Per far luce sull'eterna minaccia del "malware in bundle", I ricercatori di Sophos hanno recentemente eseguito un'indagine approfondita su una rete di siti Web relativi a una campagna di infostealer di Racoon in corso, agendo come un "contagocce come servizio". Questa rete ha distribuito una varietà di pacchetti malware, "spesso raggruppando malware non correlati in un unico contagocce,"compresi i bot clickfraud, altri infostealer, e ransomware.
La minaccia eterna dei pacchetti software craccati
Mentre la campagna Raccoon Stealer tracciata da Sophos su questi siti è avvenuta tra gennaio e aprile, 2021, i ricercatori osservano ancora malware e altri contenuti dannosi distribuiti attraverso la stessa rete di siti. "Più siti web front-end rivolti a persone che cercano versioni "crackate" di popolari pacchetti software consumer e aziendali si collegano a una rete di domini usato per reindirizzare la vittima al payload progettato per la loro piattaforma," il rapporto osserva.
Infatti, molte reti applicano le stesse tattiche di base, come usare la SEO (Ottimizzazione del motore di ricerca) per inserire una pagina esca sul primo passato dei risultati relativi a query di ricerca specifiche. Queste query spesso includono le versioni crack di vari prodotti software. Va notato che durante l'analisi della campagna infostealer Racoon, Sophos si è imbattuta in numerosi ladri di informazioni, bot di clickfraud, così come il Conti e ARRESTA il ransomware.
Le precedenti scoperte di Sophos relativo al modo in cui Raccoon si propaga in the wild ha rivelato un canale YouTube con video sulle merci, o software piratato. I ricercatori si sono imbattuti anche in campioni di telemetria radicati con due domini specifici: gsmcracktools.blogspot.com e procrackerz.org.
I siti dannosi sono generalmente pubblicizzati come repository di pacchetti software legittimi violati. Tuttavia, i file consegnati nella campagna erano in realtà mascherati da contagocce. Se la potenziale vittima fa clic su un collegamento per scaricare tale file, passano attraverso una serie di redirector JavaScript ospitati su Amazon Web Services. Poi, la vittima viene inviata a una delle molteplici posizioni di download che forniscono varie versioni del contagocce.
Uno sguardo alle pagine di esche dannose e alle reti di scambio di traffico
Gli attacchi analizzati utilizzano numerose bait pages principalmente ospitate su WordPress. Queste pagine contengono collegamenti per il download a pacchetti software che creano una serie di reindirizzamenti al clic.
"I pulsanti di download su queste pagine collegano a un altro host, passare una serie di parametri che include il nome del pacchetto e i codici identificativi dell'affiliato a un'applicazione che reindirizza quindi la sessione del browser a un altro sito intermedio, prima di arrivare finalmente a destinazione,"Sophos ha detto.
Alcune pagine esche reindirizzano a siti di download che ospitano archivi pacchettizzati che contengono malware, mentre altri sono allacciati con plug-in del browser e applicazioni potenzialmente indesiderate (soddisfatto).
In molti casi, i visitatori della pagina sono invitati a consentire le notifiche push. Se questi sono consentiti, le pagine inizieranno ad attivarsi avvisi di malware falsi. Se si fa clic sugli avvisi, quindi l'utente viene condotto attraverso una serie di reindirizzamenti e siti fino ad arrivare a una destinazione determinata dal sistema operativo del visitatore, il tipo di browser, e la posizione geografica.
Cosa hanno scoperto i ricercatori in termini di malware?
Queste campagne di download propagano una varietà di PUA e malware, compresi gli installatori per ARRESTO ransomware, la backdoor di Glupteba, e numerosi minatori di criptovalute e infostealer. Molti di questi download falsi pretendono di essere programmi di installazione di programmi antivirus, alcuni dei quali affermavano di essere versioni di HitmanPro con licenza bypassata, di proprietà di Sophos.
I pacchetti contagocce e le piattaforme di distribuzione di malware esistono da molto tempo, ma continuano a prosperare a causa dello stesso tipo di dinamiche di mercato di quelle che rendono i ladri come servizio così redditizio, la relazione ha concluso. Grazie a questi, anche gli attori delle minacce inesperti possono propagare il malware.