Nuovo incredibile trucco degli spammer “farmaceutici”: un’intera botnet in veste di colossale C&C

I ricercatori di Incapsula hanno individuato una campagna di spam di imponenti dimensioni, volta a promuovere i servizi offerti da numerose farmacie online non autorizzate, riconducibili alla classica tipologia “Canadian Pharmacy”. Per generare i flussi di spam, i malintenzionati utilizzano un’intera rete di siti web infetti, e gestiscono la stessa attraverso un’estesa botnet, composta da ben 80.000 computer compromessi dal malware. Nella circostanza, tutte le comunicazioni, tutti i comandi ed i payload vengono accuratamente codificati, allo scopo di eludere l’azione protettiva svolta dai filtri antispam, che operano in base a specifiche blacklist di URL e determinati indirizzi del mittente.

Gli organismi preposti a tutelare l’osservanza delle leggi vigenti, e le autorità che si occupano della regolamentazione e del controllo dell’industria farmaceutica, combattono ormai da tempo – ottenendo, peraltro, significativi successi – contro il fenomeno della vendita organizzata, attraverso Internet, di farmaci contraffatti, potenzialmente nocivi per la salute, e contro il libero commercio di medicinali abitualmente sottoposti a rigidi controlli. Attualmente, il giro d’affari di questo vasto mercato underground, secondo i dati resi noti da Incapsula, è addirittura stimato in 431 miliardi di dollari. L’oscuro business farmaceutico sommerso ascrivibile alle cosiddette Canadian Pharmacy è noto, ormai da tempo, per la sua particolare aggressività; coloro che ne sono proprietari si avvalgono costantemente dei servizi resi dagli spammer, i quali distribuiscono le relative e-mail pubblicitarie in maniera davvero massiccia, nel quadro di programmi di affiliazione specializzati.

Circa un mese fa, le soluzioni di sicurezza implementate da Incapsula hanno rilevato un inusuale, repentino incremento del flusso inerente alle richieste codificate nel formato base64. Approfondite indagini condotte in merito hanno evidenziato come tutte le richieste in questione fossero di fatto originate da una botnet sino a quel momento sconosciuta, di vaste dimensioni, preposta ad inviare appositi comandi a siti web infettati mediante una Web Shell WSO – una comune backdoor PHP abitualmente utilizzata per gestire da remoto sia i file, sia l’esecuzione di codice. Una volta effettuata la decodifica, i ricercatori hanno identificato tre diversi tipi di comandi, adibiti alle seguenti funzioni: modificare i file di configurazione .htaccess; iniettare il malware PHP; ottenere il payload.

Il comando relativo all’iniezione eseguita nel file .htaccess era anch’esso criptato; il suo scopo era quello di attivare un redirect da una pagina web inesistente (errore 404) ad una farmacia online facente parte del network Canadian Pharmacy. Gli esperti hanno poi rilevato come la maggior parte di tali negozi Internet, adibiti a punti vendita di prodotti illegali, fosse di fatto collegata ad un dominio di primo livello (TLD) situato nella zona .ru, sebbene nella denominazione dei siti fosse quasi sempre presente la parola Canadian (ad esempio, Canadian-Health&Care Mall).

Uno script PHP personalizzato, iniettato nel sito-vittima tramite un apposito comando (codificato) proveniente dalla botnet, riceve il payload – in seguito decodificato – da una fonte remota, e sulla base di quest’ultimo genera i messaggi e-mail di spam. Le analisi condotte hanno mostrato come i payload in questione contenessero i seguenti quattro parametri: $to_email, $subject, $body e $header (indirizzo del destinatario, oggetto del messaggio, testo principale, intestazione). L’invio dei messaggi di spam viene realizzato attraverso l’utilizzo della funzione mail(), ovvero tramite il server SMTP specificato nelle impostazioni del sito web (nel file di configurazione PHP).

Una volta identificato il malware PHP, i ricercatori hanno avuto l’opportunità di studiare ancor più da vicino, con maggiore attenzione, il payload da esso ricevuto. Nel corso del monitoraggio eseguito sono state individuate centinaia di migliaia di varianti del payload, ed ognuna di esse comprendeva la pubblicità di un prodotto: si trattava, in genere, di compresse di Cialis da 20 mg, o di pillole di Viagra da 100 mg. Nella circostanza, la “rozzezza” dei testi indicava chiaramente come gli stessi fossero stati creati in maniera automatizzata. L’elemento che ha maggiormente stupito gli esperti, ad ogni caso, si sono rivelati essere i notevoli sforzi profusi dai malintenzionati per offuscare il payload.

Con il preciso intento di proteggere i dati ritenuti di particolare importanza, gli spammer sono ricorsi per ben otto volte all’algoritmo base64, creando otto livelli di codifica; altri tre livelli di offuscamento sono stati poi riservati ad ogni parametro separato dalla barra verticale (‘|’). In ragione di una simile struttura, così complessa, gli esperti di Incapsula hanno battezzato la nuova campagna di spam con il singolare appellativo di B64ryoshka (pronunciato come “Ba-trio-shka”, in assonanza al termine “Matrioshka”, la tipica bambolina russa che si compone di vari pezzi, di diverse dimensioni). Tutti i payload B64ryoshka intercettati contenevano un link destinato a condurre verso un URL inesistente, oppure verso un ulteriore dominio compromesso.

L’intero schema fraudolento è basato, in pratica, su siti web compromessi che “lavorano” in coppia: uno invia lo spam; l’altro, invece, reindirizza i visitatori verso la farmacia online che si intende pubblicizzare. Gli autori della campagna B64ryoshka, peraltro, dispongono di un’intera rete di queste “belle coppiette”.

L’ampia portata della campagna di spam in questione è ugualmente testimoniata dall’elevato numero di piattaforme di e-commerce individuate attraverso i messaggi e-mail pubblicitari: ben 51 siti web, in totale. Secondo Incapsula, questi ultimi sono situati in Cina, Malaysia, Vietnam, Indonesia, Francia, Romania, Russia, a Taiwan ed in Ucraina. Le ulteriori ricerche effettuate riguardo agli indirizzi IP di tali siti Internet hanno poi consentito di individuare altri 1.005 domini attivi, presumibilmente utilizzati dagli spammer. Di questi, il 70,2% fa uso di servizi di web hosting russi; i rimanenti domini si avvalgono, invece, di servizi di hosting erogati in Francia.

I ricercatori sono rimasti decisamente impressionati anche dalle imponenti dimensioni della botnet attraverso la quale vengono realizzati il controllo e la gestione del network di siti web-esecutori. In due sole settimane di monitoraggio delle comunicazioni C&C sono stati rilevati 86.278 indirizzi IP unici, sparsi in tutto il mondo. La maggior parte di essi si è rivelata essere ubicata in Russia (11,5%), Indonesia e Vietnam (8,7% e 7,9%, rispettivamente). È di particolare interesse osservare come, a giudicare dai relativi fingerprinting, nella maggior parte dei casi i comandi risultassero provenire da dispositivi che utilizzavano un browser web, quali possono essere, ad esempio, i PC di cui viene fatto uso in ambito domestico. Gli esperti ritengono che questi dispositivi siano stati compromessi per mezzo di attacchi a livello applicativo, ad esempio attraverso l’utilizzo di un add-on (estensione) per il browser, di natura malevola. Dalle scansioni effettuate tramite il noto motore di ricerca Shodan sono di fatto emersi soltanto un paio di indirizzi IP riconducibili alla botnet in causa; ciò significa che i dispositivi che compongono quest’ultima non sono, in quasi nessun caso, dei dispositivi IoT.

I ricercatori sono inclini a vedere, nella campagna B64ryoshka, delle “radici” russe; tale elemento, secondo loro, viene posto in evidenza dalla netta prevalenza di domini .ru, e dalla collocazione geografica dei dispositivi facenti parte della botnet.

Quando il report stilato da Incapsula era ormai quasi pronto per essere pubblicato, è comparsa la notizia riguardante un ulteriore tentativo di smantellamento di Kelihos, ed il conseguente arresto del presunto “operatore” di questa famigerata botnet. Gli esperti hanno in un primo momento pensato che la “loro” botnet fosse proprio Kelihos; nei quattro giorni successivi, tuttavia, le attività di spam di B64ryoshka sono addirittura cresciute dell’11%; un simile elemento ha quindi evidenziato, in maniera inequivocabile, esattamente il contrario. In sostanza, l’azione “devastante” condotta contro Kelihos ha involontariamente favorito, a quanto pare, le attività della botnet concorrente.

I dati ottenuti da Incapsula nel corso delle indagini effettuate, sono stati già trasmessi sia agli organi competenti, preposti a tutelare l’osservanza delle leggi, sia alle autorità che regolamentano il mercato dei prodotti farmaceutici.

Fonte: Incapsula

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *