Gruppi di criminali informatici utilizzano le directory “well-known” nascoste all’interno di siti HTTPS basati su Web WordPress e Joomla per archiviare e distribuire payload dannosi.
I siti web compromessi dai criminali sono stati utilizzati per diversi scopi malevoli, gli esperti ad esempio hanno osservato siti web utilizzati per distribuire ransomware Shade/Troldesh, crypto currency miner ed in alcuni casi sono stati coinvolti in campagne di phishing.
Tutti i siti WordPress compromessi dai criminali informatici utilizzavano versioni del popolare CMS (Content Management System) comprese tra 4.8.9 e 5.1.1. Queste versioni sono affette da una vulnerability CSRF presente nella sezione per la gestione dei commenti in WordPress.
Un utente malintenzionato può hackerare un sito Web che esegue una versione vulnerabile di WordPress che ha abilitato i commenti semplicemente inducendo l’amministratore del sito a visitare un sito Web appositamente creato per sfruttare la falle.
Secondo gli esperti, i criminali informatici focalizzano i loro sforzi su siti Web che eseguono versioni di plug-in e temi obsoleti. Tutti i siti Web compromessi utilizzano certificati SSL emessi da autorità di certificazione Automatic Certificate Management Environment (ACME ) come Let’s Encrypt, GlobalSign, cPanel e DigiCert.
“Abbiamo monitorato i siti HTTPS compromessi per alcune settimane e abbiamo notato che gli autori degli attacchi utilizzano una ben nota directory nascosta presente sul sito Web HTTPS per l’archiviazione e la distribuzione del ransomware Shade e la presentazioni di pagine di phishing.” recita l’analisi pubblicata da Zscaler.
“Le directory hidden /.well-known in un sito Web sono un prefisso URI dal percorso noto definite da IETF e comunemente utilizzate per dimostrare la proprietà di un dominio. Gli amministratori di siti Web HTTPS che utilizzano sistemi ACME per gestire i certificati SSL inseriscono un token univoco nelle directory /.well-known/acme-challenge/ o /.well-known/pki-validation/ per mostrare all’autorità di certificazione (CA) che controllano il dominio. “
Come funziona l’attacco
Gli attaccanti hanno abusato di una directory nascosta ben nota (well-known), presente nei siti HTTPS presi di mira, per l’archiviazione del malware. La directory è un prefisso URI per posizioni note definite dall’IETF e utilizzato per consentire un processo di verifica della proprietà di un dominio.
Gli amministratori di siti Web HTTPS che utilizzano ACME per gestire i certificati SSL inseriscono un token univoco all’interno della cartella, per mostrare alla CA che il dominio è sotto il loro controllo. La CA esegue la scansione di questa cartella alla ricerca del codice precedentemente inviato all’amministratore.
“Gli attaccanti utilizzano queste posizioni per nascondere malware e pagine di phishing. La tattica è efficace perché questa directory è già presente sulla maggior parte dei siti HTTPS ed è nascosta, il che consenti di esporre per maggior tempo il contenuto dannoso / pagine di phishing sul sito compromesso “, continua Zscaler
Gli esperti hanno poi analizzato la tipologia delle minacce distribuite implementando questo approccio ed il seguente grafico ne fornisce una utile rappresentazione:
Dall’immagine si evince che la maggior parte dei siti compromessi con questa tecnica è stato coinvolto in campagne per la distribuzione del ransomware Shade / Troldesh. Gli esperti hanno trovato all’ interno delle cartelle compromesse tre tipologie di file, HTML, ZIP e EXE mascherati da immagini in formato.jpg.
I file HTML vengono utilizzati per reindirizzare le vittime per scaricare i file ZIP (i.e. reso.zip , rolf.zip e Stroi.zip) contenenti il file JavaScript utilizzato per scaricare il ransomware finale.
La variante del ransomware Shade / Troldesh distribuita in quest’attacco utilizza un client TOR per connettersi al C2 e crittografa sia il contenuto che il nome dei file presi di mira.
Gli attaccati hanno condotto anche campagne di phishing utilizzando questa metodica. Diversi servizi e marchi popolari, come Office 365, Microsoft, DHL, Dropbox, Bank of America, Yahoo, Gmail e altri marchi, sono stati presi di mira sai criminali.
Ulteriori dettagli tecnici, inclusi gli indicatori di compromesso, sono riportati nell’analisi pubblicata da ZScaler.
