È stata scoperta una campagna hacker che sfrutta una rete di siti web che agiscono come “dropper as a service” (una sorta di software che facilita la diffusione e l’installazione di malware) per inoculare un pacchetto di malware alle vittime che cercano versioni “craccate” di popolari applicazioni aziendali e private.
“Questi malware contenevano una serie di bot con lo scopo di effettuare campagne di click fraud (“truffe dei falsi clic nelle pubblicità”), installare information stealer (“ladri di informazioni”) e persino ransomware“, hanno affermato i ricercatori della società di sicurezza informatica Sophos in un rapporto pubblicato a inizio settembre.
Come viene installato il malware?
Gli attacchi partono sfruttando una serie di pagine esca ospitate su siti WordPress che contengono link di “download” per pacchetti software piratati (e gratuiti) che, se cliccati, reindirizzano in realtà le vittime a un sito diverso, con malware indesiderati, come ad esempio programmi che installano i cosiddetti information stealer, ransomware, la backdoor Glupteba e una varietà di minatori di criptovaluta dannosi.
“Ai visitatori che arrivano su questi siti viene chiesto di consentire le notifiche; se consentono che ciò accada, i siti web emettono ripetutamente falsi avvisi di malware“, hanno affermato i ricercatori di Sophos. “Se gli utenti fanno clic sugli avvisi, vengono reindirizzati verso una serie di siti web malevoli“.
Pacchetti “as a service” per gli hacker
Seppur a scopo di truffa, questi progetti sono naturalmente seguiti non da principianti ma da professionisti del crimine informatico: vengono addirittura utilizzate tecniche come l’ottimizzazione per motori di ricerca (SEO, search engine optimization): i risultati vengono quindi visualizzati nella parte superiore dei risultati di ricerca quando le persone cercano versioni piratate di un’ampia gamma di app software. Inoltre, è anche disponibile un servizio che permette di impostare e personalizzare le proprie campagne in base al targeting geografico.
Incredibile, vero?
L’infrastruttura di distribuzione dei malware, in genere richiede un pagamento Bitcoin agli hacker affiliati, prima che questi ultimi possano creare un account e avvalersi del servizio per iniziare a distribuire malware.
Servizio di intermediazione “pubblicitaria”
Inoltre, i ricercatori Sophos hanno anche scoperto una serie di servizi che, invece di offrire le proprie reti di distribuzione di malware, fungono da “intermediari” per le reti di malvertising.
Non è una novità
Non è prima volta che i siti che ospitano software craccati vengono utilizzati come vettore di infezione di malware. All’inizio di giugno, un cryptominer chiamato Crackonosh è stato scoperto sfruttare furtivamente le risorse degli host infetti.
Un mese dopo, gli aggressori dietro un malware soprannominato MosaicLoader hanno preso di mira individui alla ricerca di software crackato, in una campagna globale per implementare una backdoor completa in grado di collegare i sistemi Windows compromessi in una botnet (botnet: rete di computer infettati da software dannoso in modo da poter essere controllati in remoto).
Ti è piaciuto questo articolo? Contatta Noi Sicurezza se sei interessato a una consulenza di cyber security per la tua azienda:
Errore: Modulo di contatto non trovato.