martedì 2 luglio 2019

Spelevo: l'exploit kit "vintage" che fa strage di computer


E' stato individuato, già in uso in diversi attacchi, un nuovo exploit kit: è stato scoperto pochi giorni fa impiegato per la distribuzione di due diversi trojan bancari.  Per raggiungere lo scopo, l'exploit kit utilizza un sistema di traffico diretto (TDS) o un gate che reindirizza la connessione verso una landing page dove il sistema della potenziale vittima viene analizzato in cerca di app vulnerabili.

E' un exploit browser-based che sfrutta tre diverse vulnerabilità, la CVE-2018-8174 di Internet Explorer e le vulnerabilità CVE-2018-15982 e la CVE-2018-4878 di Flash. Dato interessante che dà un tocco vintage a questo exploit, dato che Internet Explorer e Adobe Flash sono programmi che ormai non dovrebbero essere più in uso. Il fatto che uno o più cyber attaccanti abbiano deciso di approntare tale exploit dimostra  non solo che questi programmi sono ancora più diffusi di quel che si pensi, ma anche che vulnerabilità risolte da abbondante tempo non vengono patchate da moltissimi utenti. Le vulnerabilità di Flash, ad esempio, sono state risolte già più di un anno fa. 

Se sulla macchina della vittima viene individuata una versione vulnerabile di Adobe Flash, Spelevo sfrutta il primo bug, la CVE-2018-15982. Se, al contrario, sulla macchina bersaglio non è presente quella vulnerabilità, Spelevo sfrutta la CVE-2018-8174 di IE. 

I ricercatori che hanno individuato Spelevo hanno riportato come quest exploit kit utilizzi un sito web business-to-business (B2B) per diffondere i trojan bancari Dridex e IceD: questo probabilmente indica che i target privilegiati di Spelevo sono aziende. 

Il sito web B2B sembra avere, inizialmente, solo una singola pagina compromessa, ma ulteriori analisi hanno mostrato come le pagine compromesse siano molteplici, compresa la home page principale, anch'essa impostata per il redirect al gate usato per la campagna di diffusione malware. In dettaglio parliamo di un sistema di reindirizzamento tra diverse pagine web che hanno un solo scopo: far credere all'utente che il collegamento al sito sia fallito a causa di un errore e che quindi si è stati reindirizzati verso la pagina principale di Google.L'attacco è completamente invisibile, come si può vedere nel video dimostrativo sottostante.



I trojan bancari Dridex e IceD
IcedID è finalizzato, ovviamente, al furto dei dati finanziari della vittima tramite due diversi attacchi: 
  • redirection attack: installa un proxy locale per reindirizzare gli utenti verso siti web falsi, cloni di siti ufficiali.
  • web injection attack: inietta codice nei processi del browser per mostrare contenuti falsi e truffaldini sulla pagina originale. 
Reindirizza il traffico web incanalandolo verso un proxy locale che funziona sulla porta 49157 ed è dotato di una funzione avanzata di criptazione delle comunicazioni col proprio serve di comando e controllo.

Dridex invece è un trojan bancario osservato per la prima volta nel luglio 2014 che ha riscosso moltissimo successo perché è un BaaS (botnet-as-a-service), un vero e proprio servizio in cui gli operatori della botnet vendono le sue capacità e le sue funzioni a diversi cyber-criminali, dando vita così a svariate sotto-botnet, ognuna identificata da un numero e ognuna contenente uno specifico elenco di banche da attaccare. Il suo maggiore periodo di attività è stato tra il 2014 e il 2015. In seguito vi sono state piccole campagne durante tutto il 2016, con un unico picco rilevatosi a maggio. Il 25 gennaio 2017 è stata lanciata una nuova campagna nel Regno Unito, poi si sono registrate soltanto campagne minori. 

Nessun commento:

Posta un commento