I typosquatter tendono agguati agli utenti Mac sui domini ‘.om’

È stata recentemente scoperta una nuova cyber-campagna in cui viene fatto uso di siti web malevoli dislocati nella zona di dominio riservata all’Oman –.om. I malfattori provvedono intenzionalmente a registrare gli stessi, nella speranza che gli utenti Internet commettano errori di battitura, nel momento in cui essi digitano, sul proprio browser, gli URL relativi a siti ubicati nella vasta zona di primo livello .com. È di particolare interesse rilevare come il malware utilizzato nell’ambito di tale campagna attacchi esclusivamente i computer provvisti di sistema operativo OS X.

I ricercatori di Endgame, società specializzata in sicurezza IT, hanno individuato oltre 300 domini .om caratterizzati da denominazioni ampiamente note, quali, ad esempio, Citibank, Dell, Macys e Gmail. I siti web fasulli risultano ospitati presso vari hosting provider e, con ogni probabilità, vengono utilizzati da diversi gruppi di malintenzionati.

A quanto pare, il target specifico della suddetta cyber-campagna è rappresentato proprio dagli utenti Mac OS X. Come hanno rilevato gli esperti di Endgame, una volta giunto sul sito malevolo allestito dai typosquatter, il navigatore web provvisto di computer Apple visualizza un falso messaggio di popup, alquanto fastidioso, attraverso il quale si sottolinea la necessità di dover aggiornare Adobe Flash. In realtà, per mezzo di questo semplice trucco, i malintenzionati cercano di convincere l’utente ad effettuare il download di un modulo adibito alla visualizzazione “forzata” di contenuti pubblicitari, noto con il nome di Genieo.

Genieo, secondo Endgame, è una “variante ordinaria di malware/adware destinato al sistema operativo OS X”, che “di solito penetra nel sistema dell’utente sotto forma di aggiornamento per Adobe Flash”. Una volta introdottosi nel computer preso di mira, il malware provvede innanzitutto all’upload di un file “container” DMG, formato caratteristico di Mac OS X. “In seguito, Genieo si insedia stabilmente all’interno dell’host, installando se stesso sotto forma di estensione per i vari browser supportati (Chrome, Firefox, Safari)”, – scrive sul blog di Endgame Mark Dufresne, direttore della ricerca antivirus condotta da tale società.

Se il sito predisposto dai typosquatter viene visitato da un utente equipaggiato con PC Windows, lo stesso viene rediretto verso una rete pubblicitaria. “Le pagine web di destinazione, quasi sicuramente, saranno costellate di annunci pubblicitari, oppure questionari di ogni genere da compilare, magari con la promessa di ottenere prodotti elettronici in forma gratuita; altre volte, poi, si cerca di indurre l’utente a scaricare ed eseguire qualche non ben precisata suite antivirus, facendo credere, con tattiche o scansioni ingannevoli, che il computer di cui egli dispone letteralmente trabocca di “pericolosi” malware. Tutto questo non fa altro che provocare qualche grattacapo in più, o moltiplicare i flussi di pubblicità indesiderata, già di per sé molto consistenti”, – sostiene Dufresne.

Nel corso dell’intervista rilasciata a Threatpost, l’esperto ha fatto ugualmente notare: “Non abbiamo rilevato, per il momento, alcun tipo di escalation: nulla, quindi, che vada oltre le pratiche di typosquatting già illustrate, volte a distribuire il ben noto malware Genieo, oppure a reindirizzare gli utenti verso specifici network pubblicitari. Tuttavia, a giudicare dai volumi del traffico dirottato verso la zona .om, questo schema può essere di sicuro utilizzato, con un effetto non certo minore, anche per la diffusione di minacce IT ben più serie e temibili”.

Nel corso delle analisi condotte in merito alla campagna malevola qui descritta, i ricercatori hanno esaminato con attenzione sia i dati relativi alle registrazioni di nomi di dominio effettuate dai malfattori, sia gli hosting web adibiti alla distribuzione del malware. “Sono stati da noi complessivamente individuati ben 334 siti provvisti di suffisso .om, intenzionalmente associati a denominazioni ampiamente conosciute in Internet, dislocati presso 15 diversi hosting provider”, – constata Dufresne nel proprio blog post. Un terzo di tali domini è risultato collegato a indirizzi IP riconducibili ad uno stesso identico hoster, situato nel New Jersey.

“Come era prevedibile, lo stack software presente sui server in questione si è rivelato piuttosto uniforme”, – scrive inoltre Dufresne, aggiungendo che numerosi server adibiti ad ospitare i domini fraudolenti hanno evidenziato vulnerabilità ancora aperte; sono stati ad esempio rilevati dei bug che consentono l’esecuzione di codice da remoto. “Tali host potrebbero essere agevolmente utilizzati da altri cybercriminali allo scopo di distribuire contenuti dannosi alternativi (presumibilmente ancor più pericolosi), ben diversi dagli attuali”, – avverte l’esperto.

Threatpost, tramite e-mail, ha richiesto un commento in proposito da parte dell’agenzia preposta ad amministrare la zona di dominio .om – Telecom Regulatory Authority, non ricevendo tuttavia alcuna risposta al messaggio inviato. Nella circostanza, non può essere esercitata nessuna influenza attraverso l’ICANN (Internet Corporation for Assigned Names and Numbers), l’ente non commerciale incaricato, tra l’altro, della gestione del sistema dei nomi di dominio in Internet; come è stato precisato in un’apposita e-mail indirizzata a Threatpost da tale organismo, gli amministratori dei domini di primo livello nazionali (ccTLD; country code Top-Level Domain), a differenza di quanto avviene con i domini generici, non sono vincolati contrattualmente nei confronti dell’ICANN, le cui policy vengono esclusivamente applicate ai domini di primo livello generici, quali, ad esempio, com, net, edu e gov. Per tale motivo, tutte le eventuali controversie riguardanti l’utilizzo dei ccTLD vengono abitualmente risolte applicando il quadro giuridico in vigore nello specifico paese interessato.

Dufresne, inoltre, non esclude che i typosquatter abbiano sfruttato qualche falla o punto debole nella procedura di registrazione dei domini .om. Quando Endgame ha cercato di registrare un simile dominio, è stato richiesto alla società statunitense di confermare il proprio diritto riguardo alla registrazione di uno specifico dominio commerciale. “Non è chiaro, per il momento, in che modo i typosquatter siano riusciti a registrare un numero così elevato di domini in un lasso di tempo talmente breve”, – si chiede perplesso Dufresne.

L’unico elemento che i ricercatori hanno potuto stabilire con certezza è il fatto che “la stragrande maggioranza dei domini .om registrati risulta essere di natura malevola, ed il traffico che giunge ad essi è insolitamente elevato”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *