Accedi al tuo profilo


Password dimenticata?

Selezione la tua area di interesse

Aggiornamenti recenti Aprile 3rd, 2025 10:03 AM

partner

In collaborazione con

News Recenti

Siti Web compromessi per diffondere CryptXXX

Lug 22, 2016 Attacchi, Intrusione, Malware, Minacce, News, Ransomware, Vulnerabilità 0

Un’ondata di attacchi contro numerosi siti Internet per sfruttarli come “trampolino” per l’installazione del ransomware. L’operazione viene portata avanti sfruttando la botnet SoakSoak e l’exploit kit Neutrino.

La nuova campagna di distribuzione di CryptXXX potrebbe avere dimensioni mai viste prima. A dirlo sono i ricercatori di Invincea, che hanno osservato una serie di azioni mirate che fanno parte di un unico attacco in grande stile.

Il punto di partenza è SoakSoak, una botnet in circolazione da parecchio tempo e che viene utilizzata dai cyber-criminali per scandagliare il Web e individuare siti Internet gestiti con versioni di WordPress non aggiornate e, di conseguenza, vulnerabili a un attacco. A essere presi di mira, in particolare, sono alcuni plug-in come Revolution Slide.

La funzione di SoakSoak è quella di penetrare i server e creare una backdoor che consenta ai pirati di modificare il contenuto delle pagine Web. Una volta ottenuto il controllo, all’interno dei siti viene inserito un sistema di reindirizzamento che dirotta i visitatori verso pagine controllate dall’exploit kit Neutrino.

Stando ai rapporti circolati nelle ultime ore, i siti sotto attacco sarebbero migliaia e tra quelli compromessi ci sarebbero numerosi siti istituzionali, tra cui quello dell’ufficio per il turismo del Guatemala e di un fornitore di acqua in Messico.

Neutrino è uno dei più popolari (o famigerati) exploit kit sulla piazza. Il suo utilizzo prevede l’inserimento nelle pagine Web compromesse di un codice che consente di portare un attacco mirato a tutti i computer che visitano la pagina infetta.

La compromissione di siti Web legittimi è un formidabile strumento per la diffusione di malware.

La compromissione di siti Web legittimi è un formidabile strumento per la diffusione di malware.

Per farlo, Neutrino analizza il sistema e le versioni del software installato sul computer della potenziale vittima e sceglie l’exploit più efficace per avviare l’installazione del malware.

L’ultima versione dell’exploit kit esegue anche una serie di controlli per aggirare i sistemi antivirus, controllando per esempio se il sistema che sta per attaccare “gira” in una macchina virtuale o all’interno di una sandbox.

Il malware che viene installato a cambia a seconda del tipo di campagna in corso. Neutrino, infatti, è un fulgido esempio di “malware as a service” e può essere utilizzato da qualsiasi cyber-criminale a fronte del pagamento di un compenso per il noleggio.

Stando a quanto riportato dai ricercatori di Invincea, al momento Neutrino sta distribuendo in maniera massiccia CryptXXX, un ransomware che “prende in ostaggio” tutti i file memorizzati sul computer infetto crittografandoli in modo che non siano accessibili al legittimo proprietario, chiedendo poi un riscatto in Bitcoin in cambio della decodifica dei dati.

Condividi l'articolo
Firefox vuole farla finita con Adobe Flash

Articoli correlati
Altro in questa categoria

Leave a Reply

Last Week Security IT

Spyware nordcoreano e bot malvagi

Ransomware: la serie

Trend Micro Partner Space

No posts found.


Kaspersky Partner Space