Di tanto in tanto Websense ThreatSeeker Network rileva un elevato volume di elementi malevoli all’interno di Facebook. Negli ultimi giorni abbiamo assistito a un rapido aumento di una particolare campagna malevola, che si è diffusa in modo aggressivo a livello mondiale attraverso i principali siti di social networking. Battezzata con nome in codice ‘Jacked Frost’, la truffa è aumentata nel corso del week end – in particolare domenica è stato registrato il doppio di URL unici relativi a questa truffa.
Nel periodo dello shopping natalizio sembra, infatti, che i cyber criminali stiano andando a tutta velocità per attirare gli acquirenti con la tecnica del piggyback, sfruttando la reputazione di brand conosciuti come Walmart, Asda, Visa, Best Buy, Apple e molti altri. Nell’attacco che stiamo per descrivere, sembra che gli account degli utenti appartenenti al servizio gratuito di DNS freedns.afraid.org siano stati usati come parte dell’infrastruttura messa in piedi dai criminali informatici.
Questa truffa cambia aspetto, è consapevole della geolocalizzazione e notifica i contenuti in base alla posizione della vittima. Le potenziali vittime sono attirate con video e buoni spesa gratuiti. Di seguito alcuni esempi di come potrebbe apparire nel feed delle notizie di Facebook:
La truffa nel feed delle notizie di Facebook
Cosa succede quando viene cliccato un post nocivo?
Quando un link malevolo viene cliccato nel feed delle notizie, la vittima è reindirizzata a una pagina Facebook falsa che ospita un video fake che pretende di mostrare i “Fail Blog Daily Video”. La tecnica clickjacking è utilizzata all’interno della pagina, così quando la vittima clicca il tasto di avvio del video possono succedere due cose diverse:
1. Un pop up del browser viene lanciato e si chiede alla vittima di fare ‘Like’ sul post malevolo. Questo consente di diffondere ulteriormente la truffa dal momento che le notifiche dei ‘Like’ appaiono nel feed delle notizie della vittima. (clicca qui per vedere come appare, si aprirà una nuova finestra browser)
2. La vittima è reindirizzata alla pagina fasulla del video che utilizza il metodo di advertising CPA per sbloccare quello che si suppone essere un video di YouTube. (clicca qui per vedere come appare, si aprirà una nuova finestra browser)
Inoltre, la pagina ha un meccanismo di timeout. Se la vittima non riproduce il video, viene visualizzato un messaggio di auguri “Merry Christmas!” e si è reindirizzati a una pagina Facebook fasulla che offre dei buoni spesa gratuiti falsi. Di seguito l’esempio dell’offerta di alcuni voucher Asda:
Auguri a tema natalizio
La truffa è consapevole della geolocalizzazione
Di seguito una pagina malevola che offre voucher gratuiti di Asda. Questa pagina è pensata per i visitatori UK
Questa pagina fasulla offre buoni spesa e premi di Walmart, Best Buy e Visa. Questa pagina è stata pensata per i visitatori USA
Come è stato detto, la truffa può presentarsi sotto diversi aspetti e utilizzare le tecniche piggyback basate sulla reputazione dei brand conosciuti. Diamo un’occhiata all’esempio precedente di piggyback su Asda. La pagina voucher fasulla per Asda attira le vittime un passo per volta. In primo luogo per ottenere i voucher gratuiti la vittima deve condividere il voucher sul proprio profilo Facebook. La vittima deve poi pubblicare il commento “Thanks Asda!” per supportare la truffa e infine deve cliccare il tasto Like, che è un link malevolo.
Dopo aver completato le diversi fasi, il feed delle notizie Facebook della vittima include il voucher fasullo e si viene reindirizzati al sito web legittimo new.activeyou.co.uk che assegna premi e supporta un programma di affiliazione. Ogni utente che entra nel sito – grazie all’affiliazione – e chi partecipa, guadagna del denaro; non ci sono voucher gratuiti. L’affiliato si impegna con metodi illegali a pubblicizzare e generare traffico sul sito Web per guadagnare denaro. L’ID affiliato è visibile nella prossima immagine ed è stato evidenziato in rosso l’URL dove viene indicato affid.
Nessun voucher gratuito
L’infrastruttura della truffa e l’intelligence: gli account di Afraid.org come accessi
La partnership di Websense con Facebook ci permette di supportare Facebook nel mitigare queste truffe usando ACE. Abbiamo pubblicato questo blog perché abbiamo rilevato un picco nel feed dei nostri dati e un ampio numero di URL diversi utilizzati per la truffa in relazione l’uno con l’altro. Crediamo che Facebook stia facendo un buon lavoro nel rimuovere i post legati a questa truffa.
Abbiamo scoperto più di 3.000 URL unici utilizzati per questa iniziativa malevola su Facebook. L’elevata variazione è usata dai cyber criminali per garantire la durata e la ridondanza, nel caso in cui alcuni URL o domini vengano inserti nella lista nera.
Il culmine della truffa visto da Websense. Questo consente di tracciare il numero di nuovi host che ospitano la truffa vs il numero di host attivi che utilizzano questa truffa.
Uno dei risultati più interessanti è che la maggioranza degli host malevoli utilizzati nell’attacco usa i server DNS a servizio gratuito di freedns.afraid.org. Abbiamo rilevato che tutti i record nome-server utilizzati dai siti Web coinvolti in questo attacco utilizzano il server DNS e rimandano a ns1.afraid.org (immagine sotto).
freedns.afraid.org è un servizio gratuito che offre ai proprietari dei domini servizi DNS non a pagamento. Per esempio, il proprietario di un dominio può usare i server DNS di freedns.afraid.org che rimandano all’indirizzo IP del proprio sito Web. Inoltre, freedns.afraid.org consente agli utenti di gestire questi servizi free DNS attraverso un account. Consente ai possessori dell’account di aggiungere dei sottodomini al proprio dominio principale e potrebbe rimandare questi nuovi siti Web a indirizzi IP diversi. Per esempio se John Doe possiede johndoe.com sull’indirizzo IP x.x.x.x, può andare su freedns.afraid.org, creare un account e usare i server DNS per rimandare l’indirizzo IP del proprio sito a x.x.x.x. Oltre a questo, John può facilmente aggiungere record DNS ai sottodomini del suo sito Web principale (johndoe.com) attraverso il suo account freedns.afraid.org. A sua scelta, John può avere questi sottodomini (che essenzialmente rappresentano diversi siti Internet) che rimandano a indirizzi IP diversi. In questo modo, per esempio, John può usare il suo account DNS con freedns.afraid.org per avere johnsfriend.johndoe.com che rimanda a y.y.y.y.
L’esempio di host malevolo e il record DNS: 91037997396662norryyoutubecomplay10pegahihypupegahihypu.opbco.web74.net
In questo attacco gli account/host di freedns.afraid.org sono stati usati per realizzare URL fasulli che rimandando i sottodomini degli host legittimi all’infrastruttura di chi ha realizzato l’attacco. Se esaminiamo alcuni degli host nocivi coinvolti nell’attacco, possiamo notare che puntano a diversi indirizzi IP piuttosto che a uno utilizzato a livello host. I siti Web a livello host variano nello scopo e sembrano essere siti legittimi. Abbiamo verificato che questo pattern fosse conforme con tutte le 3000 istanze coinvolte nell’attacco. Nel prossimo esempio presentiamo un caso di URL malevolo che è usato per la truffa ospitata su un indirizzo IP che i cyber criminali stanno usando per ospitare la truffa (213.152.170.193), mentre l’host è ospitato su un indirizzo IP diverso dove si trova un sito Web legittimo (65.96.116.101), in questo caso un blog di cucina personale.
Cercando su altri siti Web ospitati sul 213.152.170.193 attaccato, si scoprono molti siti Web malevoli:
urbancooking.net sembra essere un blog personale di cucina:
Esplorando altri siti Web ospitato su 213.152.170.193 attaccato si rivelano molti altri siti Web truffa:
Di seguito alcuni indirizzi IP compromessi che fanno parte dell’infrastruttura malevole che ospita i siti Web malevoli:
208.73.210.147
213.152.170.193
184.107.164.158
216.172.174.53
199.188.206.214
198.187.30.161
198.154.102.28
68.168.21.68
198.154.102.29
174.132.156.176
198.154.102.27
88.191.118.153
208.91.199.252
Crediamo che questo attacco ora sia sotto controllo e sia mitigato con successo da Facebook. Inoltre, abbiamo rilevato una diminuzione graduale degli incidenti, ma è importante ricordare che anche se in calo, l’attacco è ancora forte. Stiamo monitorando gli eventi legati a questo attacco per mantenervi aggiornati. Inoltre, cogliamo l’occasione per augurarvi un felice Natale, al sicuro dagli attacchi dei cyber criminali.