Nuclear mobilitato per la distribuzione di CryptoWall 4.0

La versione più recente del famigerato malware crittografico denominato CryptoWall ha iniziato ad essere diffusa attraverso gli exploit pack. Nello scorso week-end, i ricercatori del centro SANS, specializzato nelle minacce Internet, hanno scoperto che gli “operatori” di Nuclear, i quali hanno registrato i propri domini presso BizCN, hanno aggiunto un nuovo “articolo” al proprio elenco di payload nocivi.

Nel blog post pubblicato martedì scorso, Brad Duncan, esperto di sicurezza IT presso Rackspace e, al contempo, collaboratore permanente di ISC SANS, ha fatto notare che, fino a poco tempo fa, CryptoWall 4.0 veniva principalmente distribuito sotto forma di allegato malevolo a messaggi di spam. È la prima volta in assoluto che il ricercatore rileva l’utilizzo dei kit di exploit per tale specifico scopo.

“La diffusione della versione 4.0, in sostituzione di CryptoWall 3.0, non costituisce motivo di particolare sorpresa, – ha dichiarato Brad Duncan ai redattori di Threatpost. – La stessa identica situazione si era presentata nel 2014, quando CryptoWall 2.0 aveva rimpiazzato il malware originale, CryptoWall. L’aggiornamento non era stato eseguito attraverso una singola azione: esso era in effetti iniziato tramite campagne di spam nocivo; successivamente, erano entrati in scena gli exploit pack. I malintenzionati che distribuiscono CryptoWall 4.0 hanno ugualmente iniziato ad avvalersi dei kit di exploit; questo non significa, tuttavia, che tutti gli exploit pack verranno impiegati contemporaneamente, per tale scopo. La diffusione dell’ultima versione del temibile programma ransomware vedrà inizialmente all’opera un primo kit di exploit; si uniranno, poi, a tale processo, un secondo e un terzo exploit pack, finché, ad un certo momento, tutti i kit esistenti verranno adibiti all’upload di CryptoWall 4.0 sui computer-vittima”.

Il gruppo criminale che utilizza i servizi del registrar cinese, ha di recente modificato gli indirizzi IP relativi ai domini gateway, i quali svolgono la funzione di intermediari tra i siti web compromessi che operano in veste di redirector ed i server che ospitano Nuclear. “Il server gateway riceve le informazioni riguardanti il sistema operativo e il tipo di browser in uso presso l’utente attraverso l’apposita stringa user agent presente nell’intestazione HTTP della richiesta inviata dalla potenziale vittima, – riferisce Brad Duncan illustrando lo schema dell’attacco via exploit. – La risposta fornita dal server gateway dipende proprio da tali dati. Se il sistema operativo risulta non essere Windows, il gateway BizCN restituisce l’errore 404 (in quanto non avrebbe alcun senso sprecare risorse nei confronti di un host che non possiede le vulnerabilità richieste). Se la stringa user agent indica, invece, che l’OS in questione è Windows, il server gateway restituisce 200 OK, ed indirizza il traffico verso il server malevolo che custodisce gli exploit”.

Nel proprio blog post, pubblicato sul sito web di ISC SANS, il ricercatore riporta alcuni esempi di modelli di URL individuati nel traffico inerente ai gateway BizCN, così come ulteriori indicatori di compromissione. Brad Duncan ipotizza, ugualmente, che i “padroni” di CryptoWall 4.0 non si limiteranno all’utilizzo del solo Nuclear, ma sfrutteranno altri exploit pack, in particolar modo Angler. Lo spam, da parte sua, verrà con ogni probabilità mantenuto, dai malintenzionati, in qualità di veicolo di distribuzione alternativo. “Non abbandoneranno di sicuro lo spam, – prevede l’esperto. – La diffusione di CryptoWall 4.0 attraverso i kit di exploit assumerà proporzioni sempre maggiori; i mailing di spam nocivo, tuttavia, non si interromperanno. Stiamo semplicemente assistendo alla sostituzione della versione 3 del malware con la versione più recente. Alcuni gruppi cybercriminali distribuiscono la 4.0 attraverso lo spam; altri, invece, utilizzano gli exploit pack”.

Duncan ha ugualmente posto in risalto alcuni dei tratti peculiari che contraddistinguono la nuova versione del cryptoblocker dalla release precedente. In particolare, nelle comunicazioni attraverso le quali si richiede il pagamento del riscatto, il nome del malware compare semplicemente come CryptoWall, senza il numero della relativa versione. Allo stesso modo, CryptoWall 4.0 non provvede a registrare l’indirizzo IP della vittima, come invece avveniva in precedenza: “Il traffico di rete generato da CryptoWall 4.0 risulta quasi identico a quello da noi osservato relativamente alla versione 3.0 del malware, ad eccezione del fatto che l’ultima release del ransomware non esegue l’abituale verifica dell’indirizzo IP. Al momento attuale, le firme di Snort, ottenute nel corso della connessione di CryptoWall 3.0 con i propri centri di comando e controllo, risultano valide anche per la versione 4.0 del temibile cryptoblocker”.

Fonte: https://threatpost.com/nuclear-exploit-kit-spreading-cryptowall-4-0-ransomware/115479/

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *