Attenti a navigare con versioni di Internet Explorer non aggiornate e ai banner pubblicitari disseminati nei siti Web (anche quelli legittimi): un clic su un eventuale annuncio dannoso potrebbe avviare il download del malware WastedLoader sul nostro computer, senza alcun’altra interazione aggiuntiva richiesta.
I ricercatori di Bitdefender hanno infatti identificato una campagna di malvertising (acronimo di “malicious” e “advertising”) basata sull’uso del tool RIG Exploit Kit che sta diffondendo WastedLoader abusando delle vulnerabilità VBScript CVE-2019-0752 e CVE-2018-8174 presenti nelle versioni di Internet Explorer senza le relative patch.
Il nome della campagna malevola, WastedLoader, deriva dal fatto che il malware funziona come un vero e proprio “caricatore” per il payload scaricato.
La campagna è tutt’ora in corso e la maggior parte degli attacchi si sono verificati in America e in Europa, con particolare incidenza in Italia, Spagna, Francia e Romania.
Indice degli argomenti
WastedLoader: la dinamica della campagna di malvertising
Dopo aver ricostruito la kill chain e raccolto tutti gli strumenti utilizzati in questo attacco, i ricercatori hanno confermato che il meccanismo di infezione inizia dalla visita di un utente su un sito web legittimo sul quale è presente un annuncio pubblicitario pericoloso.
Un clic sul falso annuncio pubblicitario reindirizza il browser alla pagina di destinazione di “RIG EK” che a sua volta attiva gli exploit delle due vulnerabilità presenti in Internet Explorer.
Se lo sfruttamento di una delle due vulnerabilità ha successo, viene automaticamente eseguita una nuova variante del malware WastedLocker da cui manca, però, la funzionalità ransomware. In effetti, il malware WastedLoader è simile a WastedLocker che però è capace di comunicare con un server Comand & Control (C&C) separato per distribuire qualsiasi payload nella memoria del sistema target: tipicamente distribuisce un ransomware, da cui il suo nome.
Bogdan Botezatu, Director of Threat Research and Reporting di Bitdefender, spiega che il meccanismo di distribuzione passa per il malvertising, un processo di distribuzione di annunci dannosi che tentano di caricare un codice malevolo in grado di mandare in blocco il browser e caricare il malware vero e proprio.
Tipicamente, gli annunci pubblicitari dannosi vengono acquistati attraverso piccole agenzie pubblicitarie che consegnano gli annunci ad agenzie pubblicitarie più grandi che, a loro volta, li distribuiscono ai siti Web.
Gli host identificati come quelli che reindirizzano alla pagina RIG EK sono qui elencati, ma chiaramente non conviene seguirli sulle pagine di landing per evitare rischi:
- traffic.allindelivery.net;
- myallexit.xyz;
- clickadusweep.vip;
- enter.testclicktds.xyz;
- zeroexit.xyz;
- zero.testtrack.xyz.
Tutti gli indicatori di compromissione (IoC) sono elencati nel whitepaper che descrive in dettaglio la kill chain e le sue fasi di attacco.
Le vulnerabilità coinvolte nell’attacco
La vulnerabilità CVE-2019-0752 è stata scoperta da Simon Zuckerbraun (ZDI) e sfrutta “una confusione di tipo” che consente agli aggressori di ottenere una scrittura primitiva. Usando questo meccanismo, è possibile falsificare una primitiva di lettura arbitraria nel codice. Nel Codice RIG è sfruttata questa dinamica malevola.
La seconda vulnerabilità ,CVE-2018-8174, analizzata primariamente da Vladislav Stolyarov e successivamente da Piotr Florczyk, consente a un utente malintenzionato di eseguire codice arbitrario nel contesto dell’utente corrente attraverso il modo in cui il motore VBScript gestisce gli oggetti in memoria.
Cosa fare per difendersi da WastedLoader
Bitdefender consiglia alle aziende di effettuare gli aggiornamenti di Internet Explorer appena disponibili per aumentare la loro sicurezza. Inoltre, le suite di sicurezza installate sugli endpoint possono bloccare questa tipologia di attacco in varie fasi.
Un esperto di offensive security che preferisce rimanere anonimo, fa notare come questo tipo di attacchi sia prevedibile in ragione delle vulnerabilità note da tempo e facilmente bloccabili da agenti di endpoint protection sulla singola macchina.
Inoltre, poiché ci si riferisce ad una specifica versione del browser, cioè internet Explorer 8 o browser che usano VB script, tale attacco non funziona con tutti gli altri e questo limita (fortunatamente) la superficie di attacco potenziale ai danni stessi degli attaccanti.
Sembrerebbe quindi una campagna meno pericolosa di altre se e solo se sono installate adeguate protezioni sui device degli utenti e se gli stessi sono formati ed educati a non seguire ogni link offerto loro sui siti di landing o sulle pagine che visitano volutamente o accidentalmente.
