L’exploit pack RIG si perfeziona, mentre Neutrino è ormai finito nell’ombra

In questi ultimi mesi, gli esperti stanno osservando la progressiva migrazione delle campagne malware – nelle quali si ricorre all’utilizzo dei famigerati exploit pack – da Neutrino a RIG. Il ricercatore francese conosciuto con il nickname di “Kafeine” ha inoltre rilevato come lo scopo di tali attacchi sia rappresentato, sempre più di frequente, dalla diffusione di temibili Trojan bancari (ZeuS Panda, Gootkit, Betabot), e non tanto dalla distribuzione di programmi ransomware, come invece avveniva in precedenza.

Kafeine, nel suo post, ha ugualmente sottolineato il fatto che, nella circostanza, gli “operatori” che tengono le fila dell’exploit kit denominato RIG non hanno semplicemente occupato una nicchia lasciata vacante dalla marcata diminuzione delle attività condotte dai cybercriminali grazie a Neutrino (al quale, alla fine del mese di agosto, è stato inflitto un colpo decisivo da parte di Cisco, con il supporto di GoDaddy), ma stanno anche profondendo ogni possibile sforzo per consolidare la posizione di RIG sul mercato degli exploit pack. Le analisi condotte hanno evidenziato come RIG, adesso, faccia uso di un TDS interno (Traffic Distribution System), il quale consente, in pratica, di combinare vari payload nocivi all’interno di un unico flusso, variando gli stessi a seconda del tipo di sistema operativo e di browser sottoposti ad attacco, oppure in base all’ubicazione geografica della vittima – e permette, inoltre, di rendere molto più semplice il lavoro svolto quotidianamente con il traffic provider. La tecnologia TDS, secondo i dati forniti da Kafeine, ha fatto la sua comparsa sul mercato degli exploit kit con l’avvento di Blackhole, per poi scomparire dalla scena assieme ad Angler e Nuclear.

Lo scorso nove settembre, secondo quanto asserisce Kafeine, sulla scena underground della Rete è apparso un messaggio (su Jabber), riconducibile all’account del seller che forniva l’accesso a Neutrino: “we are closed. no new rents, no extends more” (“siamo chiusi. non si accettano nuove richieste di affitto, né estensioni dello stesso”). Verso la metà di settembre, i sistemi di monitoraggio implementati da Kafeine hanno individuato una nuova versione di RIG, caratterizzata da un metodo di offuscamento leggermente diverso (per quel che riguarda le landing pages), dall’impiego della codifica RC4 a livello di payload nocivo, da un comportamento simile a quello dell’EK Neutrino e dal dispiegamento di un ulteriore exploit, appositamente creato per sfruttare la vulnerabilità CVE-2016-0189. All’exploit pack RIG è stata ugualmente aggiunta un’apposita whitelist, riguardante gli indirizzi IP ai quali è consentita la chiamata delle relative API. Una simile misura preventiva è volta ad evitare il possibile rilevamento ed il conseguente blocco delle pagine contenenti gli exploit.

L’apparizione sulla scena del malware di una variante perfezionata di RIG (la versione VIP, così battezzata da Kafeine) sembra aver deciso in maniera ormai definitiva la sorte futura di Neutrino. Già attorno al 22 settembre scorso, negli ambienti underground della Rete non vi era più traccia di alcun annuncio o banner pubblicitario dedicato al kit di exploit in questione. Tuttavia, più o meno contemporaneamente, Kafeine individuava uno schema di infezione persistente, che vedeva il coinvolgimento di Neutrino; i suoi esecutori, evidentemente, non intendevano sacrificare gli abituali “servizi” in favore di RIG. La relativa campagna di malvertising veniva condotta sul territorio di Corea del Sud e Taiwan; il suo preciso scopo era rappresentato dalla distribuzione del cryptoblocker Cerber.

È del tutto possibile, sostiene Kafeine, che Neutrino sia stato semplicemente trasferito in una sorta di regime di utilizzo “privato”, come stiamo osservando attualmente per Magnitude, particolarmente attivo nei paesi asiatici. Gioca a vantaggio di tale supposizione anche il lungo intervallo che, nel corso del 2014, si è registrato relativamente all’attività di Neutrino; in tale anno, secondo Kafeine, l’exploit kit in causa è scomparso dall’arena di Internet nel mese di marzo, per poi riaffacciarsi sulla scena del malware nel successivo mese di dicembre.

Il picco di attività verificatosi, per RIG, nello scorso settembre è stato ugualmente rilevato da Heimdal Security e da parte del Centro SANS, specializzato nelle minacce Internet. In particolare, alla fine del mese scorso, i ricercatori dell’Internet Storm Center (ISC), struttura operante presso il SANS Institute, hanno osservato come gli autori della campagna malware Afraidgate, da essi monitorata, fossero passati dall’impiego di Neutrino a quello di RIG. Attualmente, nell’ambito di Afraidgate, l’obiettivo che si prefigge l’exploit è quello di diffondere l’ultima versione del famigerato ransomware Locky, denominata Odin dall’ISC SANS (in base alla nuova estensione assegnata ai file cifrati).

Malware.dontneedcoffee.com

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *