SICUREZZA INFORMATICA
Comunicato Stampa

Nuova Campagna Malevola su larga scala: Angler EK & Bunitu malware

12/06/15

Dai Websense Security Labs un nuovo Blog sulla campagna malevola Angler

I ricercatori dei Websense® Security Labs ™ hanno monitorato una campagna di malvertising su larga scala che utilizza il noto Exploit Kit Angler. L'attacco ha colpito gli utenti di molti siti popolari, tra cui la CNN Indonesiana, il sito ufficiale dell'aeroporto di Praga, Detik, AASTOCKS, RTL Television in Croazia, e il gioco Bejewled Blitz su Facebook. Secondo SimilarWeb, questi siti registrano un totale di almeno 50 milioni di visitatori al mese.

Di seguito alcune delle caratteristiche principali di questa campagna:
• Gli script pubblicitari OpenX vengono infettati con codice malevolo
• Il codice inserito è evasivo e furtivo
• Angler Exploit Kit infetta la macchina della vittima con il malware
• E’ stato utilizzato Il trojan Bunitu
• Almeno 50 milioni di utenti al mese sono a rischio

Websense protegge i propri clienti contro questa minaccia attraverso analisi in tempo reale con ACE, l’Advanced Classification Engine nelle varie fasi dell'attacco di seguito dettagliate:

Fase 2 (Lure) - ACE protegge contro i siti web infettati con contenuti dannosi.
Fase 3 (Redirect) - ACE protegge contro i reindirizzamenti noti associati a questa campagna
Fase 4 (Exploit Kit) - ACE garantisce una protezione in tempo reale sia dall’Exploit Kit Angler, sia dalla trasmissione di contenuti ai server dell’attaccante.
Fase 5 (dropper) - ACE protegge contro i campioni Bunitu noti.
Stage 6 (Call Home) - ACE rileva le infrastrutture di comando e controllo note per essere associate con Bunitu.

Che cosa è OpenX?

OpenX è una piattaforma pubblicitaria utilizzata da molti siti web per la pubblicità personalizzata e implementazioni di OpenX sono spesso condivise tra più siti, spesso appartenenti alla stessa società, o per l'uso di un inserzionista che utilizza questo tipo di tecnologia. La rete di OpenX è estremamente popolare, con oltre 100 miliardi di impression al mese, e quando questi script sono compromessi e infettati con codice malevolo, milioni di utenti su più siti web potrebbero essere direttamente interessati. Questo rende gli script OpenX un importante obiettivo per i criminali informatici che cercano di massimizzare il proprio bacino di potenziali vittime.

Abbiamo visto compromesso script OpenX anche in passato e apparentemente questo continua ad essere un obiettivo interessante per i criminali informatici.

Angler Exploit Kit colpisce ancora

Il codice inserito negli script OpenX compromessi in questa campagna sembrano riportare al diffusissimo Exploit Kit Angler. Il codice inserito non sempre viene inviato quando viene richiesto lo script, il che ne rende difficile la rilevazione con strumenti di analisi automatizzata. Inoltre, Angler Exploit Kit utilizza il codice malevolo una sola volta per ogni indirizzo IP in un periodo di 24 ore circa.

Dal mese di aprile si è osservata la compromissione di script OpenX utilizzati da diversi siti web molto popolari, tra cui la CNN Indonesiana, il sito ufficiale dell'aeroporto di Praga, Detik, AASTOCKS, RTL Television in Croazia, e il gioco Bejewled Blitz su Facebook. Alcuni di questi siti sembrano essere stati compromessi solo per 24 ore, mentre altri sono rimasti infetti per settimane.

Recentemente, abbiamo osservato una catena di infezione interessante nel popolare website Forum[.]hr (Alexa 15 in Croatia), che ha utilizzato uno script OpenX compromesso proveniente dall’inserzionista esterno ads3.monitor [.] Hr

Il codice malevolo ha portato ad un redirect e Angler Exploit Kit ha avuto modo di sfruttare l'ultima vulnerabilità di Adobe Flash Player (CVE-2015-3090). Recentemente, attraverso l’exploit kit sono stati distribuiti CryptoWall 3.0, Bedep e Necurs ma abbiamo anche osservato la distribuzione del noto Trojan 'Bunitu'.

Il malware Bunitu trasforma la vostra macchina in uno Zombie
Il malware Bunitu iniettato da Angler fa si che la nostra macchina, una volta infetta, agisca come un proxy, facendo in modo che la connessione di rete del nostro computer sia utilizzata per attività malevole. I criminali informatici spesso usano questa tattica per nascondere le proprie tracce alle autorità, nascondendosi dietro macchine di utenti legittimi. Il SHA1 per il campione che abbiamo visto è 004e9a3ea2670a76ee90067ff29816c31908e552.

Durante il processo di infezione, Bunitu scarica e di seguito registra una DLL che apre due porte casuali sulla macchina infetta che agiscono da proxy SOCKS5 e proxy http. Nel caso di esempio le porte erano la 8.322 e la 56.100. Bunitu ha configurato nel codice l’IP 85.17.142.21:53 come riferimento per il server di comando e controllo (C&C). Il malware tenta di connettersi a questo indirizzo due volte per inviare un aggiornamento sullo stato della nostra infezione, incluse le porte casuali aperte sulla nostra macchina.

Il malware ha anche una configurazione di back-up in caso il server C&C configurato non sia disponibile. Bunitu tenta di risolvere nsb.quixjoumnf.com, che attualmente è associato all’indirizzo IP 110.201.214.114. Il valore esadecimale di questo indirizzo IP è rappresentato nella memoria come 0x72D6C96E, e Bunitu applica una funzione XOR di questo valore con l’altro valore configurato di 0x16EC1A31, con il risultato di 0x643AD35F. Questo valore finale è la rappresentazione esadecimale di un altro indirizzo IP: 95.211.58.100 che viene utilizzato per il call home da parte di Bunitu dopo i primi due tentativi di connessione ai server primari.

Ci sono anche due indirizzi più di back-up che Bunitu può risolvere se non riesce a risolvere nsb.quixjoumnf.com.

Bunitu invia regolarmente dei pacchetti keep alive al suo server C&C in modo che l’attaccante possa sempre determinare quali macchine sono attive e infette.
Conclusioni
Le reti pubblicitarie continuano ad essere un punto focale per i criminali informatici, poichè veicolo ideale per infettare milioni di utenti con il minimo sforzo. La natura crescente di evasione, furtività, e la varietà impiegata nel codice maligno sono segnali di quanto oggi sia più importante che mai implementare una soluzione di sicurezza in grado di bloccare le minacce che colpiscono più fasi della nota kill chain.



Licenza di distribuzione:
INFORMAZIONI SULLA PUBBLICAZIONE
Forcepoint
Responsabile account:
 Paola Sipione (Customers Relationship Manager, PR & Social Media)
Contatti e maggiori informazioni
Vedi altre pubblicazioni di questo utente
RSS di questo utente
© Pensi che questo testo violi qualche norma sul copyright, contenga abusi di qualche tipo? Contatta il responsabile o Leggi come procedere
Tutte le categorie
Internet Nuovi Siti Motori Ricerca Software Linux Sic. Informatica Hi-Tech Corsi
 
Editoria Attualità Medicina Eventi Sport Musica Spettacolo Arte e Cultura
 
Turismo Gastronomia Economia Aziendali Accordi Commercio Servizi Altro