Una nuova ondata di spam intensifica la diffusione del ransomware Cerber

Cerber è di nuovo all’attacco: adesso, questo temibile cryptoblocker viene distribuito nel quadro di un’aggressiva campagna di spam, denominata Blank Slate; nella circostanza, gli autori del mailing maligno, per diffondere il programma ransomware, preferiscono ricorrere all’utilizzo di servizi di hosting legittimi.

Secondo i ricercatori dell’Internet Storm Center (ISC), struttura operante presso il SANS Institute, fino a poco tempo fa campagne di spam del genere venivano utilizzate per distribuire i famigerati ransomware Sage 2.0 e Locky; al momento attuale, tuttavia, il principale payload nocivo di Blank Slate è costituito da Cerber.

Brad Duncan, ricercatore specializzato in sicurezza IT, riferisce che Blank Slate, in veste di campagna isolata, distinta dalle altre, era stata già identificata nel mese di luglio dello scorso anno. Da allora, gli hosting provider hanno effettuato vari tentativi per eliminare tale campagna nociva, ma Blank Slate, ogni volta, è riuscita a sopravvivere, visto che i suoi autori provvedono a registrare in continuazione, presso i fornitori di servizi di hosting, nuovi server adibiti ad ospitare il pericoloso malware.

Questa campagna di spam deve il proprio nome (blank slate – “tabula rasa” o “pagina bianca”, se preferite) all’assoluta mancanza di testo sia nel campo “Oggetto” del messaggio, sia nel corpo stesso delle e-mail. I messaggi di spam contengono, di fatto, solo un file .zip, in veste di allegato, al cui interno si trova un ulteriore archivio, dello stesso identico formato, il quale, a sua volta, nasconde un file JavaScript nocivo o un documento Word malevolo. Duncan afferma che simili messaggi “trappola” possono apparire, a prima vista, eccessivamente “rudimentali”; i cybercriminali, tuttavia, sembrano essere pienamente convinti del fatto che la soluzione da essi adottata possa risultare sufficiente per eludere in maniera efficace l’azione protettiva svolta dalle soluzioni di sicurezza IT.

Lo schema utilizzato per distribuire il malware appare, comunque, del tutto convenzionale: se il destinatario dell’e-mail, con un doppio click, apre il file JavaScript, oppure attiva la macro nascosta nel documento Word, viene avviato, sul computer-vittima, il download (dal server maligno) di Cerber. Nel corso di quest’ultimo anno, il ransomware in causa si è trasformato in una minaccia IT davvero seria; esso viene costantemente perfezionato e “sperimenta”, tra l’altro, nuovi trucchi, metodi e sotterfugi. All’inizio di questa settimana, ad esempio, i ricercatori di Deep Instinct hanno riferito che la variante di Cerber attualmente in circolazione è in grado di eludere con successo il possibile rilevamento; per far questo, essa si avvale di una nuova infrastruttura, la quale consente di far uso dell’installer NSIS (tale sistema di installazione viene utilizzato da Windows).

Come hanno rilevato i ricercatori all’opera presso il centro ISC SANS, gli appetiti dei “padroni” di Cerber, nel frattempo, sono considerevolmente aumentati: mentre questi ultimi, in precedenza, per consegnare alla vittima la chiave di decodifica, pretendevano “soltanto” 500 dollari, la richiesta attuale è in pratica raddoppiata, visto che i malintenzionati esigono, adesso, il pagamento di un riscatto pari ad 1 bitcoin (circa 1.000 dollari).

Blank Slate si differenzia dalle altre campagne malevole per l’efficace e consolidata rotazione di cui essa fa uso per ciò che riguarda l’utilizzo indebito, o piuttosto l’abuso, dei servizi forniti dagli hosting provider; tale schema, un vero e proprio ciclo continuo, fa sì che possa essere prolungata la durata di vita dei server maligni. Nello scorso mese di febbraio, i ricercatori di Palo Alto Networks hanno rivelato l’esistenza di ben 500 domini collegati alla campagna di spam qui descritta. “Questi domini maligni sono stati rapidamente bloccati e posti offline; gli autori di Blank Slate, tuttavia, ne hanno immediatamente registrati di nuovi, evidenziando in tal modo l’utilizzo illecito e malevolo, effettuato in forma ciclica, di servizi di hosting del tutto legittimi”, – scrive Brad Duncan.

Nel corso di un’intervista da egli rilasciata, commentando con Threatpost la specifica situazione, il ricercatore ha poi precisato: “È una procedura piuttosto semplice e rapida, quella di formulare una richiesta relativa alla creazione di un account presso un hosting provider. Di fatto, al cybercriminale basta indicare un indirizzo e-mail, un numero telefonico, ed un numero di carta di credito che si rivelino validi. Questo dà il diritto di poter creare nuovi server; se poi sopravvengono specifiche segnalazioni, lamentele o reclami, l’hosting provider disattiva i server; i malintenzionati, però, provvedono subito ad allestirne di nuovi”.

I costi che derivano dall’alimentare un ciclo del genere sono decisamente contenuti, per non dire trascurabili. “Un nuovo account e-mail può essere creato gratuitamente, – scrive Duncan. – I telefoni “usa e getta”, poi, costano davvero poco, al massimo una ventina di dollari”. Sul mercato nero della cybercriminalità, infine, sono disponibili per l’acquisto, all’esiguo prezzo di appena 5 dollari, le credenziali delle carte di credito rubate.

Palo Alto Networks sostiene che, nei mailing di massa allestiti nel quadro della campagna di spam Blank Slate, sia coinvolto un elevato numero di host, sparsi in tutto il mondo e, con ogni probabilità, facenti parte di estese botnet.

L’analisi condotta sul file JavaScript ha consentito di individuare una richiesta di tipo HTTP GET per il binario del ransomware. “Il traffico post-infezione si è dimostrato del tutto simile a quello fatto registrare da numerosi altri sample di Cerber, scoperti di recente, – scrive Brad Duncan nel blog di ISC SANS. – Inizialmente, è stato osservato del traffico UDP sulla porta 6892 dell’host infetto. In seguito, si è manifestato del traffico HTTP verso uno specifico dominio, che iniziava con <p27dokhpz2n7nvgr>, e terminava con l’estensione .top. Gli indirizzi IP riservati al traffico UDP vengono cambiati ogni settimana, oppure ogni 2 settimane (o dopo periodi di tempo più lunghi). I domini HTTP utilizzati una volta avvenuta l’infezione, vengono addirittura sostituiti più di frequente”.

Le istruzioni relative alla decodifica, secondo quanto riferisce il ricercatore, compaiono sul desktop sotto forma di tre diversi tipi di file: file di testo, grafico e HTA. In tutti i casi appena citati, il nome del file inizia con <_READ_THIS_FILE_>.

“I domini e gli indirizzi IP associati alla campagna di malspam Blank Slate cambiano in continuazione, – Duncan conclude così il proprio post sul blog di Palo Alto Networks. – Con l’attuale livello di “popolarità” dei programmi ransomware, continueremo a vedere ogni giorno mailing di spam nocivo, sia nell’ambito degli attacchi mirati, sia nel quadro di una distribuzione malware eseguita su vasta scala”.

Fonte: Threatpost

Post correlati

C'è 1 commento
  1. carmelo guidetti

    Complimenti a tutti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *