Contro malware e botnet un fronte comune di aziende per la cybersicurezza

Naviga SWZ: Home Page » News
News del 04 Settembre 17 Autore: Stefano Fossati
Di fronte alla crescente diffusione di attacchi informatici sempre più sofisticati, la collaborazione fra i principali operatori del settore hi-tech e della cybersicurezza può dare vita a un fronte in grado di arginare efficacemente le minacce. Lo dimostra la reazione alla botnet WireX, che il 17 agosto scorso ha preso di mira numerose reti per la distribuzione dei contenuti (CDN) e provider di contenuti. Composta principalmente da dispositivi Android che eseguono applicazioni dannose, la botnet WireX - così battezzata dall´anagramma di una delle stringhe di delimitazione presenti nel relativo protocollo Command and Control - genera traffico DDoS ed è spesso accompagnata da messaggi di richiesta di riscatto.

Avvisata alcuni giorni fa della presenza di questo malware nel suo Play Store, Google ha subito bloccato centinaia di applicazioni interessate e avviato il processo per rimuovere tali applicazioni da tutti i dispositivi infettati. Intanto i ricercatori di Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru e di altre organizzazioni hanno unito le forze per contrastare questa botnet.

Contro malware e botnet un fronte comune di aziende per la cybersicurezza - immagine 1

Malware, Rootkits & Botnets A Beginner´s Guide
Amazon.it: 33,14 € - Prezzo scontato, stai risparmiando: 6,70 €
Compra ora
I primi segnali rilevati della presenza di WireX risalgono al 2 agosto: si tratta di piccoli attacchi passati inosservati in un primo momento e che non sono stati scoperti fino a quando i ricercatori non hanno iniziato a cercare la stringa User-Agent di 26 caratteri nei log. La portata estremamente contenuta di questi primi attacchi suggerisce che il malware fosse ancora in fase di sviluppo o comunque nelle prime fasi dell´implementazione. Attacchi più prolungati sono stati identificati a partire dal 15 agosto, con alcuni eventi che hanno avuto origine da un minimo di 70 mila indirizzi IP simultaneamente.

La botnet WireX genera attacchi DDoS volumetrici a livello di applicazioni. Il traffico generato dai nodi di attacco è principalmente composto da richieste HTTP GET, sebbene stiano facendo la loro comparsa alcune varianti in grado di generare richieste POST: in pratica, questo significa che la botnet produce traffico che assomiglia alle richieste valide provenienti da browser web e client HTTP generici.

I ricercatori hanno identificato centinaia di app coinvolte, che in alcuni casi erano presenti anche in app store noti e preconfigurati per dispositivi mobili. Solo Google, dopo la segnalazione, ha provveduto a bloccarne sul Play Store circa 300. Molte delle applicazioni identificate appartengono alle categorie dei lettori video o multimediali, delle suonerie o di strumenti come storage manager e app store, dotati di funzionalità nascoste aggiuntive non prontamente evidenti agli utenti dei dispositivi infettati. All´avvio di queste applicazioni, i componenti dannosi avviano il servizio di polling Command and Control che invia query al server C&C per ottenere comandi di attacco. Una volta ricevuti i comandi di attacco, il servizio di analisi ispeziona il comando di attacco non elaborato, lo analizza e avvalendosi dei parametri estratti richiama il servizio che lancia l´attacco.

Le applicazioni che ospitavano queste funzioni di attacco, per quanto dannose, apparivano del tutto innocue agli occhi degli utenti che le avevano installate. Esse sfruttavano inoltre le funzionalità dell´architettura di servizi Android, che consente alle applicazioni di utilizzare risorse di sistema persino quando sono eseguite in background. In questo modo erano in grado di lanciare gli attacchi anche quando l´applicazione non era in uso. Attualmente gli scanner antivirus riconoscono questo malware come trojan "Android Clicker", sebbene lo scopo di questa campagna non abbia niente a che vedere con il Click Fraud. È probabile che questo malware fosse in qualche modo associato al Click Fraud, ma sia stato in seguito riqualificato per lanciare attacchi DDoS.

Queste scoperte sono state possibili solo grazie alla collaborazione tra obiettivi degli attacchi DDoS, società che si occupano di mitigare gli attacchi DDoS e società di ricerca. Ciascuno di loro ha infatti apportato un pezzo diverso del puzzle e senza il contributo di tutti questa botnet sarebbe rimasta un mistero. La pratica non è del tutto nuova: sulla scia degli attacchi Mirai si è registrato un ritorno ai gruppi di condivisione di informazioni, in cui i ricercatori condividono rapporti, e quando necessario collaborano attivamente, per risolvere problemi che interessano l´intera rete Internet. Il valore di questo tipo di collaborazione è stato ulteriormente rafforzato dalla comparsa di WannaCry, Petya e altri eventi di portata globale. Molti di questi gruppi di condivisione di informazioni, come quello creato in questa occasione, hanno lo scopo di favorire lo scambio di comunicazioni totalmente informali tra esperti dello stesso settore.
Inserisci un commento sul forum Commenta la News sul Forum

Voto:

Categoria: Sicurezza

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

NOTIZIE CORRELATE