Exploit Server, le radici delle infezioni e del malware

malware

I Malware e le minacce che mettono a rischio la sicurezza dei dati aziendali e privati sono in costante aumento, analizziamo il ruolo chiave dei cosiddetti Exploit Server. Nel processo di infezione di un malware c’è un passaggio iniziale fondamentale, uno step che consente l’effettivo avvio di tutta la procedura, questa componente è definita exploit.

L’exploit è un codice software che permette di sfruttare una vulnerabilità del sistema e di prenderne il controllo, consentendo così di installare malware o perpetrare altre azioni, come attacchi distribuiti di negazione del servizio, meglio conosciuti come DDoS. In questo caso, diverse macchine compromesse vengono programmate per visitare un sito web ripetutamente, bloccando l’accesso ai clienti legittimi, poiché le risorse del sito sotto attacco vengono consumate dalle macchine compromesse.

Una decina di anni fa, un acquirente di exploit (malintenzionato) doveva organizzarsi in modo autonomo svolgendo attività tramite il mercato nero per compromettere le macchine client (vittime). Ciò era possibile creando un sito web “civetta” che sfruttasse la vulnerabilità designata dall’exploit. Negli ultimi anni le organizzazioni di cybercriminali si sono evolute fino a produrre un pacchetto software chiamato Exploit Kit. Questo componente è oggi offerto in licenza come un qualsiasi prodotto software legittimo e ne esistono numerose varianti, come vedremo più avanti. Si tratta di un’applicazione lato server scritta in PHP che viene equipaggiata con diversi exploit per differenti browsers (Firefox, Internet Explorer, Chrome) o per i plugin più frequentemente installati (per esempio Java o Flash). Con l’avvento degli Exploit Kit il processo di infezione è stato completamente automatizzato, sfruttando un prodotto che facilita il compito dei cybercriminali.