News

I nuovi acquisti di Cerber: proxy Tor2Web e redirect di Google

Dalla scorsa settimana Cisco sta osservando una campagna il cui scopo è quello di diffondere una nuova variante di Cerber tramite il servizio di redirect di Google ed i proxy Tor2Web. Secondo i dati raccolti da Talos, la divisione di Cisco specializzata in sicurezza IT, i malintenzionati che distribuiscono questo cryptoblocker si basano, abitualmente, sull’invio di messaggi di spam elaborati in maniera impeccabile, contenenti un allegato maligno.

“Questa campagna si distingue per il fatto che le e-mail non recano alcun allegato, sono di piccole dimensioni ed estremamente laconiche”, – scrivono i ricercatori sul blog. Secondo Talos, la nuova campagna di spam in favore di Cerber presenta qualcosa di simile alle tecniche adottate per la diffusione del ransomware Locky; per recapitare quest’ultimo, come è noto, i cybercriminali preferiscono utilizzare file di script.

Talos descrive l’attuale campagna Cerber come “una nuova fase, potenzialmente, nell’evoluzione dei metodi di diffusione del ransomware”, in cui si ricorre attivamente all’utilizzo della rete Tor e del Dark Web per cercare di occultare gli attacchi, ed ostacolare la mitigazione della minaccia.

Come hanno rilevato i ricercatori di Cisco, coloro che distribuiscono Cerber 5.0.1 hanno rinunciato agli allegati, per fare invece uso di e-mail di spam provviste di URL. Il messaggio-trappola malevolo invita il destinatario a cliccare sul link per scaricare un file che, potenzialmente, dovrebbe interessare la vittima: una foto curiosa, i dettagli di un ordine o di una transazione, la conferma della concessione di un prestito.

“Quando clicca sull’hyperlink, la vittima viene condotta verso un redirect di Google, il quale reindirizza (il browser) verso un documento Word nocivo, collocato sul Dark Web, – spiega Nick Biasini di CiscoTalos. – Visto che per accedere al Dark Web occorre un browser Tor, gli autori dell’attacco hanno in sostanza collegato i redirect di Google al servizio proxy Tor2Web”.

L’utilizzo di Tor2Web consente agli attacker di posizionare i propri file nel Dark Web, dove risulta difficile individuare e bloccare gli stessi. Come hanno osservato i ricercatori, “l’utilizzo di un servizio proxy, quale Tor2Web, garantisce l’accesso alla rete Tor senza che si riveli necessaria l’installazione locale del client Tor nel sistema della vittima”.

“L’impiego di Tor è stato osservato a più riprese, per quel che riguarda il ransomware, – commenta Biasini. – Questa rete, tuttavia, viene di solito utilizzata per le comunicazioni C&C, e per le notifiche dirette alle vittime, contenenti la richiesta di pagamento del riscatto e le istruzioni per far uso dei wallet Bitcoin. La variante più recente di Cerber (5.0.1) è di particolare interesse, per i ricercatori, in quanto tutta l’attività dannosa ad essa correlata è situata proprio nella rete Tor”.

La comparsa di Cerber 5.0.1 non significa, tuttavia, che siano state abbandonate le “incarnazioni” e le tecniche associate, in precedenza, a tale malware. Secondo Biasini, la maggior parte dei “rappresentanti” di questa famiglia viene distribuita con metodi tradizionali: attraverso l’exploit pack RIG e gli allegati allo spam. “Questa campagna si rivela importante per il fatto che essa segnala agli avversari di Cerber una nuova fase nell’evoluzione dello stesso”.

Il cryptoblocker Cerber è famoso soprattutto per il fatto che esso è in grado di esporre “ad alta voce” le proprie richieste. In-the-wild esso è stato individuato, per la prima volta, nel febbraio scorso; allora, questo encryptor veniva spesso diffuso attraverso l’exploit pack Magnitude o Nuclear. In maggio, gli esperti di FireEye hanno rilevato un repentino aumento del flusso di spam legato a Cerber, proveniente da botnet utilizzate, in precedenza, per recapitare il banker Dridex. In agosto è poi comparsa una versione di Cerber distribuita in franchising. “In questi ultimi mesi Cerber continua a cambiare tattica e si evolve rapidamente”, – constata Biasini.

Secondo i ricercatori, nel documento Word utilizzato nell’attuale campagna Cerber, è stata introdotta una macro dannosa. “Se la vittima apre il documento MS Word nocivo e attiva la macro, il downloader, attraverso il Windows Command Processor, richiama Powershell, che poi scarica (utilizzando Tor2Web) ed esegue il file nocivo PE32 di Cerber”, – si afferma nel post di Talos.

Cerber 5.0.1 chiede un riscatto pari a 1,4 Bitcoin (1.000 $). Se la vittima non effettua il pagamento entro cinque giorni, tale somma raddoppia.

“Quest’ultima campagna malevola ha dimostrato come le minacce IT basate sul malware estorsore continuino ad evolversi e a prendere sempre più slancio, – scrivono i ricercatori. – Il processo di infezione, con il tempo, diviene più complesso; gli autori degli attacchi sperimentano nuovi metodi, nel tentativo di evitare il rilevamento e rendere particolarmente difficile l’analisi”.

Per ridurre i rischi, Talos raccomanda di bloccare tutto il traffico Tor2Web e Tor nella rete aziendale: “Occorre che le società decidano quanto siano di fatto necessarie, per l’impresa, la rete Tor e Tor2Web, e se consentire il loro uso giustifichi i potenziali rischi per gli utenti della rete”.

Fonte: Threatpost

I nuovi acquisti di Cerber: proxy Tor2Web e redirect di Google

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox