Nick Carr, Senior Manager, Detection and Analysis, FireEye, ci aggiorna sul recente attacco malware denominato Bad Rabbit.
Il 24 ottobre 2017 alle ore 8.00 UTC, FireEye ha iniziato a rilevare e bloccare tentativi di infettare più client con un drive-by download mascherato da Flash Update (install_flash_player.exe), ospitato su un’infrastruttura di attacco 1dnscontrol[.]com. I tentativi di contagio sono stati riferiti da più siti contemporaneamente, indicando una campagna di compromissione strategica diffusa sul web. FireEye ha osservato questo framework JavaScript malevolo in uso almeno dal febbraio 2017, compreso il suo utilizzo su siti diversi rispetto a quelli degli attacchi di questi giorni. Il framework agisce come un “profilatore” che raccoglie informazioni da coloro che visitano le pagine compromesse – comprese informazioni di host e indirizzi IP, informazioni sul browser, siti di referring, cookie provenienti dal sito di referring. Questi sistemi di profilazione malevoli consentono agli aggressori di ottenere maggiori informazioni sulle potenziali vittime prima di distribuire il payload (in questo caso, dropper BADRABBIT “flash update”).
I dispositivi della rete FireEye hanno bloccato i tentativi di infezione verso più vittime in tutto il mondo fino alle ore 15.00 del 24 ottobre quando i tentativi di infezione sono cessati e l’infrastruttura dell’aggressore – sia 1dnscontrol[.]com sia i siti monitorati contenenti il codice canaglia – sono stati messi offline. L’utilizzo di compromissioni web strategiche e profilatori fornisce protezioni che consentono agli aggressori di selezionare con attenzione i bersagli e arrestare rapidamente le operazioni.
Quando si parla di compromissioni web strategiche, significa che un aggressore ospita un codice malevolo su un sito web di una vittima inconsapevole che viene poi utilizzato per infettare i veri bersagli. I siti web sono accuratamente selezionati per la compromissione in modo che abbiano un maggiore effetto diretto agli obiettivi finali, con danni collaterali minimi. Nel caso di BADRABBIT sono state raggiunte molte compromissioni strategiche grazie a siti web di viaggi e media in Europa Orientale, utilizzati per profilare i visitatori e consegnare il payload.