EvilTraffic. Una nuova minaccia per i visitatori di migliaia di siti web
29/01/2018
Operation Eviltraffic: oltre 150.000 siti WordPress compromessi ad oggi.
Siti e portali Web sono oggetto in questi mesi di una estesa campagna di malvertising (“malicious” + “advertising”, ossia un tipo di pubblicità malevola, usata per diffondere malware ai danni dei visitatori.
Attualmente, secondo le nostre stime, aggiornate al 30 gennaio 2018, sono circa 150.000 i siti compromessi.
L’Attacco
L’utente, visitando uno dei siti WordPress e le relative pagine compromesse, viene dirottato su siti pubblicitari malevoli, dove, oltre alla pubblicità indesiderata, sarà esposto a malware, applicazioni fraudolente, furto di dati personali, credenziali di autenticazioni, phishing, richiesta di installazione di software aggiuntivo, etc.
In questi siti in modo automatizzato, attraverso una bot, vengono inserite le parole chiave più ricercate nel tentativo di farle posizionare nei primi posti dei motori di ricerca ed essere quindi trovati più facilmente dai visitatori.
I siti sui quali i malcapitati saranno inizialmente dirottati sono sempre due, e fungono da “dispatcher”, ovvero sono questi che decidono quali siti malevoli far visitare successivamente agli utenti in una struttura gerarchica ben organizzata, come si vedrà nell’immagine seguente. I due siti “dispatcher” sono “caforyn.pw” e “hitcpm.com”.
Sistema di Redirection della minaccia “Eviltraffic”
Il primo sito sul quale si viene dirottati è “caforyn.pw” e il dirottamento avviene attraverso un link che il malware offusca, ma che una volta decodificato apparirebbe così …
Per rendersi conto della vastità di questa minaccia, si consideri (fonte hypestat) che il secondo sito dispatcher “hitcpm.com” registra mediamente oltre un milione di visitatori unici al giorno con un guadagno stimato di circa quattro mila dollari al giorno. Si colloca al 132° posto nel mondo della classica Alexa Traffic Rank e lo 0,2367% degli utenti internet globali lo visita.
Tutto il flusso reindirizzato viene comunque tracciato e monitorato dai criminali. I siti che si trovano in questa enorme rete, ad ogni richiesta di traffico con gli altri siti della rete, si inviano reciprocamente parametri attraverso delle query HTTP GET (ad esempio il parametro “d” indica da quale sito compromesso arriva la richiesta).
La Minaccia Web
Scoperta nei laboratori di analisi malware ZLab di Roma, questa campagna di Malvertising ha come target versioni di WordPress vulnerabili, anche se ad oggi non si conoscono esattamente quali queste siano e quali vettori siano utilizzati per la compromissione. I ricercatori di CSE Cybsec, che hanno pubblicato il Report chiamato “Tens of thousands of compromised web sites involved in new massive malvertising campaign” e dal quale sono tratte le immagini e i dati qui riportati, sono però riusciti a individuare sui siti compromessi alcune cartelle e file php che, essendo sempre presenti, ci permetteranno di capire se un sito fa parte della rete malevola oppure no. Queste cartelle sono “sotpie” e “wtuds” e sono accompagnate appunto da vari file .php funzionali al sistema di dirottamento e di partecipazione alla rete in cui entra a far parte, come visualizzato nell’immagine che segue.
Abbiamo voluto attualizzare l’analisi alla data di stesura del nostro articolo, 30 gennaio 2018, utilizzando il comando Google Dork, citato alla fine del report di ZLabs.
Entrando nel dettaglio della compromissione, una volta compromesso il sito web vulnerabile, l’attaccante vi carica un file zip. Il file zip ha sempre nomi diversi ma una volta scompattato mantiene sempre la stessa struttura. Come visto nell’immagine precedente, il file .zip conterrà sempre il seguente contenuto:
• Il file php chiamato lerbim.php
• Un file php che ha lo stesso nome della dir padre (nel caso dell’immagine è vomiu.php); ha inizialmente un'estensione “.suspected” e solo in un secondo momento, grazie al file "lerbim.php", assume l’estensione ".php";
Il file "{malw_name}.php", che può essere appunto come nel nostro caso “vomiu.php”, ma anche “blsnxw.php”, “yrpowe.php”, “hkfoeyw.php”, “aqkei.php”, “xbiret.php”, “slvkty.php”, “zoptie.php”, “otiarw.php”, “lerbim.php”, rappresenta il centro di questa minaccia. Se viene contattato dall'utente tramite il browser web, reindirizza il flusso prima a "caforyn.pw" e poi a "hitcpm.com", che funge da supervisore per diversi siti registrati in questa grossa rete.
• Infine le due cartelle chiamate “sotpie” e “wtuds” contenenti vari file, per lo più relativi alle liste di parole chiave utilizzate per farsi trovare dai motori di ricerca.
Nelle immagini riportate sotto possiamo vedere degli esempi di siti web fraudolenti che puntano ad aumentare il traffico per i loro clienti (traffico che, come abbiamo capito, verrebbe generato compromettendo i siti web i quali dirotterebbero, a loro volta, il traffico verso questi siti). Inoltre siti malevoli come questi potrebbero anche chiedere di scaricare barre degli strumenti, estensioni web, software dannoso e addirittura rubare i dati della carta di credito, aumentando così i ricavi già alti dalla pubblicità illegale generata.
Browser Hijacker
Nell’ambito dell’analisi è inoltre stato scoperto anche un software dannoso collegato a hitcpm.com che agisce come Broswer Hijacker, ossia un software che senza il permesso dell’utente modifica le impostazioni del browser al fine di visualizzare pubblicità indesiderata ed incrementare quindi le entrate economiche per il criminale. Può sostituire la homepage memorizzata nel browser, le impostazioni DNS, il motore di ricerca, i messaggi di errore, con i propri. Questo malware può essere veicolato attraverso i classici metodi:
• Come allegato ad una email
• Attraverso il download di software da fonti non legittime e sicure
• Aprendo link sconosciuti
• Giocando con giochi online di dubbia origine
• Visitando siti compromessi
Segni di infezione / IOC
I CMS (Content Management System), tra cui WordPress, sono piattaforme Web che semplificano la gestione dei contenuti in internet. Per la loro standardizzazione e diffusione sono quindi maggiormente presi di mira dai criminali informatici poichè l'architettura di un attacco molto probabilmente funzionerà sulla quasi totalità di sistemi.
E’ importante che chi gestisce tali portali/siti web per proprio conto o per conto di un cliente, si accerti di aver settato tutte le impostazioni di sicurezza e aver installato tutti gli aggiornamenti necessari a evitare attacchi e compromissioni. In ogni caso se nonostante ciò il sito web fosse compromesso, occorre essere in grado di capirlo.
In relazione alla compromissione di cui stiamo parlando, oltre a trovare i file "{malw_name}.php visti sopra (“blsnxw.php”, “yrpowe.php”, “hkfoeyw.php”, “aqkei.php”, “xbiret.php”, “slvkty.php”, “zoptie.php”, “otiarw.php”, “lerbim.php” e “vomiu.php”), altri Indicatori di compromissione (IoC) nel sito saranno la presenza delle cartelle “/wtuds”, “/vomiu”, “/sotpie”, dell’estensione “.suspected” e qualora il sito web instaurasse connessioni con le seguenti url: “caforyn.pw”, “superasdc.pw” e “hitcpm.com”
Periodiche scansioni con strumenti di Vulnerability Assessment e Penetration Testing permetteranno inoltre di scoprire con maggiore tempestività, ulteriori vulnerabilità al vostro portale web e poter così prendere le dovute contromisure.
A.S.
Operation Eviltraffic: oltre 150.000 siti WordPress compromessi ad oggi.
Siti e portali Web sono oggetto in questi mesi di una estesa campagna di malvertising (“malicious” + “advertising”, ossia un tipo di pubblicità malevola, usata per diffondere malware ai danni dei visitatori.
Attualmente, secondo le nostre stime, aggiornate al 30 gennaio 2018, sono circa 150.000 i siti compromessi.
L’Attacco
L’utente, visitando uno dei siti WordPress e le relative pagine compromesse, viene dirottato su siti pubblicitari malevoli, dove, oltre alla pubblicità indesiderata, sarà esposto a malware, applicazioni fraudolente, furto di dati personali, credenziali di autenticazioni, phishing, richiesta di installazione di software aggiuntivo, etc.
In questi siti in modo automatizzato, attraverso una bot, vengono inserite le parole chiave più ricercate nel tentativo di farle posizionare nei primi posti dei motori di ricerca ed essere quindi trovati più facilmente dai visitatori.
I siti sui quali i malcapitati saranno inizialmente dirottati sono sempre due, e fungono da “dispatcher”, ovvero sono questi che decidono quali siti malevoli far visitare successivamente agli utenti in una struttura gerarchica ben organizzata, come si vedrà nell’immagine seguente. I due siti “dispatcher” sono “caforyn.pw” e “hitcpm.com”.
Sistema di Redirection della minaccia “Eviltraffic”
Il primo sito sul quale si viene dirottati è “caforyn.pw” e il dirottamento avviene attraverso un link che il malware offusca, ma che una volta decodificato apparirebbe così …
Per rendersi conto della vastità di questa minaccia, si consideri (fonte hypestat) che il secondo sito dispatcher “hitcpm.com” registra mediamente oltre un milione di visitatori unici al giorno con un guadagno stimato di circa quattro mila dollari al giorno. Si colloca al 132° posto nel mondo della classica Alexa Traffic Rank e lo 0,2367% degli utenti internet globali lo visita.
Tutto il flusso reindirizzato viene comunque tracciato e monitorato dai criminali. I siti che si trovano in questa enorme rete, ad ogni richiesta di traffico con gli altri siti della rete, si inviano reciprocamente parametri attraverso delle query HTTP GET (ad esempio il parametro “d” indica da quale sito compromesso arriva la richiesta).
La Minaccia Web
Scoperta nei laboratori di analisi malware ZLab di Roma, questa campagna di Malvertising ha come target versioni di WordPress vulnerabili, anche se ad oggi non si conoscono esattamente quali queste siano e quali vettori siano utilizzati per la compromissione. I ricercatori di CSE Cybsec, che hanno pubblicato il Report chiamato “Tens of thousands of compromised web sites involved in new massive malvertising campaign” e dal quale sono tratte le immagini e i dati qui riportati, sono però riusciti a individuare sui siti compromessi alcune cartelle e file php che, essendo sempre presenti, ci permetteranno di capire se un sito fa parte della rete malevola oppure no. Queste cartelle sono “sotpie” e “wtuds” e sono accompagnate appunto da vari file .php funzionali al sistema di dirottamento e di partecipazione alla rete in cui entra a far parte, come visualizzato nell’immagine che segue.
Abbiamo voluto attualizzare l’analisi alla data di stesura del nostro articolo, 30 gennaio 2018, utilizzando il comando Google Dork, citato alla fine del report di ZLabs.
Ad oggi i siti che includono la cartella “wtuds” nella loro URL, e quindi compromessi, risultano essere oltre 150.000.
Entrando nel dettaglio della compromissione, una volta compromesso il sito web vulnerabile, l’attaccante vi carica un file zip. Il file zip ha sempre nomi diversi ma una volta scompattato mantiene sempre la stessa struttura. Come visto nell’immagine precedente, il file .zip conterrà sempre il seguente contenuto:
• Il file php chiamato lerbim.php
• Un file php che ha lo stesso nome della dir padre (nel caso dell’immagine è vomiu.php); ha inizialmente un'estensione “.suspected” e solo in un secondo momento, grazie al file "lerbim.php", assume l’estensione ".php";
Il file "{malw_name}.php", che può essere appunto come nel nostro caso “vomiu.php”, ma anche “blsnxw.php”, “yrpowe.php”, “hkfoeyw.php”, “aqkei.php”, “xbiret.php”, “slvkty.php”, “zoptie.php”, “otiarw.php”, “lerbim.php”, rappresenta il centro di questa minaccia. Se viene contattato dall'utente tramite il browser web, reindirizza il flusso prima a "caforyn.pw" e poi a "hitcpm.com", che funge da supervisore per diversi siti registrati in questa grossa rete.
• Infine le due cartelle chiamate “sotpie” e “wtuds” contenenti vari file, per lo più relativi alle liste di parole chiave utilizzate per farsi trovare dai motori di ricerca.
Nelle immagini riportate sotto possiamo vedere degli esempi di siti web fraudolenti che puntano ad aumentare il traffico per i loro clienti (traffico che, come abbiamo capito, verrebbe generato compromettendo i siti web i quali dirotterebbero, a loro volta, il traffico verso questi siti). Inoltre siti malevoli come questi potrebbero anche chiedere di scaricare barre degli strumenti, estensioni web, software dannoso e addirittura rubare i dati della carta di credito, aumentando così i ricavi già alti dalla pubblicità illegale generata.
Browser Hijacker
Nell’ambito dell’analisi è inoltre stato scoperto anche un software dannoso collegato a hitcpm.com che agisce come Broswer Hijacker, ossia un software che senza il permesso dell’utente modifica le impostazioni del browser al fine di visualizzare pubblicità indesiderata ed incrementare quindi le entrate economiche per il criminale. Può sostituire la homepage memorizzata nel browser, le impostazioni DNS, il motore di ricerca, i messaggi di errore, con i propri. Questo malware può essere veicolato attraverso i classici metodi:
• Come allegato ad una email
• Attraverso il download di software da fonti non legittime e sicure
• Aprendo link sconosciuti
• Giocando con giochi online di dubbia origine
• Visitando siti compromessi
Segni di infezione / IOC
I CMS (Content Management System), tra cui WordPress, sono piattaforme Web che semplificano la gestione dei contenuti in internet. Per la loro standardizzazione e diffusione sono quindi maggiormente presi di mira dai criminali informatici poichè l'architettura di un attacco molto probabilmente funzionerà sulla quasi totalità di sistemi.
E’ importante che chi gestisce tali portali/siti web per proprio conto o per conto di un cliente, si accerti di aver settato tutte le impostazioni di sicurezza e aver installato tutti gli aggiornamenti necessari a evitare attacchi e compromissioni. In ogni caso se nonostante ciò il sito web fosse compromesso, occorre essere in grado di capirlo.
In relazione alla compromissione di cui stiamo parlando, oltre a trovare i file "{malw_name}.php visti sopra (“blsnxw.php”, “yrpowe.php”, “hkfoeyw.php”, “aqkei.php”, “xbiret.php”, “slvkty.php”, “zoptie.php”, “otiarw.php”, “lerbim.php” e “vomiu.php”), altri Indicatori di compromissione (IoC) nel sito saranno la presenza delle cartelle “/wtuds”, “/vomiu”, “/sotpie”, dell’estensione “.suspected” e qualora il sito web instaurasse connessioni con le seguenti url: “caforyn.pw”, “superasdc.pw” e “hitcpm.com”
Periodiche scansioni con strumenti di Vulnerability Assessment e Penetration Testing permetteranno inoltre di scoprire con maggiore tempestività, ulteriori vulnerabilità al vostro portale web e poter così prendere le dovute contromisure.
A.S.