Kaspersky Lab e la campagna malware

Eugenia Scambelluri

Kaspersky Lab ha rilevato un componente nascosto della campagna malware che ad aprile di quest’anno ha introdotto Koler “police”, il ransomware mobile per i dispositivi Android. Questo componente include un ransomware basato su browser e un kit di exploit. Dal 23 luglio la componente mobile della campagna è stata interrotta perchè il server di comando e controllo ha iniziato ad inviare comandi di ‘Unistall’ alle vittime eliminando l’applicazione malware. Per quel che riguarda invece i componenti dannosi installati sui computer – incluso il kit di exploit – questi sono ancora attivi. Kaspersky Lab sta tenendo sotto controllo il malware, descritto per la prima volta da parte di un ricercatore di sicurezza di nome Kaffeine.

I cybercriminali responsabili di questi attacchi hanno utilizzato uno schema insolito per scansionare i sistemi delle vittime e inviare ransomware personalizzati a seconda del paese e del tipo di dispositivo utilizzato dall’utente – mobile o PC. I criminali hanno creato un’infrastruttura di reindirizzamento, che si attivava dopo che le vittime avevano visitato uno dei 48 siti pornografici nocivi utilizzati dagli operatori di Koler. L’uso di una rete di siti pornografici per diffondere questo ransomware non è stato un semplice caso: le vittime sentendosi in colpa per aver visionato questi contenuti sono in genere più propense a pagare la presunta multa inviata dalle “autorità”.

Questi siti pornografici reindirizzano gli utenti all’hub centrale che utilizza il Keitaro Traffic Distribution System (TDS) che a sua volta esegue un successivo reindirizzamento. A seconda di alcune condizioni, questo secondo redirezionamento può portare a tre differenti scenari dannosi:

Installazione del ransomware mobile Koler. Nel caso in cui il sito venga visitato tramite un dispositivo mobile, il sito reindirizza automaticamente l’utente all’applicazione dannosa. Una volta reindirizzato, l’utente deve comunque confermare il download e l’installazione dell’applicazione chiamata animalporn.apk che è in realtà il Koler ransomware. Questo malware blocca lo schermo del dispositivo infetto e per sbloccarlo chiede un riscatto che va dai $100 ai $300. Per rendere il tutto più realistico il malware visualizza all’utente un messaggio che riproduce quelli ufficiali della polizia locale.

Reindirizzamento verso uno qualsiasi dei siti web dove è presente il componente ransomware basato su browser. Un controller speciale verifica (i) che l’utente provenga da uno dei 30 paesi colpiti, (ii) che non sia un utente Android e (iii) che la richiesta non contenga utenti di Internet Explorer. Se il risultato delle tre verifiche è sempre positivo viene visualizzata una schermata di blocco identica a quella utilizzata per i dispositivi mobile. In questo caso non c’è infezione, solo un pop-up che mostra un modello della schermata di blocco. Tuttavia, l’utente può facilmente evitare il blocco con una semplice combinazione di tasti alt+F4.

Reindirizzamento verso un sito web che contiene l’Angler Exploit Kit. Se l’utente utilizza Internet Explorer, l’infrastruttura di reindirizzamento utilizzata in questa campagna invia l’utente verso siti che ospitano l’Angler Exploit Kit, che dispone di exploit per Silverlight, Adobe Flash e Java. Durante l’analisi di Kaspersky Lab, nonostante il codice di exploit fosse operativo non veniva eseguito alcun download del payload, ma questo potrebbe cambiare prossimamente.

Commentando le recenti scoperte su Koler, Vicente Diaz, Principal Security Researcher di Kaspersky Lab, ha dichiarato: "Ciò che suscita maggiore interesse è la rete di distribuzione utilizzata nella campagna. Decine di siti web generati automaticamente reindirizzano il traffico verso un hub centrale utilizzando un sistema di distribuzione del traffico che reindirizza nuovamente gli utenti. Crediamo che questa infrastruttura dimostri quanto questa campagna sia ben organizzata e pericolosa. I criminali possono creare rapidamente infrastrutture simili grazie al fatto che tutto sia completamente automatizzato, cambiando il payload o prendendo di mira tipologie di utenti diversi. I criminali hanno inoltre ideato modi diversi di generare del reddito dalle loro campagne in uno scenario realmente multi-device.”