I nuovi acquisti di Cerber: proxy Tor2Web e redirect di Google

Dalla scorsa settimana Cisco sta osservando una campagna il cui scopo è quello di diffondere una nuova variante di Cerber tramite il servizio di redirect di Google ed i proxy Tor2Web. Secondo i dati raccolti da Talos, la divisione di Cisco specializzata in sicurezza IT, i malintenzionati che distribuiscono questo cryptoblocker si basano, abitualmente, sull’invio di messaggi di spam elaborati in maniera impeccabile, contenenti un allegato maligno.

“Questa campagna si distingue per il fatto che le e-mail non recano alcun allegato, sono di piccole dimensioni ed estremamente laconiche”, – scrivono i ricercatori sul blog. Secondo Talos, la nuova campagna di spam in favore di Cerber presenta qualcosa di simile alle tecniche adottate per la diffusione del ransomware Locky; per recapitare quest’ultimo, come è noto, i cybercriminali preferiscono utilizzare file di script.

Talos descrive l’attuale campagna Cerber come “una nuova fase, potenzialmente, nell’evoluzione dei metodi di diffusione del ransomware”, in cui si ricorre attivamente all’utilizzo della rete Tor e del Dark Web per cercare di occultare gli attacchi, ed ostacolare la mitigazione della minaccia.

Come hanno rilevato i ricercatori di Cisco, coloro che distribuiscono Cerber 5.0.1 hanno rinunciato agli allegati, per fare invece uso di e-mail di spam provviste di URL. Il messaggio-trappola malevolo invita il destinatario a cliccare sul link per scaricare un file che, potenzialmente, dovrebbe interessare la vittima: una foto curiosa, i dettagli di un ordine o di una transazione, la conferma della concessione di un prestito.

“Quando clicca sull’hyperlink, la vittima viene condotta verso un redirect di Google, il quale reindirizza (il browser) verso un documento Word nocivo, collocato sul Dark Web, – spiega Nick Biasini di CiscoTalos. – Visto che per accedere al Dark Web occorre un browser Tor, gli autori dell’attacco hanno in sostanza collegato i redirect di Google al servizio proxy Tor2Web”.

L’utilizzo di Tor2Web consente agli attacker di posizionare i propri file nel Dark Web, dove risulta difficile individuare e bloccare gli stessi. Come hanno osservato i ricercatori, “l’utilizzo di un servizio proxy, quale Tor2Web, garantisce l’accesso alla rete Tor senza che si riveli necessaria l’installazione locale del client Tor nel sistema della vittima”.

“L’impiego di Tor è stato osservato a più riprese, per quel che riguarda il ransomware, – commenta Biasini. – Questa rete, tuttavia, viene di solito utilizzata per le comunicazioni C&C, e per le notifiche dirette alle vittime, contenenti la richiesta di pagamento del riscatto e le istruzioni per far uso dei wallet Bitcoin. La variante più recente di Cerber (5.0.1) è di particolare interesse, per i ricercatori, in quanto tutta l’attività dannosa ad essa correlata è situata proprio nella rete Tor”.

La comparsa di Cerber 5.0.1 non significa, tuttavia, che siano state abbandonate le “incarnazioni” e le tecniche associate, in precedenza, a tale malware. Secondo Biasini, la maggior parte dei “rappresentanti” di questa famiglia viene distribuita con metodi tradizionali: attraverso l’exploit pack RIG e gli allegati allo spam. “Questa campagna si rivela importante per il fatto che essa segnala agli avversari di Cerber una nuova fase nell’evoluzione dello stesso”.

Il cryptoblocker Cerber è famoso soprattutto per il fatto che esso è in grado di esporre “ad alta voce” le proprie richieste. In-the-wild esso è stato individuato, per la prima volta, nel febbraio scorso; allora, questo encryptor veniva spesso diffuso attraverso l’exploit pack Magnitude o Nuclear. In maggio, gli esperti di FireEye hanno rilevato un repentino aumento del flusso di spam legato a Cerber, proveniente da botnet utilizzate, in precedenza, per recapitare il banker Dridex. In agosto è poi comparsa una versione di Cerber distribuita in franchising. “In questi ultimi mesi Cerber continua a cambiare tattica e si evolve rapidamente”, – constata Biasini.

Secondo i ricercatori, nel documento Word utilizzato nell’attuale campagna Cerber, è stata introdotta una macro dannosa. “Se la vittima apre il documento MS Word nocivo e attiva la macro, il downloader, attraverso il Windows Command Processor, richiama Powershell, che poi scarica (utilizzando Tor2Web) ed esegue il file nocivo PE32 di Cerber”, – si afferma nel post di Talos.

Cerber 5.0.1 chiede un riscatto pari a 1,4 Bitcoin (1.000 $). Se la vittima non effettua il pagamento entro cinque giorni, tale somma raddoppia.

“Quest’ultima campagna malevola ha dimostrato come le minacce IT basate sul malware estorsore continuino ad evolversi e a prendere sempre più slancio, – scrivono i ricercatori. – Il processo di infezione, con il tempo, diviene più complesso; gli autori degli attacchi sperimentano nuovi metodi, nel tentativo di evitare il rilevamento e rendere particolarmente difficile l’analisi”.

Per ridurre i rischi, Talos raccomanda di bloccare tutto il traffico Tor2Web e Tor nella rete aziendale: “Occorre che le società decidano quanto siano di fatto necessarie, per l’impresa, la rete Tor e Tor2Web, e se consentire il loro uso giustifichi i potenziali rischi per gli utenti della rete”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *