Molto poche le banche sono stati presi di mira nei cosiddetti attacchi foro di irrigazione. Gli attacchi da gennaio contro le istituzioni polacche in cui è stato utilizzato un sito trappola esplosiva dell'Autorità di vigilanza finanziaria polacca sono stati solo l'inizio di una serie di sfortunati eventi. La fase finale delle operazioni maligni è stata la consegna dei Downloader.Ratankba.
Che cosa è un attacco Watering Hole?
Fondamentalmente, un attacco buco irrigazione è un exploit di sicurezza che cerca di compromettere un gruppo preciso di consumatori da siti web sorprendenti che il gruppo sta visitando regolarmente. L'obiettivo finale è abbastanza ovvio - infettare computer degli e ottenere l'accesso remoto alle reti alle vittime degli obiettivi posto di lavoro
La strategia di attacco informatico è stato identificato in 2012 da RSA Security. La strategia può essere molto efficace - che tutti noi visitiamo le nostre pagine preferite su un regolare, quotidianamente. Anche se siamo in grado di essere abbastanza intelligente e ridere di persone che cadono per schemi di phishing, abbiamo comunque potuto diventare prede di malware semplicemente saltare ad una pagina amata.
Ora, Torniamo ai recenti attacchi buco di irrigazione che sono stati compromettenti varie organizzazioni finanziarie. Diverse banche hanno ora i dettagli degli incidenti condiviso, e informazioni sui più incidenti sta venendo alla luce. I ricercatori di Symantec e BAE Systems hanno concluso che le istituzioni più colpite sono in Polonia, Stati Uniti, Regno Unito, Messico e Cile.
I ricercatori della BAE Systems sono stati in grado di identificare più fori di irrigazione, come i siti web della National Banca e della Commissione del Messico e di una banca di proprietà statale in Uruguay. I siti web delle istituzioni erano trappola esplosiva e il codice che ha attivato il download di file JavaScript maligni dai domini compromessi contenuti. I domini ospitati un kit di exploit che ha usato Silverlight e Flash exploit. La fase finale dell'operazione era, non sorprendentemente, la distribuzione di malware.
Nell'esaminare il codice a exploit kit sito web un elenco di 255 stringhe di indirizzo IP è stato trovato. IPS conteneva solo il primo 3 ottetti, e sarebbe stato utilizzato per filtrare il traffico IP in modo che solo su quella sottorete sarebbero stati consegnati l'exploit e payload. Gli indirizzi IP corrispondevano ad un mix di istituzioni finanziarie pubbliche e private diffuse in tutto il mondo,"Ha spiegato BAE Systems.
Il malware distribuito non rilevate in precedenza: Downloader.Ratankba
I ricercatori hanno riferito che il malware utilizzato in questi attacchi era Downloader.Ratankba. È interessante notare che, il downloader non è stato precedentemente identificato, e Symantec utilizzato firme per il rilevamento generici.
Ratankba è stata osservata in contatto con eye-watch[.]a comando e controllo (C&C) comunicazioni. Ratankba è stato poi osservato il download di un Hacktool. Questo Hacktool presenta caratteristiche distintive condivise da malware precedentemente associati con Lazzaro.
Lazzaro è un gruppo di hacker che opera dal 2009. E 'stato di mira istituzioni situate principalmente negli Stati Uniti e Corea del Sud.
Per rimanere protetti dagli attacchi di malware di tutti i tipi, gli utenti sono fortemente invitati a tenere i loro sistemi protetti in ogni momento.
Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter