Dai Security Labs della società Websense arriva la notizia dell’interessante caso di un dominio di phishing legato all’imminente presentazione del sistema operativo iOS 7. Sono iniziate a circolare alcune voci dopo la D11 conference presentata dal CEO di Apple Tim Cook, e i criminali informatici hanno fiutato l’occasione per costruire la base per attacchi di phishing e attività malevole.
“Non è una sorpresa che i cyber criminali dietro a questa esca a tema iOS 7 e alla campagna ransomware stiano utilizzando dei kit per costruire e tracciare il successo della propria campagna. I kit di exploit, facilmente disponibili, abbassano il livello di abilità richiesta e riducono il tempo necessario per lanciare nuove campagne che possono essere implementate velocemente sfruttando temi di attualità. Per bloccare gli attacchi basati su questi eventi, sono necessarie difese a più livelli unite all’educazione degli utenti”, ha dichiarato Jason Hill, Security Research di Websense.
Il nome del dominio è stato registrato più di 20 giorni fa; a prima vista, l’host non contiene altro che una directory aperta, all’interno del quale sono presenti apparentemente innocenti file binari. Navigando all’interno del contenuto e aprendo la directory “vl”, questa mostra il pannello di controllo per un toolkit ransomware denominato “Silence Locker”. Si tratta di un ransomware sfruttato per generare file malevoli nei quali sono presenti logo usati dalle forze di polizia, in base al Paese di appartenenza della potenziale vittima.
Dopo una breve analisi degli altri binari, è stato notato che il tool AutoIT è quello utilizzato per confezionare il malware; questo è conforme all’attuale tendenza di ‘impacchettare’ i malware per rendere più difficile rilevarli. Raccogliendo alcuni dati telemetrici relativi all’indirizzo IP che ospita questo dominio (ios7news.net), è stato scoperto che questo indirizzo IP è utilizzato anche per altri domini di phishing. “hxxp://gamingdaily.us” è ad esempio molto probabilmente un dominio di phishing per un sito di notizie di gaming usato anche per ospitare l’exploit kit BleedingLife. È stato possibile rilevare altre vulnerabilità utilizzate da questi kit di exploit, semplicemente cercando all’interno del contenuto. Il sistema sfrutta codice java script, per garantire un exploit ottimale in base al sistema di configurazione della vittima.
