I Websense Security Labs hanno recentemente rilevato il caso di un dominio phishing legato all’imminente rilascio del Sistema Operativo iOS7 di Apple. Sono iniziate a circolare alcune voci dopo la D11 conference presentata dal CEO di Apple Tim Cook, e i criminali informatici stanno costruendo le basi per phishing e attività malevole
“Non è una sorpresa che i cyber criminali dietro a questa esca a tema iOS7 e alla campagna ransomware stiano utilizzando dei kit per costruire e tracciare il successo della propria campagna. I kit di exploit, facilmente disponibili, abbassano il livello di abilità richiesta e riducono il tempo necessario per lanciare nuove campagne che possono essere implementate velocemente sfruttando il tema di attualità. Per bloccare gli attacchi basati su questi eventi sono necessarie difese a più livelli unite all’educazione degli utenti. L’uso di tecnologie proattive che rilevano le minacce emergenti in tempo reale può fare la differenza tra essere protetti o diventare vittima dei bad guy”, ha dichiarato Jason Hill, Security Research, Websense.
Il nome del dominio è stato registrato più di 20 giorni fa, come è stato riportato dalla nostra ThreatSeeker network:
A prima vista, l’host non contiene altro che una directory aperta, dove abbiamo rilevato alcuni interessanti file binari:
Navigando all’interno del contenuto visualizzato sopra, abbiamo aperto la directory “vl” e ci è subito sembrato importante il seguente risultato:
Questo è il pannello di controllo per toolkit ransomware chiamato “Silence Locker”. In questo caso, stiamo visualizzando la versione 5, che è una delle ultime rilasciate nel 2013. Come toolkit ransomware, Silence Locker può generare file malevoli associati con immagini comuni delle forze di polizia, in base al Paese di appartenenza della potenziale vittima. Per esempio, nella seguente pagina il finto team FBI Cyber Squad Investigation è legato al file binario che è stato caricato:
Gli altri file ospitati sulla stessa directory sono tutti rilevati dalla nostra ThreatSeeker Network come segue:
Dopo una breve analisi dei file binari riportati sopra, abbiamo notato che il tool AutoIT è stato usato per confezionare il malware. Questo è conforme all’attuale tendenza di ‘impacchettare’ i malware per rendere più difficile rilevarli. Abbiamo continuato la nostra analisi raccogliendo alcuni dati telemetrici relativi all’indirizzo IP che ospita questo dominio (ios7news.net). Da quanto abbiamo scoperto, sembra che questo indirizzo IP sia utilizzato anche per altri domini di phishing, sfruttando l’infrastruttura indicata di seguito:
Il dominio “hxxp://gamingdaily.us” molto probabilmente è un dominio di phishing per un sito di notizie di gaming che è anche usato per ospitare l’exploit kit BleedingLife. Ecco alcuni dettagli:
Nella prima riga è facile individuare i parametri URL che forniscono un file PDF malevolo che sfrutta una delle vulnerabilità utilizzate più spesso (CVE-2010-0188).
Inoltre, è possibile rilevare altre vulnerabilità utilizzate da questi kit di exploit, semplicemente cercando all’interno del contenuto:
I due riquadri rossi evidenziano il codice java script utilizzato per garantire un exploit ottimale in base al sistema di configurazione della vittima. L’elenco dei CVE utilizzati da questo exploit kit è indicato qui. Per gli eventi mondiali, sia le notizia IT che i rumors possono essere sfruttati dai cyber criminali per far leva sulla curiosità delle persone, come è stato fatto in questa situazione. Possiamo supporre (a causa di alcuni dettagli, come l’accesso alla directory aperta) che i criminali informatici stanno per utilizzare e configurare il dominio per attività malevole basate su ransomware.