Dai ricercatori di Bitdefender Labs arriva l’analisi di una campagna malevola basata sull’exploit kit RIG, che sfrutta le vulnerabilità VBScript CVE-2019-0752 e CVE-2018-8174 presenti nei browser Internet Explorer senza patch. Avvistata per la prima volta nel mese di febbraio, è ancora in corso.
Italia colpita dalla campagna malevola
Fa leva su una dinamica di per sé molto semplice: sfrutta annunci pubblicitari dannosi presenti in siti Web legittimi, in pieno stile malvertising (dall’unione di “malicious” e “advertising”). Una volta fatto click sull’inserzione, parte il redirect verso la pagina di destinazione di “RIG EK”, che a sua volta attiva due exploit. Se uno va a segno, esegue una nuova variante del malware WastedLocker (priva della funzione ransomware).
Il codice comunica con un server C&C (Comand & Control) separato e può distribuire qualsiasi payload nella memoria. Così Bogdan Botezatu, Director of Threat Research and Reporting di Bitdefender, spiega in che modo questi annunci dannosi riescono a raggiungere siti Web legittimi.
Di solito, gli annunci pubblicitari dannosi vengono acquistati attraverso piccole agenzie pubblicitarie che consegnano gli annunci ad agenzie pubblicitarie più grandi che, a loro volta, li distribuiscono ai siti Web. Questi annunci tentano di caricare un codice dannoso per mandare in blocco il browser e caricare il codice pericoloso.
Gli attacchi della campagna si sono verificati per la maggior parte in Europa e America. Tra i paesi più colpiti anche l’Italia, insieme a Spagna, Francia, e Romania. Il consiglio è quello di aggiornare Internet Explorer (se ancora necessario impiegarlo) non appena possibile, così da correggere le vulnerabilità. Inoltre, le suite di sicurezza installate sugli endpoint possono risultare efficaci a bloccare la minaccia. Disponibile il whitepaper (PDF) con la ricerca completa.
Ti potrebbe interessare
19 mag 2021