La botnet SoakSoak coinvolta nello schema Neutrino – CryptXXX

I ricercatori stanno rilevando un sensibile aumento del numero delle infezioni generate dal ransomware CryptXXX. Un ruolo fondamentale, nell’ambito di tale schema malevolo, viene attualmente svolto da nuovi siti web compromessi, preposti a reindirizzare gli utenti verso il famigerato exploit pack Neutrino. Secondo i dati di cui dispone Invincea, la violazione dei siti viene compiuta attraverso una vulnerabilità individuata nel plugin per WordPress denominato Revolutionslider, abitualmente utilizzato per gli slideshow.

Secondo Pat Belcher, direttore delle ricerche in ambito di sicurezza IT presso Invincea, dietro i nuovi attacchi si cela la botnet SoakSoak, comparsa in Rete nel 2014, e spesso utilizzata per eseguire la scansione automatizzata dei siti web, in cerca di vulnerabilità. “Stiamo osservando un repentino aumento degli attacchi riconducibili a questa tipologia, diretti ai componenti slideshow e video di siti Internet particolarmente frequentati”, – ha dichiarato l’esponente della società.

Tra le vittime della campagna di redirecting attualmente in corso troviamo già il sito ufficiale dell’Ente del Turismo del Guatemala ed il sito appartenente ad una società messicana operante nel settore delle forniture idriche. Tutte le risorse web compromesse reindirizzano inevitabilmente i visitatori dei siti verso le landing page che ospitano Neutrino, il noto exploit kit, particolarmente attivo nella diffusione di CryptXXX.

“Secondo le osservazioni da noi effettuate, le botnet simili a SoakSoak si stanno trasformando, e modificano il proprio payload nocivo: stiamo assistendo ad una sorta di “rifiuto” per quel che riguarda la distribuzione degli abituali Trojan-clicker e degli stealer di password, in favore di una crescente specializzazione, da parte loro, nella diffusione di software estorsori”, – constata Pat Belcher.

I botmaster di SoakSoak stanno ugualmente cambiando la tattica sinora adottata, visto che, adesso, vengono attaccati nuovi gruppi di siti web; tuttavia, così come in precedenza, la priorità viene assegnata alla piattaforma CMS WordPress, basandosi sul fatto che la maggior parte dei visitatori di tali siti è costituita da utenti del browser Internet Explorer in esecuzione in ambiente Windows. I siti WordPress risultano decisamente “popolari” anche presso gli operatori degli exploit pack. All’inizio dell’anno corrente, i ricercatori dell’Internet Storm Center (ISC), struttura operante presso il SANS Institute, avevano messo in guardia la community di Internet nei confronti di una temibile campagna exploit in corso proprio in quel momento, in cui si utilizzavano siti WordPress e Joomla! violati.

Gli esperti di Invincea stanno costantemente monitorando gli attacchi condotti, tramite la botnet SoakSoak, nei confronti dei siti WordPress nell’ambito dei quali si fa uso di plugin potenzialmente vulnerabili, come, ad esempio, Revslider. Pat Belcher ha precisato che attraverso Revslider gli hacker iniettano uno script malevolo, il quale, nel momento in cui gli utenti cliccano sullo slideshow o sul video, provvede a reindirizzare questi ultimi verso i siti dove si nasconde Neutrino.

Nel proprio report, stilato riguardo all’attuale campagna, Invincea ha ugualmente messo in evidenza come SoakSoak si sia rivelata essere, di fatto, una botnet molto aggressiva, e, al contempo, la vulnerabilità rilevata nel plugin Revslider risulti largamente diffusa. Google, già un anno e mezzo fa, aveva iniziato ad inserire in massa, in apposite blacklist, i siti WordPress compromessi attraverso SoakSoak. Allora, gli attacker penetravano all’interno delle risorse web legittime sfruttando una versione ormai datata (4.1.4) di Revslider. Purtroppo, nella nuova ricerca condotta da Invincea non viene indicata la versione del plugin WordPress utilizzata dai malintenzionati per violare i siti web.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *