem măsuri de securitate adecvate în vigoare.