“Ci troviamo difronte ad una rete di grandi dimensioni, durante le nostre prime analisi, i siti web compromessi erano circa 35.000″
Una nuova, gigantesca minaccia sembra essersi propagata a cavallo tra il 2017 e il nuovo anno. Parliamo di una campagna di malvertising su larga scala basata su una rete composta da decine di migliaia di siti web compromessi.
La singolare scoperta è frutto dell’investigazione condotta dagli esperti del laboratorio di analisi malware Zlab dell’azienda che dirigo CSE Cybsec. Abbiamo chiamato la campagna EvilTraffic.
La scoperta
Tutti i siti coinvolti in questa campagna di malvertising sono basati su versioni di WordPress vulnerabili, gli stessi sono utilizzati per dirottare i visitatori verso altri domini che ospitano pagine con contenuti pubblicitari. Più visitatori accedono a queste pagine, maggiori sono gli introiti dei malfattori, pensate quindi cosa significa disporre di decine di migliaia di siti che riescono a veicolare traffico verso domini con contenuti pubblicitari.
I ricercatori hanno utilizzato i motori di ricerca per individuare alcuni “percorsi (path)” ricorrenti in molti URL di siti web indicizzati, apparentemente non correlati gli uni agli altri. In realtà tutti questi siti sono compromessi per entrare a far parte della immensa catena di dirottamento utilizzata da criminali. Su ciascun sito sono state scoperte una serie di cartelle e file php che presentano sempre la stessa struttura.
Su ogni sito compromesso, infatti, ritroviamo sempre le cartelle “sotpie” e “wtuds”, affiancate da altri file php che conferiscono al sito il comportamento voluto dall’attaccante e necessario affinché esso possa operare all’interno della rete di cui entra a far parte.
Figura 1 – Struttura utilizzata dalla botnet per il caricamento dei file
Come avviene l’attacco
La logica che si nasconde dietro a questa rete è piuttosto semplice: l’utente che si collega al sito compromesso, tramite il suo web browser, clicca sulla pagina compromessa e viene inevitabilmente dirottato verso una catena di redirect che lo trasporta su siti pubblicitari o fraudolenti: alcuni di essi invitano ad installare software e strane estensioni per il browser, altri tentano tramite tecniche di phishing di rubare dati personali, quali quelli bancari.
Ovviamente, il tutto può funzionare soltanto se l’utente incorre in queste pagine compromesse; è per questo motivo che ogni sito appartenente alla rete prevede un meccanismo per essere indicizzato dai più famosi motori di ricerca. Periodicamente, infatti, su ogni sito compromesso vengono caricati, in modo del tutto automatico, una serie di file contenenti le parole più cercate sui motori di ricerca e i relativi risultati, in modo da far indicizzare questo sito dai motori di ricerca nel momento in cui un nuovo utente effettua la ricerca di uno dei termini presenti della lista. Questo trucco consente di influenzare il sistema di indicizzazione dei motori di ricerca.
Nel momento in cui l’utente, malauguratamente, dà il via alla catena di redirect, viene dirottato almeno su tre siti diversi, due dei quali (“caforyn.pw” e “hitcpm.com”) fungono da dispatcher per decidere su quale sito affiliato far balzare la vittima.
Figura 2 – Catena di redirect usata dalla rete malevola
35mila siti compromessi
Vista l’esistenza di questa logica, è possibile ipotizzare che esista una sorta di affiliazione, attraverso la quale un sito, che sia esso legittimo o fraudolento, possa iscriversi alla rete per essere inserito tra i siti su cui il flusso viene ridiretto.
“Ci troviamo difronte ad una rete di grandi dimensioni, durante le nostre prime analisi, i siti web compromessi erano circa 35.000, attualmente invece ne contiamo poco piu di 18.000 questo perchè molti sysadmin hanno scoperto il breach e rimediato. Molti dei siti compromessi sono recentissimi, stiamo parlando di pochi giorni fa dalla pubblicazione del nostro report. La campagna, chiamiamola cosi’ sembra essere iniziata ad Ottobre 2017r aggiungendo il picco tra Dicembre e Gennaio, come riportano le statistiche Alexa del traffico.” Spiega il Dott. Antonio Pirozzi, direttore del laboratorio di analisi malware ZLab.
Inoltre, in base alle statistiche hypestat, uno dei siti che funge da rendez-vous, hitcpm.com, registra 1,183,500 visitatori unici al giorno con un guadagno stimato di $4,284.28/day.
Si sta adesso cercando di capire quali sono le versioni di WP prese di mira e i vettori di attacco utilizzati per exploitare tali siti web.
Il rapporto dettagliato pubblicato da CSE Cybsec comprensivo di IoC è presente all’indirizzo
http://csecybsec.com/download/zlab/20180121_CSE_Massive_Malvertising_Report.pdf
Buona lettura!
