Smantellata imponente campagna di malvertising associata all’exploit kit Neutrino

Alcuni ricercatori specializzati in sicurezza IT hanno segnalato che è stata neutralizzata con successo un’imponente campagna di malvertising, condotta su scala globale, nell’ambito della quale venivano utilizzate pubblicità malevole allo scopo di distribuire il ransomware CrypMIC, tramite il famigerato exploit pack Neutrino. Secondo Cisco Talos, tali attacchi di malvertising hanno rappresentato una seria minaccia per circa 1 milione di utenti, situati nell’America Settentrionale, nei paesi dell’Unione Europea, nella regione Asia-Pacifico e in Medio Oriente.

È stato determinato che i contenuti di advertising maligni, utilizzati in qualità di redirector, venivano caricati attraverso il network pubblicitario OpenX, e comparivano su siti di news e pornositi particolarmente frequentati, così come su risorse web a tema, dedicate agli eventi che si producono nel mondo della finanza, oppure in ambito sportivo (rugby), etc. È interessante rilevare come, per effettuare il redirecting, fosse sufficiente il semplice accesso della potenziale vittima alla pagina Internet provvista del contenuto nocivo; in pratica, non si rivelava necessaria nessun’altra azione, da parte dell’utente. “La caratteristica peculiare di questa campagna è indubbiamente rappresentata dalla sua notevole estensione, davvero globale; essa ha colpito numerose aree geografiche e, per di più, si è rivelata essere multilingue”, – ha fatto notare Nick Biasini, ricercatore presso Cisco.

Gli esperti operanti presso Talos, la divisione di Cisco specializzata in sicurezza informatica, avevano individuato la campagna di malvertising in questione all’inizio del mese scorso. I dati raccolti nell’arco di due sole settimane si sono rivelati sufficienti, per i ricercatori, per convincere il noto registrar di domini GoDaddy ad avviare un’accurata procedura di eliminazione dei redirector, preposti a indirizzare verso un singolo server – collocato in territorio russo – adibito ad ospitare l’exploit kit Neutrino.

Nick Biasini ritiene che gli operatori della campagna di malvertising qui descritta si siano avvalsi di credenziali rubate, allo scopo di violare gli account relativi a domini legittimi registrati presso GoDaddy. In seguito, i malintenzioanti hanno creato decine di sottodomini “puliti”, ed hanno poi utilizzato gli stessi per acquistare i diritti necessari per poter mostrare annunci pubblicitari nell’ambito della piattaforma di advertising OpenX. Per condurre gli attacchi, i cybercriminali hanno realizzato il furto di pubblicità contestuali mostrate su siti web tematici, spacciando le stesse come réclame proprie, e sfruttando, poi, le opportunità involontariamente offerte da OpenX. A seguito di tutto questo, coloro che visitavano i siti web interessati, del tutto legittimi, ma contenenti annunci pubblicitari malevoli, giungevano, tramite il già citato redirecting, su un sottodominio appositamente creato (tali sottodomini vengono definiti con l’appellativo di “gate”, da Cisco Talos), dal quale, in seguito, venivano reindirizzati verso le pagine web nocive contenenti gli exploit.

“(Il gate) – è semplicemente un intermediario tra il redirector iniziale (ovvero il sito compromesso / la pubblicità dannosa) ed il server di destinazione vero e proprio, effettivamente preposto ad ospitare l’exploit pack; prima di recapitare l’exploit “necessario”, tale server effettua tutte le verifiche del caso, e compromette poi il computer-vittima recapitando il payload nocivo”, spiega Nick Biasini in un blog post da egli stesso pubblicato. Secondo il ricercatore, l’utilizzo di appositi domini con funzione di “gate” consente ai malintenzionati di poter trasferire rapidamente il server dannoso, senza dover modificare la “catena” dei reindirizzamenti; tale elemento garantisce, di conseguenza, “la conduzione di campagne di maggior durata, senza che si riveli necessario modificare continuamente il sito web, o l’annuncio pubblicitario dal quale ha inizio la “catena” allestita per realizzare l’infezione”.

L’esperto afferma che, per effettuare il redirecting verso le pagine malevole che celavano gli exploit di cui si compone il kit Neutrino, gli attacker si sono avvalsi di appositi “gate” contenenti gli script malevoli Darkleech, pseudo-Darkleech e EITest. Biasini ha ugualmente fatto notare che, per tutta la durata delle osservazioni da egli effettuate, è risultato esposto alla notevole pericolosità di un’infezione ransomware circa 1 milione di visitatori dei siti web contenenti le pubblicità maligne; tuttavia, soltanto lo 0,1% delle potenziali vittime è stato di fatto attaccato da Neutrino, l’exploit kit adibito a recapitare il malware estorsore CrypMIC sui computer presi di mira.

La campagna di malvertising in questione, neutralizzata grazie agli sforzi profusi da Cisco, ha confermato, ancora una volta, come Neutrino sia, attualmente, il principale attore sul torbido mercato degli exploit pack. Esso continua, in maniera particolarmente attiva, a riempire una nicchia che si era in pratica “liberata” dopo il recente arresto dei membri della gang cybercriminale che aveva realizzato il furto di ingenti somme di denaro a danno di numerosi cittadini russi, servendosi del famigerato Trojan bancario denominato Lurk. Secondo i dati di cui dispone Kaspersky Lab, per recapitare il banker alle ignare vittime, i componenti della band di cyberdelinquenti qui sopra menzionata avevano fatto ampiamente ricorso all’exploit pack Angler, occupandosi persino dello sviluppo e del “supporto” tecnico dello stesso, concesso ugualmente in affitto ad altri criminali informatici.

Nel report da egli stilato, Nick Biasini non ha mancato di sottolineare come le campagne di malvertising rappresentino, di sicuro, una tipologia di minaccia IT in significativa ascesa. “A seguito della progressiva ed inarrestabile migrazione dei contenuti verso la Rete, la pubblicità online diviene, in misura sempre maggiore, la principale fonte di reddito per tali siti, – afferma l’esperto. – I cybercriminali lo sanno perfettamente e, sempre più spesso, accordano le loro preferenze al malvertising, abbandonando gradualmente gli altri metodi malevoli, di stampo decisamente più “classico”, utilizzati per convogliare il traffico verso i siti dannosi che custodiscono gli exploit pack”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *