
Nel corso di questi ultimi due anni, nei meandri più profondi e remoti di Internet è fiorito un particolare genere di mercato underground.
Il nome che lo identifica – xDedic – breve e criptico, non sembra rivelare molto, su di esso. In questo oscuro mercato, tuttavia, chiunque ha la possibilità di “acquistare” oltre 70.000 server hackerati, situati in ogni angolo della Rete.
Pagina di login del forum xDedic
Dalle reti pubbliche ai network aziendali, dai server web ai database: xDedic mette a disposizione un vero e proprio mercato online, dove gli acquirenti possono trovare di tutto. E la cosa “migliore”, poi, è che tutto quanto costa davvero poco! Ad esempio, acquistare l’accesso ad un server che si trova all’interno di una rete pubblica, in un paese dell’Unione Europea, può addirittura costare non più di 6 dollari USD.
La somma richiesta, a dir poco modica, può fornire ad un buyer malintenzionato sia l’opportunità di accedere a tutti i dati contenuti nel server, sia la possibilità di utilizzare tale accesso per lanciare ulteriori attacchi. È davvero il sogno di ogni hacker, quello di semplificare al massimo l’accesso ai computer-vittima, rendere lo stesso più veloce e meno costoso, ed aprire nuove possibilità sia per i cybercriminali che per gli eventuali attori APT.
Pagina del forum dedicata all’acquisto di un server
Per investigare su xDedic, Kaspersky Lab ha collaborato con un ISP europeo. L’indagine condotta ci ha permesso di raccogliere dati sulle vittime e sul modo in cui opera tale mercato.
Nel mese di maggio 2016, abbiamo contato, complessivamente, 70.624 server disponibili per l’acquisto, messi a disposizione da 416 venditori unici, in 173 diversi paesi. Nel mese di marzo 2016, invece, il numero dei server messi in vendita era di circa 55.000 unità, una chiara indicazione del fatto che il database degli utenti e dei server viene accuratamente mantenuto ed aggiornato.
Top-10 dei paesi con server in vendita
È di particolare interesse il fatto che gli sviluppatori di xDedic, di per se stessi, non vendono nulla; essi hanno “soltanto” creato un mercato online in cui un network di affiliati può di fatto vendere l’accesso a server compromessi. A dire la verità, coloro che tengono le fila di xDedic hanno creato quello che sembra essere un servizio di “qualità”; il forum include persino il supporto tecnico live, così come speciali strumenti per patchare i server hackerati – per consentire sessioni RDP multiple – ed appositi tool di profilazione, adibiti a caricare sul database di xDedic informazioni sui server compromessi.
Top-10 dei principali seller – Maggio 2016
Ma chi sono i venditori xDedic qui sopra elencati? Siamo stati in grado di identificare un malware molto particolare (SCCLIENT), utilizzato da uno di essi, e siamo poi riusciti ad effettuare il sinkholing del relativo C&C. Questo ci ha offerto la possibilità di dare uno sguardo alle operazioni condotte da una di queste entità, che, in base al numero di vittime riscontrato, sospettiamo possa essere Narko, xLeon o sirr.
Trojan SCCLIENT: informazioni sulle vittime, ottenute grazie al sinkholing (nelle prime 12 ore)
Il software di profilazione creato dagli sviluppatori di xDedic raccoglie ugualmente informazioni riguardo al software installato nel server, relativo, ad esempio, al gioco d’azzardo online, al trading o alle operazioni di pagamento.
A quanto pare, si registra un forte interesse nei confronti del software utilizzato nell’ambito dei servizi contabili, del reporting fiscale e dei sistemi PoS (Point-of-Sale, “punto di vendita”), il quale, ovviamente, può aprire numerose opportunità, per i truffatori:
Spam e Strumenti di Attacco | Software Gioco d’azzardo e Finanziario |
Software PoS |
Advanced Mass Sender Bitvise Tunnelier DU Brute LexisNexis Spam Soft LexisNexis Proxifier Proxifier Spam Soft |
Full Tilt Poker iPoker Network UltraTax 2010 (2011,..,2015) Abacus Tax Software CCH tax14 (tax15) CCH Small Firm Services ChoicePoint ProSeries TAX (2014,2015) ProSystem fx Tax TAX Software 2015 Tax Praparation Tax Management Inc. Lacerte Tax |
PosWindows BrasilPOS POS AccuPOS POS Active-Charge POS Amigo POS Catapult POS Firefly POS ePOS POS EasiPos POS Revel POS Software (Generic) POS Toast POS QBPOS PosTerminal POS kiosk.exe POS roi.exe POS PTService.exe POS pxpp.exe POS w3wp.exe POS DpsEftX.ocx POS AxUpdatePortal.exe POS callerIdserver.exe POS PURCHASE.exe POS XPS.exe POS XChgrSrv.exe |
Durante la nostra ricerca, abbiamo contato ben 453 server, ubicati in 67 paesi, con installato software PoS.
I server in vendita provvisti di software Point-of-Sale – Maggio 2016
Un malintenzionato, ad esempio, potrebbe recarsi sul forum xDedic, registrare un account, rifornire lo stesso di bitcoin e poi acquistare un certo numero di server dotati di software PoS, installato al loro interno. In seguito, il malfattore può installare un malware PoS, quale, ad esempio, Backoff, per raccogliere i numeri delle carte di credito. Le possibilità sono davvero infinite.
Kaspersky Lab ha già segnalato il problema esistente alle forze dell’ordine competenti in materia, e sta attivamente collaborando all’indagine attualmente in corso.
Per leggere l’intero report da noi stilato riguardo a xDedic, comprendente i relativi IOC, si prega di scaricare, al seguente link, il PDF “xDedic Marketplace Analysis”.
* Per maggiori informazioni su Kaspersky Lab Intelligence Services, Threat Reports and custom threat analysis contattare intelreports@kaspersky.com
xDedic, l’oscuro mondo dei server hackerati messi in vendita