Riepilogo:
- Le notifiche push vengono ormai utilizzate come sistemi di distribuzione di malware e gli utenti vi si iscrivono senza saperlo.
- I falsi CAPTCHA sono ormai una porta d'accesso ai continui attacchi di dirottamento del browser e di phishing.
- I siti WordPress stanno silenziosamente dirottando gli utenti attraverso comandi DNS invisibili e comuni payload JavaScript.
Recenti indagini hanno rivelato un'inquietante alleanza tra hacker di WordPress e aziende di tecnologia pubblicitaria commerciale, che ha creato una vasta infrastruttura per la distribuzione di malware su scala globale. Questi attacchi prendono di mira specificamente i siti che utilizzano il sistema di gestione dei contenuti WordPress, rendendoli vulnerabili agli attacchi informatici.
Una ricerca ha scoperto che Informazioni sulle minacce di Infoblox Al centro di questa operazione c'è VexTrio, un sistema di distribuzione del traffico (TDS) responsabile del reindirizzamento degli utenti web attraverso strati di annunci falsi, reindirizzamenti ingannevoli e notifiche push fraudolente. Questo sistema consente agli hacker di raggiungere milioni di utenti.
Il rapporto sostiene che diverse aziende commerciali, tra cui Los Pollos, Partners House e RichAds, siano coinvolte in questa rete, agendo da intermediari e facilitatori. Queste aziende utilizzano sofisticate tecniche pubblicitarie per mascherare il malware.
La relazione di Los Pollos e la chiusura fallita
Inizialmente Infoblox collegò la rete Los Pollos a VexTrio quando la prima fu coinvolta in campagne di disinformazione russe.
In risposta, Los Pollos ha affermato che avrebbe posto fine al suo modello di "monetizzazione tramite link di pagamento".
Tuttavia, l'attività dannosa latente è continuata anche dopo che gli aggressori sono passati a un nuovo sistema TDS noto come Help, che è stato poi collegato a VexTrio. Questo cambiamento sottolinea la resilienza degli autori di attacchi e la loro capacità di adattarsi ai tentativi di interrompere le loro operazioni.
Le vulnerabilità di WordPress hanno rappresentato un punto di ingresso per numerose campagne malware, con gli aggressori che hanno compromesso migliaia di siti web e impiantato script di reindirizzamento dannosi. Questi script si basavano sui record DNS TXT come meccanismo di comando e controllo per determinare la destinazione dei visitatori del sito web. Questa tattica ha permesso agli aggressori di controllare e indirizzare il traffico in modo furtivo.
Un'analisi di oltre 4.5 milioni di risposte DNS tra agosto e dicembre 2024 ha rivelato che, sebbene i vari ceppi di malware apparissero distinti, condividevano infrastruttura, hosting e modelli di comportamento che hanno tutti portato a VexTrio o ai suoi proxy, tra cui Help TDS e Disposable TDS. Questa somiglianza nell'infrastruttura suggerisce un coordinamento centralizzato o un set di strumenti condiviso tra le varie campagne.
JavaScript su queste piattaforme ha dimostrato la stessa funzionalità, interrompendo i controlli del browser, forzando i reindirizzamenti e attirando gli utenti con falsi concorsi. Queste tecniche avevano lo scopo di indurre gli utenti a rivelare informazioni personali o a scaricare malware.
È interessante notare che questi sistemi TDS sono integrati in piattaforme di tecnologia pubblicitaria che si presentano come reti di affiliazione legittime. Questa integrazione rende difficile rilevare attività dannose e separarle dal traffico pubblicitario legittimo.
I ricercatori hanno osservato che "queste aziende mantenevano rapporti esclusivi con gli 'affiliati degli editori' e, in questo contesto, con gli hacker, e conoscevano le loro identità". Ciò suggerisce una potenziale complicità o negligenza da parte delle aziende di tecnologia pubblicitaria.
Le notifiche push si sono rivelate una minaccia particolarmente pericolosa. Gli utenti vengono indotti ad attivare le notifiche del browser tramite falsi CAPTCHA. Questa tecnica sfrutta la fiducia degli utenti nei comuni meccanismi di sicurezza.
Gli hacker inviano quindi link di phishing o malware dopo che l'utente si registra, aggirando le impostazioni del firewall e persino Il miglior software antivirusQuesto aggiramento rende difficile per gli utenti proteggersi dagli attacchi.
Alcune campagne instradano questi messaggi attraverso servizi affidabili come Google Firebase, rendendone più difficile il rilevamento. L'utilizzo di servizi legittimi nasconde la natura dannosa dei messaggi e li rende più difficili da rilevare per i sistemi di sicurezza.
La sovrapposizione tra le piattaforme di tecnologia pubblicitaria, tra cui BroPush, RichAds e Partners House, complica l'attribuzione. Questa sovrapposizione rende difficile identificare e ritenere responsabili i responsabili degli attacchi.
Sistemi DNS non configurati correttamente e script riutilizzati indicano un background comune e forse persino un ambiente di sviluppo comune. Ciò suggerisce che gli autori di attacchi malintenzionati utilizzino un set comune di strumenti e tecniche.
Per combattere il rischio, gli utenti dovrebbero evitare di attivare avvisi sospetti del browser e utilizzare strumenti che forniscono un accesso alla rete senza fiducia (ZTN) e prestare attenzione quando si utilizzano i prompt CAPTCHA. Queste misure possono aiutare gli utenti a proteggersi dagli attacchi.
Aggiornando WordPress e monitorando le anomalie DNS, gli amministratori di siti web possono ridurre il rischio di attacchi informatici. Una manutenzione regolare e misure di sicurezza proattive sono essenziali per proteggere i siti web dagli attacchi.
Tuttavia, le aziende di tecnologia pubblicitaria potrebbero avere la leva e la chiave per bloccare queste attività se decidessero di agire. Le aziende di tecnologia pubblicitaria hanno la responsabilità di contribuire a prevenire attività dannose sulle loro piattaforme.
