Nel sempre ricco e variegato panorama delle minacce trovano un spazio crescente i website inject dannosi, con molteplici attori di minacce che sfruttano questo metodo di distribuzione dinamica di malware. In genere, una catena di attacco è composta da tre parti: gli inject pericolosi rivolti ai visitatori del sito, che spesso sono script JavaScript rischiosi; un servizio di distribuzione del traffico (TDS) che può determinare quale utente riceve quale payload in base a una serie di opzioni di filtering; e il payload finale che viene scaricato dallo script. Può capitare che l’intera catena di attacco sia gestita dallo stesso attore di minacce, ma spesso le sue diverse parti sono gestite da criminali diversi.
Storicamente, TA569 è stato il principale distributore di campagne di web inject, con i suoi inject SocGholish che portano all’installazione di malware e successivi attacchi ransomware. Questo attore è diventato quasi sinonimo di “falsi aggiornamenti” all’interno della community di sicurezza. Ma a partire dal 2023 sono emersi numerosi imitatori che hanno utilizzato le stesse tecniche di web inject e di reindirizzamento del traffico per diffondere malware. L’afflusso di più attori, alcuni dei quali collaborano tra loro, unito al fatto che i siti web possono essere compromessi da più inject contemporaneamente, rende difficile tracciare e classificare distintamente gli attori delle minacce che conducono questi attacchi.
I ricercatori di Proofpoint hanno recentemente identificato due nuovi attori di minacce, TA2726 e TA2727. Si tratta di venditori di traffico e distributori di malware, osservati in diverse catene di attacchi basati su web, come campagne di siti compromessi, comprese quelle che utilizzano esche a tema di falsi aggiornamenti. Non sono attori di minacce basate su email e l’attività osservata nei dati delle campagne email è legata a siti legittimi, ma compromessi.
