Archivi tag: eviltraffic

EvilTraffic Report sull’analisi del nuovo malware: decine di migliaia di siti WordPress compromessi

268/5000
Traduco ed adatto dal post: malware di CSE Cybsec hanno scoperto una massiccia campagna di malvertising chiamata

EvilTraffic il malvertising che sta sfruttando decine di migliaia di siti Web compromessi.

Questo malware  ha sfruttato alcune vulnerabilità CMS ( includendo quindi anche WordPress) per caricare ed eseguire pagine PHP arbitrarie utilizzate per generare entrate tramite la pubblicità.

Negli ultimi giorni del 2017, i ricercatori di CSE Cybsec hanno osservato gli attori delle minacce che sfruttano alcune vulnerabilità CMS per caricare ed eseguire pagine PHP arbitrarie utilizzate per generare entrate tramite la pubblicità.

L’enorme campagna di malvertising è stata soprannominata EvilTraffic

I siti Web compromessi coinvolti nella campagna EvilTraffic eseguono varie versioni del famoso CMS WordPress. Una volta che un sito Web è stato compromesso, gli utenti malintenzionati caricheranno un file “zip” contenente tutti i file dannosi. Nonostante il file “zip” abbia un nome diverso per ciascuna infezione, quando non è compresso, i file in esso contenuti hanno sempre la stessa struttura.

Abbiamo trovato alcuni di questi archivi non ancora utilizzati, quindi abbiamo analizzato il loro contenuto. I file dannosi vengono inseriti in un percorso che si riferisce probabilmente a versioni diverse dello stesso malware (“vomiu”, “blsnxw”, “yrpowe”, “hkfoeyw”, “aqkei”, “xbiret”, “slvkty”). Sotto questa cartella ci sono: un file php, chiamato “lerbim.php”; un file php, che ha lo stesso nome della dir padre; ha inizialmente un’estensione “.suspected” e solo in una seconda volta, usando il file “lerbim.php”, sarebbe stato cambiato nel file “.php”; due directory, chiamate “wtuds” e “sotpie”, contenenti una serie di file.

Lo scopo principale del “malware” utilizzato nella campagna EvilTraffic è di attivare una catena di reindirizzamento attraverso almeno due server che generano traffico pubblicitario.

Il file “{malw_name} .php” diventa il nucleo di tutto questo contesto: se viene contattato dall’utente tramite il browser web, reindirizza il flusso prima a “caforyn.pw” e quindi a “hitcpm.com”, che funge da supervisore per diversi siti registrati in questa catena di ricavi.

Questi siti potrebbero essere utilizzati dagli aggressori per offrire servizi commerciali che mirano ad aumentare il traffico per i loro clienti, ma questo traffico viene generato in modo illegale compromettendo i siti web.

I siti potrebbero ospitare anche pagine fraudolente che pretendono di scaricare materiale sospetto (ad esempio barre degli strumenti, estensioni del browser o antivirus falso) o rubare dati sensibili (ad esempio informazioni sulla carta di credito). Al fine di aumentare la visibilità del web, i siti compromessi devono avere un buon page rank nei motori di ricerca.

Quindi, il malware esegue l’avvelenamento SEO sfruttando un elenco di parole contenente le parole cercate di tendenza.

La popolazione del sito compromesso con le liste di parole ei relativi risultati di query viene attivata contattando il PHP principale utilizzando uno specifico User-Agent su un percorso “{nome_malw} / {} malw_name .php? vm = {keyword}”. I ricercatori di CSE CybSec ZLab hanno scoperto circa 18.100 siti Web compromessi.

Mentre i ricercatori stavano analizzando la campagna di malvertising EvilTraffic, si sono resi conto che la maggior parte dei siti Web compromessi utilizzati nelle prime settimane degli attacchi sono stati ripuliti negli ultimi giorni. solo in una settimana, il numero di siti Web compromessi è sceso da circa 35k a 18k.

Secondo Alexa Traffic Rank, hitcpm.com è classificato al numero 132 nel mondo e lo 0,2367% degli utenti Internet globali lo visita. Di seguito sono riportate alcune statistiche sul traffico relative a hitcpm.com fornite da hypestat.com

  • Visitatori unici giornalieri 1.183.500
  • Visitatori unici mensili 35.505.000
  • Pagine per visita 1.41
  • Visualizzazioni di pagina giornaliere 1.668.735

L’analisi del traffico mostra un aumento esponenziale del traffico nel mese di ottobre 2017. Gli esperti hanno scoperto che truffatori dietro l’operazione EvilTraffic ha utilizzato un software dannoso per dirottare il traffico, agisce come un browser hijacker.

Il malware viene distribuito attraverso vari metodi, come ad esempio:

  • Allegato di posta indesiderata
  • Download di programmi freeware tramite un sito inaffidabile
  • Aprire file torrent e fare clic su collegamenti dannosi
  • Giocando a giochi online
  • Visitando siti Web compromessi

Lo scopo principale del malware è quello di dirottare i browser cambiando browser impostazioni come DNS, impostazioni, homepage ecc. per reindirizzare il maggior numero possibile di traffico verso il sito del dispatcher.

Ulteriori dettagli tecnici su questa campagna, inclusi gli IoC, sono disponibili nel rapporto intitolato “Decine di migliaia di siti Web compromessi coinvolti in una nuova massiccia campagna di malvertising”