Archivi tag: malware

Quanto costano i tuoi dati sul darkweb (febbraio 2018 – edizione USA)

Preso tradotto e adattato da top10vpn

I truffatori stanno comprando e vendendo le tue informazioni personali rubate sul darkweb e non si tratta solo di dettagli della carta di credito.

Con profili di incontri hackerati, servizi di streaming e persino account di Airbnb in vendita, abbiamo creato l’indice dei prezzi di mercato del mercato nero (US Edition) per monitorare questo traffico illecito.

Ndr. Non credere che da noi sia tanto diverso, comunque, sei su internet “la rete globale” bello.

La tua intera identità online potrebbe valere meno di $ 1,200, secondo una nuovissima ricerca sulla vendita illecita di informazioni personali rubate sul dark web

Anche se non sorprende sapere che i dettagli della carta di credito sono tra i più scambiati, lo sapevate che i truffatori stanno hackerando account Uber, Airbnb e Netflix e li vendono per non meno di $ 10 ciascuno? Tutto ha un prezzo sul dark web.

I conti Paypal con un saldo salutare attirano i prezzi più alti (in media $ 247). All’altro estremo della scala però, gli account Grubhub o Walmart hackerati valgono meno di $ 10. Gli aspiranti truffatori possono facilmente spendere di più per il loro panino all’ora di pranzo piuttosto che per acquistare account di clienti rubati per negozi online come Costco ($ 5) e ASOS ($ 2).

L’utente  medio ha dozzine di account che formano la sua identità online, ognuno dei quali può essere hackerato e venduto. 7

Il nostro team di esperti di sicurezza ha esaminato decine di migliaia di annunci su tre dei più popolari mercati del dark web, Dream, Point e Wall Street Market.

Questi siti web crittografati, che possono essere raggiunti solo utilizzando il browser Tor, consentono ai criminali di vendere anonimamente informazioni personali rubate, insieme a tutti i tipi di contrabbando, come droghe e armi illecite.

Ci siamo concentrati su elenchi con ID rubato, account hackerati e informazioni personali rilevanti per gli Stati Uniti per creare l’indice dei prezzi del mercato web scuro. Abbiamo calcolato i prezzi medi di vendita per ogni articolo e siamo rimasti scioccati nel vedere che $ 1,170 è tutto ciò che costerebbe acquistare l’intera identità di qualcuno se dovessero avere tutti gli articoli elencati.

Per aiutare gli Stati Uniti a capire quanto valgono i loro dati personali abbiamo creato il seguente indice dei prezzi.

I prezzi di vendita spiegati

Personal finance

I dettagli finanziari in bianco sono di gran lunga gli articoli più comunemente elencati, in particolare le carte di credito sono le più preziose. I prezzi di vendita tendono ad essere il 10% del saldo disponibile, tuttavia abbiamo trovato esempi credibili di account Paypal che costavano il doppio, suggerendo un’elevata domanda corrente per questi account.

Un tipo popolare di quotazione è ciò che è noto come “Fullz”. Questi pacchetti di informazioni di identificazione “complete”, a volte sono impacchettati con dettagli finanziari o venduti separatamente. Abbiamo trovato elenchi con il nome delle persone, l’indirizzo di fatturazione, il cognome da nubile della madre, il numero di previdenza sociale, la data di nascita e altri dati personali.

Proof of identity

Una delle  tattiche preferite dai criminali informatici è quella di creare linee di credito nel nome di qualcun altro. Ecco perché vediamo scambiare ogni sorta di prova digitale dell’identità, come scansioni di passaporti, selfie e bollette.

I prezzi elevati riflettono la facilità con cui tali articoli possono essere utilizzati per commettere frodi.

Shopping online

Ci può essere un grande calo nel prezzo, ma i conti degli acquisti online compromessi offrono molte opportunità di frode.

La maggior parte delle gestioni cambia per meno di $ 10, alcuni per molto meno di quello.

Memorizzare i dettagli di pagamento nei conti Amazon o Bestbuy può essere molto conveniente ma lascia i titolari di conti aperti a una serie di truffe, tali frodi ordinano oggetti costosi per poi rivenderli e intascare i contanti.

Anche i conti gestiti da hacker su eBay sono particolarmente allettanti in quanto non solo consentono ai criminali di ingannare gli acquirenti per inviare denaro per inserzioni false, ma anche di acquistare beni costosi con i fondi del proprietario dell’account per intercettare e vendere.

Travel Dispite

Con un prezzo di vendita medio inferiore a $ 8 gli account Airbnb compromessi aprono un mondo di truffe al compratore. Ci sono state segnalazioni di hacker che cambiano i dettagli di pagamento degli host per rubare i loro guadagni.

I truffatori gestiscono anche account di ospiti di alto livello per prenotare soggiorni in proprietà premium e persino svaligiare i padroni di casa. Airbnb ha introdotto nuove misure di sicurezza, ma nei suoi forum della community continuano a essere pubblicate storie dell’orrore.

Ci sono state anche notizie di russi che usano account Uber hackerati, che vendono qui per soli $ 7, per farsi pagare  grandi conti per viaggi Uber che il vero proprietario non ha mai preso , a volte dall’altra parte del mondo. L’accesso ad altri account di viaggio, come Booking.com, offre ai criminali l’opportunità di inviare e-mail fasulle inducendo le persone a effettuare pagamenti di alto valore relativi alle loro modalità di viaggio, oltre a rubare la loro carta di credito.

Entertaining

Come con la maggior parte degli account compromessi che abbiamo trovato in vendita sul Web scuro, questi accessi offrono un percorso verso il potenziale furto di identità. Un ulteriore vantaggio è che i criminali opportunisti possono anche trasmettere i contenuti gratuitamente, almeno fino a quando il vero proprietario non nota che il loro account Netflix o Spotify è stato compromesso. Il basso costo di questi articoli riflette la limitata capacità di riutilizzo.

Communication

Gli account Skypesono stati utilizzati per inviare spam anche quando è stata attivata l’autenticazione a due fattori. I messaggi di spam contengono talvolta collegamenti di phishing a siti popolari come LinkedIn e Baidu.

Gli account di telefonia mobile sono una miniera di opportunità di frode, in particolare dato l’uso di messaggi SMS per la verifica del conto bancario, ad esempio.

Gli accessi di Facebook a $ 5,20 si vendono più cari di altri account di social media a causa del maggior potenziale in grado di fornire sufficienti dati personali per ottenere l’accesso a account più redditizi o commettere furti d’identità.

I ​​selfie e il food porn di Instagram potrebbero non avere alcun valore per i truffatori, ma i conti hacker sulla piattaforma rimangono in vendita, anche se per un dollar. Per un investimento così basso, può essere interessante per i criminali informatici accedere e vedere cosa potrebbero trovare utile per il furto di identità.

Ottenere l’accesso alle e-mail di una vittima è spessol’aspetto critico di una truffa online, anche se non è altrettanto utile come altri account. I dettagli della carta di credito non sono in genere memorizzati lì, mentre la ricerca di migliaia di e-mail in cerca di informazioni personali non è efficiente come altri metodi.

La sicurezza su Gmail, come l’autenticazione a due fattori e gli avvisi di accesso sospetti, spinge il prezzo a solo $ 1 rispetto ad altri fornitori, in quanto l’accesso può essere revocato rapidamente, rendendo inutili i dettagli compromessi.

Food delivery

Sembra che anche i truffatori abbiano fame, hackerando servizi di consegna di cibo come Grubhub per ordinare in modo fraudolento cibo e alcolici costosi. Ci sono rapporti di ordini di quasi $ 180 che vengono incasinati su account hackerati, che vendono per poco più di $ 9 sul dark web.

Dating

Questi tipi di annunci sono usciti con il prezzo medio più basso nel nostro indice, che riflette il loro uso limitato ai criminali. Mentre gli account di appuntamenti piratati potrebbero sicuramente essere usati per “catfishing”, un classico congo in cui il truffatore adotta un’identità fittizia per attirare la vittima in una relazione per trarne vantaggio finanziario, è più economico e più facile creare solo account falsi.

Ovviamente, come con la maggior parte degli articoli nel nostro indice, c’è la possibilità di estrarre l’account per informazioni personali per aiutare con il furto di identità.

La linea di fondo è che gli hacker proveranno a vendere tutto ciò che hanno nella speranza di ricavare qualche valore dalla loro attività criminale.

Metodologia: il nostro team ha esaminato tutte le schede relative alle frodi su tre dei più grandi mercati del dark web, Dream, Point e Mercato di Wall Street dal 5 all’11 febbraio 2018. Gli elenchi pertinenti sono stati raccolti e classificati per calcolare i prezzi medi di vendita. Indice dei prezzi di mercato Web scuro – Feb 2018 – Raw

L’Agenzia per l’Italia Digitale avverte: diffusione di malware attraverso il dominio “documenticertificati.com”

Sicurezza: diffusione di malware attraverso il dominio “documenticertificati.com”

Nella giornata del 13 marzo 2018 si è diffusa una attività malevola di propagazione malware attraverso il dominio “documenticertificati[.]com”, che appare come un sito sicuro identificato da un certificato di sicurezza e con i loghi di AgID e SPID.

ATTENZIONE! Il dominio in oggetto è estraneo alle attività di AgID e/o del circuito SPID.

L’Agenzia per l’Italia Digitale ha pubblicato – di seguito e attraverso il CERT-PA – delle indicazioni per riconoscere l’attività malevola e gli indicatori di compromissione.

Come arriva il malware

Il link al download arriva all’utente finale tramite una email proveniente dall’account “admin[@]documenticertificati[.]com” e veicolata attraverso il servizio “mailjet[.]com”. La mail dal titolo “Consegna documenti per XXXX” riporta nel corpo del messaggio le credenziali per scaricare la finta “pratica”(con XXX personalizzato per il destinatario).

Una volta inserite le credenziali, è proposto in download un file .zip contenente due malware: uno di tipo PE, l’altro JAR.

Riporto di seguito maggiori approfondimenti destinati ai tecnici provenienti dal sito di CERT-PA

(link is external).
Dettaglio News
Attività malevola attraverso il dominio “documenticertificati.com”
13/03/2018
In data odierna il CERT-PA (Computer emergency response team – Pubblica Amministrazione) è venuto a conoscenza di una attività malevola di diffusione malware attraverso il dominio documenticertificati[.]com che agli occhi degli utenti appare come un sito sicuro in quanto autenticato da un certificato di sicurezza e riportante i loghi di AgID e SPID.

È quasi superfluo sottolineare che il dominio in oggetto non ha alcun legame con AgID e/o il circuito SPID.

documenticertificati.it

 

Il link al download arriva all’utente finale tramite una email proveniente dall’account “admin@documenticertificati.com” e veicolata attraverso il servizio “mailjet.com”.

La mail dal titolo “Consegna documenti per XXXX” riporta nel corpo del messaggio le credenziali per scaricare la finta “pratica”. (con XXX personalizzato per il destinatario).

Una volta inserite le credenziali, verrà proposto in download un file .zip contenente due malware: uno di tipo PE, l’altro JAR.

Indicatori di Compromissione

DocumentiCV.exe
MD5: 32afb5d9d3ed93fdaf0cae35063dd53e
URL: https://infosec.cert-pa.it/analyze/32afb5d9d3ed93fdaf0cae35063dd53e.html
STIX: https://infosec.cert-pa.it/analyze/32afb5d9d3ed93fdaf0cae35063dd53e.stix
LettoreDOC.jar
MD5: a76e9730dd08c15ef57919ac62a5d435
URL: https://infosec.cert-pa.it/analyze/a76e9730dd08c15ef57919ac62a5d435.html
STIX: https://infosec.cert-pa.it/analyze/a76e9730dd08c15ef57919ac62a5d435.stix

L’analisi dei sample è in corso, nuovi dettagli verranno forniti nell’apposito bollettino di prossima emissione.

50.000 siti infettati da malware di criptovaluta, tra i quali 7.368 WordPress

L’epidemia di malware da criptovaluta sta sfuggendo di mano: quasi 50.000 siti sono stati infettati surrettiziamente da script di crittografia

secondo il ricercatore di sicurezza Troy Mursch di Bad Packets Report.

Affidandosi al motore di ricerca del codice sorgente PublicWWW per eseguire la scansione del Web per le pagine che eseguivano malware crittografici, Mursch è stato in grado di identificare almeno 48,953 siti Web interessati.

Almeno 7.368 dei siti compromessi sono alimentati da WordPress.

Il ricercatore fa notare che Coinhive continua a essere la scrittura crittografica più diffusa, con circa 40.000 siti Web infetti: uno straordinario 81% di tutti i casi registrati. Vale la pena ricordare che Mursch è stato in grado di trovare almeno 30.000 siti Web che eseguono Coinhive nel novembre dello scorso anno.

Per il resto, Bad Packets Report indica che il restante 19% è distribuito tra varie alternative di Coinhive, come Crypto-Loot, CoinImp, Minr e deepMiner. La sua ricerca suggerisce che ci sono 2.057 siti infettati da Crypto-Loot, 4,119 da CoinImp, 692 siti da Minr e 2,160 da deepMiner.

A febbraio, i ricercatori della sicurezza hanno scoperto che una manciata di siti Web legittimi – inclusi portali di agenzie governative e di servizio pubblico – eseguivano silenziosamente script crittografici.

Il ricercatore ha anche pubblicato un documento sul file PasteBin che descrive in dettaglio i 7.000 siti interessati dal 20 gennaio di quest’anno. “Alcuni di questi siti hanno già rimosso il malware cripto-jacking”, si legge nella pagina PasteBin. “Tuttavia, molti rimangono compromessi.

Naviga a tuo rischio.

La campagna #cryptojacking indirizzata ai siti Web #WordPress ha ora colpito almeno 7.368 siti.

La query @publicww utilizzata per trovare i siti con il codice #Coinhive offuscato è discussa qui:  … Elenco dei siti trovati dal 20 gennaio: 9:32 – 6 marzo 2018 (aggiornamento dell’ultima ora, l’IP del sito non è più raggiungibile)

Nel frattempo, coloro che cercano di proteggersi da tali attacchi dovrebbe leggere questo pezzo che spiega come impedire agli hacker di prendere in prestito in prestito la potenza della CPU per estrarre la crittografia. Coloro che sono interessati al rapporto completo sui pacchetti difettosi possono leggere il post qui. Anche se blockchain e criptovaluta potrebbero non essere ancora perfetti, stiamo esplorando le possibilità alla TNW Conference 2018.

Add-on piratato di WordPress trasforma i siti in dispenser di malware

Tratto tradotto ed adattato da: XtremeHardware

Tra gli strumenti utilizzati nella creazione di siti web, WordPress è sicuramente uno dei CMS (content management system) più noti e impiegati, anche per questo subisce il maggior numero di aggressioni da parte di hacker.

Le numerose estensioni disponibili permettono di creare pagine web facilmente pur non disponendo di buone capacità di programmazione. È comunque importante prestare attenzione nello scegliere i plugin.

GDATA WordPress Malware

L’idea di creare il proprio sito internet è associata ad un’ingente quantità di lavoro manuale. La strumentazione moderna lo rende invece un gioco da ragazzi –innumerevoli i layout già “pronti all’uso” nei quali bisogna solo aggiungere testo e immagini.

Molte estensioni per WordPress sono gratuite, mentre altre sono a pagamento. Un webmaster attento ai costi cerca di evitare al massimo questo genere di spese. Nel caso evidenziato in questo report, i criminali mirano a colpire i numerosi utenti WordPress che desiderano avvalersi di template gratuiti, ecco come.

Trappola gratuita?

Alcune tipologie di temi a pagamento sono molto più utilizzate di altre e non stupisce che sul web se ne possano trovare anche di piratate.

Parte di queste copie contraffatte vengono fornite con “add-on” nascosti che possono creare non pochi problemi al webmaster poiché in grado di trasformare le pagine web in distributori di malware, ovviamente del tutto all’oscuro dell’amministratore del sito.

Ottimizzazione dei motori di ricerca SEO

Chiunque sia in possesso di un sito web desidera essere il primo sui motori di ricerca. I risultati presentati su Google si basano su diversi criteri, uno dei quali, oltre all’impiego delle giuste keyword, è la frequenza con cui la pagina valutata viene menzionata da altre pagine. Alcune società assumono uno o più dipendenti con il compito di applicare la miglior strategia per far apparire il sito il più in alto possibile nei risultati delle ricerche. Questa attività è chiamata ottimizzazione dei motori di ricerca (Search Engine Optimization – SEO).

Strategie adottate anche dai cybercriminali, esistono infatti alcuni template WordPress contraffatti che integrano tecniche SEO per incrementare la distribuzione di codice malevolo, come l’ultima evoluzione della backdoor Wp-Vcd, che una volta installata su WordPress crea automaticamente un account amministratore nascosto che consente all’hacker di accedere alla piattaforma quando più gli aggrada e, per esempio, postare malware sul sito compromesso a propria discrezione.

In primo acchito la backdoor è stata riscontrata scaricando il tema ExProduct v1.0.7 dal sito “hxxp://downloadfreethemes.download” che ospita numerosissimi template WordPress (al momento dell’analisi 32.200) piratati. Ulteriori analisi hanno rivelato quanto l’autore fosse proattivo nel posizionare al meglio il template sui motori di ricerca e quanto l’algoritmo di Google sia passibile di raggiro.

Ulteriori informazioni sull’analisi

Ulteriori informazioni e dettagli tecnici su diffusione e funzionamento della backdoor sono contenute nel whitepaper reperibile in lingua inglese al link

Uomo avvisato mezzo salvato

Fino a quando le persone riporranno cieca fiducia in qualunque sito web venga loro proposto, saranno potenziali vittime e ciò non cambierà in tempi brevi. Agli occhi di moltissime persone i servizi di ricerca e di posta elettronica che Google eroga da anni sono estremamente affidabili.

I criminali lo sanno bene e sfruttano la situazione, riuscendo a posizionare ottimamente persino applicazioni quali “paypal generator v1.0” o “Facebook hacker v2.3 updated” nei risultati dei motori di ricerca.

Internet semplice

i termini del web spiegati in modo comprensibile per i non addetti ai lavori

Esistono termini oggi molto usati, spesso a sproposito, dai soliti esperti informatici, ma basta informarsi per comprenderne il corretto significato.

In questo piccolo manuale sono raccolte le definizioni dei principali termini con cui ci si deve confrontare durante la navigazione su internet e le pagine web.

  Trovi su Amazon il libro che ti spiega internet in modo diretto e comprensibile.
 Internet semplice
in versione digitale oppure su carta

Appunto cosa significa web? e internet?

Ognuno dei dodici capitoli è dedicato alla spiegazione di un termine:

Conoscere il significato di queste parole è indispensabile per affrontare con sicurezza il mondo che ci si presenta dall’altra parte dello schermo del nostro computer, tablet o smartphone.

Ogni definizione è raccolta in una scheda che affronta il tema in modo semplice, senza usare termini destinati agli addetti ai lavori.

Come base per questa schede ho raccolto il materiale didattico, ormai ben collaudato, che ho preparato negli anni per i corsi di comunicazione online per adulti e di grafica multimediale per la scuola.

Questi sono i termini affrontati in questi libro

  • Breve storia di internet
  • Come funziona internet
  • Interattività
  • URL e protocolli
  • Nomi a dominio
  • Collegamenti ipertestuali
  • World Wide Web
  • Sito web
  • Virus o malware
  • Blog e come funziona
  • Browser Motori di ricerca
  • Social network

Sono una persona fortunata perchè faccio due lavori che mi piacciono.

Progetto grafica per applicazioni multimediali, quindi posso dare sfogo alla mia creatività. Inoltre insegno ai ragazzi, ma anche alle persone adulte, la teoria e la tecnica del web design. Che è quello che ho fatto per anni di mestiere e che continuo tuttora a fare.

Trasmettere le proprie conoscenze è appassionante, anzi, il confronto con gli studenti dà modo di verificare la padronanza degli argomenti esposti.

Nel mio caso sono argomenti che toccano sia la comunicazione che la creatività. Mi è venuto quindi naturale trasportare le mie lezioni su “carta”, partendo proprio dai concetti base, utili a chiunque desideri approfondire la propria conoscenza di internet e dl web.

“Cosa vuole dire” è forse la domanda che i bambini fanno più di frequente e proprio da semplici definizioni si parte per conoscere il mondo digitale che è nuovo per tanti di noi.

Sfrutta i pc collegati al tuo sito per fabbricare criptovalute e non dirlo a nessuno

Coinhive offre un software javascript per adottare un comportamento che definirei a dire poco scorretto, traduco dal sito e adatto il testo anche per in non esperti.

Come sfruttare la CPU dei computer che si collegano al tuo sito per fare soldi con operazioni di mining di criptovalute non dichiarate

Ovviamente da non fare, perché è un sistema sicuro per perdere visitatori e farsi un nome pessimo online

Coinhive offre un miner di criptovaluta JavaScript per Monero* Blockchain che puoi incorporare nel tuo sito web.

I tuoi utenti eseguono il minatore direttamente nel loro Browser e scelgono tra le risorse a tua disposizione per avere un’esperienza senza pubblicità. Puoi concedere file di streaming video per il download per consentire la navigazione senza pubblicità sul tuo sito di credito oppure articoli bonus da usare nel tuo gioco

La nostra API JavaScript ti offre la flessibilità di offrire qualsiasi ricompensa e incentivi.

Offriamo anche un servizio simile al captcha e una soluzione di shortlink facile da implementare sul tuo sito. Questi servizi, se pienamente supportati, dovrebbero servire solo come esempio di ciò che è possibile.

Siamo eccitati all’idea di vedere come utilizzerai il nostro servizio. Lo proponiamo come alternativa ai micro-pagamenti, ai tempi di attesa artificiali nei giochi online, agli annunci intrusivi e alle tante discutibili tattiche di marketing.

I tuoi utenti possono “pagarti” con piena privacy, senza registrare un account da nessuna parte, senza installare un’estensione del browser e senza essere bombardati da pubblicità oscure. Ti pagheranno con la loro potenza della CPU.

*Perché la criptovaluta Monero?

Monero (XMR) è una criptovaluta creata nell’aprile 2014 che si focalizza sulla privacy, la decentralizzazione, la scalabilità e sulla fungibilità. Il suo primo nome è stato BitMonero per poi divenire semplicemente Monero che in esperanto significa moneta.

Monero è diverso. Per estrarre Monero, devi calcolare hash con un algoritmo chiamato Cryptonight. Questo algoritmo è molto pesante e, sebbene nel complesso abbastanza lento, è stato progettato per funzionare bene con le CPU consumer.

Esistono soluzioni per eseguire l’algoritmo di Cryptonight su una GPU, ma il vantaggio è di circa 2x, non di 10000x come per gli altri algoritmi utilizzati da Bitcoin o Ethereum. Questo rende Cryptonight un buon bersaglio per JavaScript e il browser. Ovviamente, utilizzare le prestazioni di JavaScript è ancora un po costoso, ma non è così male.

 

potrebbe funzionare sul mio sito?

Tecnicamente sì, economicamente probabilmente no. Se gestisci un blog che riceve 10 visite al giorno, il pagamento sarà minimo.

Implementare un sistema di ricompensa per il tuo sito o gioco in cui gli utenti devono mantenere l’estrazione per periodi più lunghi è molto più fattibile.

Con solo 10-20 minatori attivi sul tuo sito, puoi aspettarti un fatturato mensile di circa 0,3 XMR (~ $ 81).

Se gestisci un sito di video in streaming, un sito di community, un gioco online o qualsiasi altra cosa in cui puoi dare ai tuoi utenti un incentivo per eseguire il minatore per periodi più lunghi.  Allora assolutamente devi  provarlo.

Il sito web Pirate Bay rifila malware ai visitatori

Il sito Web Pirate Bay esegue un miner di criptovaluta a spese nostre

Alcune ore fa un miner di criptovaluta è apparso sul sito Web di The Pirate Bay, utilizzando le risorse informatiche dei visitatori per estrarre le monete Monero.

Gli operatori di The Pirate Bay lo giustificano come un nuovo modo di generare entrate, ma molti utenti non sono contenti. Quattro anni fa molti siti di torrent popolari hanno aggiunto un’opzione per donare tramite Bitcoin. The Pirate Bay è stato uno dei primi a saltare a bordo e ancora elenca il suo indirizzo sul sito web.

Mentre non c’è niente di sbagliato nell’usare Bitcoin come strumento di donazione, l’aggiunta di un miner di criptovaluta Javascript su un sito è di un ordine completamente diverso.

  Trovi su Amazon il manuale per imparare velocemente come realizzare il tuo sito internet.

Il libro contiene anche suggerimenti di web design e un piccolo glossario dei principali termini usati.
 WordPress semplice
in versione digitale oppre su carta

 

Poche ore fa molti utenti di Pirate Bay hanno iniziato a notare che il loro utilizzo della CPU aumentava notevolmente quando navigavano su alcune pagine di Pirate Bay.

Ad un’ispezione più ravvicinata, questo picco sembra essere stato causato da un minatore Bitcoin incorporato nel sito. Il codice in questione è nascosto nel footer del sito e utilizza un minatore fornito da Coinhive.

Questo servizio offre ai proprietari del sito l’opzione di convertire la potenza della CPU degli utenti in monete Monero. Sembra che il minatore aumenti un po ‘l’utilizzo della CPU.

È rallentato a ritmi diversi (abbiamo visto sia lo 0.6 che lo 0.8), ma l’aumento delle risorse è immediatamente evidente. Il miner non è abilitato in tutto il sito. Quando abbiamo controllato, è apparso nei risultati di ricerca e negli elenchi di categorie, ma non nella home page o nelle singole pagine torrent.

Non c’è stato alcun commento ufficiale da parte degli operatori del sito sul problema , ma molti utenti si sono lamentati di questo. Nei forum ufficiali del sito, il supermoderatore TP di Sid non è chiaramente d’accordo con l’ultima aggiunta del sito.

“Questo è davvero serio, quindi speriamo di poter intervenire rapidamente. E forse ottenere un po ‘di attenzione per il caricamento e commentare i bug mentre ci sono, “scrive Sid.

Come molti altri, sottolinea anche che il blocco o la disabilitazione di Javascript può fermare l’estrazione automatica.

Questo può essere fatto tramite le impostazioni del browser o tramite i componenti aggiuntivi di script blocker come NoScript e ScriptBlock.

In alternativa, le persone possono bloccare l’URL minatore con u spftware per il blocco di annunci.

Il minatore è uno strumento nuovo e permanente, o forse innescato da un inserzionista, è sconosciuto al punto.

Aggiornamento  di Pirate Bay: ci è stato detto che il minatore è stato testato per un breve periodo (~ 24 ore) come un nuovo modo per generare entrate.

Questo potrebbe alla fine sostituire gli annunci sul sito.

Altre informazioni potrebbero essere rivelate in seguito. Aggiornamento: gli operatori hanno pubblicato anche una dichiarazione sul sito. “Come forse avrai notato, stiamo testando un minatore di javascript Monero. Questo è solo un test. Vogliamo davvero sbarazzarci di tutte le pubblicità. Ma abbiamo anche bisogno di denaro sufficiente per mantenere attivo il sito.

 Vuoi pubblicità o vuoi regalare alcuni dei tuoi cicli di CPU ogni volta che visiti il ​​sito? Ovviamente il mining può essere bloccato da un normale ad-blocker.

Nota: Inizialmente c’era un piccolo errore di battitura in modo da utilizzare tutta la CPU per un client. Questo dovrebbe essere corretto ora, quindi dovrebbe essere utilizzato solo il 20-30%. Inoltre è limitato a essere eseguito in una sola scheda.

EvilTraffic Report sull’analisi del nuovo malware: decine di migliaia di siti WordPress compromessi

268/5000
Traduco ed adatto dal post: malware di CSE Cybsec hanno scoperto una massiccia campagna di malvertising chiamata

EvilTraffic il malvertising che sta sfruttando decine di migliaia di siti Web compromessi.

Questo malware  ha sfruttato alcune vulnerabilità CMS ( includendo quindi anche WordPress) per caricare ed eseguire pagine PHP arbitrarie utilizzate per generare entrate tramite la pubblicità.

Negli ultimi giorni del 2017, i ricercatori di CSE Cybsec hanno osservato gli attori delle minacce che sfruttano alcune vulnerabilità CMS per caricare ed eseguire pagine PHP arbitrarie utilizzate per generare entrate tramite la pubblicità.

L’enorme campagna di malvertising è stata soprannominata EvilTraffic

I siti Web compromessi coinvolti nella campagna EvilTraffic eseguono varie versioni del famoso CMS WordPress. Una volta che un sito Web è stato compromesso, gli utenti malintenzionati caricheranno un file “zip” contenente tutti i file dannosi. Nonostante il file “zip” abbia un nome diverso per ciascuna infezione, quando non è compresso, i file in esso contenuti hanno sempre la stessa struttura.

Abbiamo trovato alcuni di questi archivi non ancora utilizzati, quindi abbiamo analizzato il loro contenuto. I file dannosi vengono inseriti in un percorso che si riferisce probabilmente a versioni diverse dello stesso malware (“vomiu”, “blsnxw”, “yrpowe”, “hkfoeyw”, “aqkei”, “xbiret”, “slvkty”). Sotto questa cartella ci sono: un file php, chiamato “lerbim.php”; un file php, che ha lo stesso nome della dir padre; ha inizialmente un’estensione “.suspected” e solo in una seconda volta, usando il file “lerbim.php”, sarebbe stato cambiato nel file “.php”; due directory, chiamate “wtuds” e “sotpie”, contenenti una serie di file.

Lo scopo principale del “malware” utilizzato nella campagna EvilTraffic è di attivare una catena di reindirizzamento attraverso almeno due server che generano traffico pubblicitario.

Il file “{malw_name} .php” diventa il nucleo di tutto questo contesto: se viene contattato dall’utente tramite il browser web, reindirizza il flusso prima a “caforyn.pw” e quindi a “hitcpm.com”, che funge da supervisore per diversi siti registrati in questa catena di ricavi.

Questi siti potrebbero essere utilizzati dagli aggressori per offrire servizi commerciali che mirano ad aumentare il traffico per i loro clienti, ma questo traffico viene generato in modo illegale compromettendo i siti web.

I siti potrebbero ospitare anche pagine fraudolente che pretendono di scaricare materiale sospetto (ad esempio barre degli strumenti, estensioni del browser o antivirus falso) o rubare dati sensibili (ad esempio informazioni sulla carta di credito). Al fine di aumentare la visibilità del web, i siti compromessi devono avere un buon page rank nei motori di ricerca.

Quindi, il malware esegue l’avvelenamento SEO sfruttando un elenco di parole contenente le parole cercate di tendenza.

La popolazione del sito compromesso con le liste di parole ei relativi risultati di query viene attivata contattando il PHP principale utilizzando uno specifico User-Agent su un percorso “{nome_malw} / {} malw_name .php? vm = {keyword}”. I ricercatori di CSE CybSec ZLab hanno scoperto circa 18.100 siti Web compromessi.

Mentre i ricercatori stavano analizzando la campagna di malvertising EvilTraffic, si sono resi conto che la maggior parte dei siti Web compromessi utilizzati nelle prime settimane degli attacchi sono stati ripuliti negli ultimi giorni. solo in una settimana, il numero di siti Web compromessi è sceso da circa 35k a 18k.

Secondo Alexa Traffic Rank, hitcpm.com è classificato al numero 132 nel mondo e lo 0,2367% degli utenti Internet globali lo visita. Di seguito sono riportate alcune statistiche sul traffico relative a hitcpm.com fornite da hypestat.com

  • Visitatori unici giornalieri 1.183.500
  • Visitatori unici mensili 35.505.000
  • Pagine per visita 1.41
  • Visualizzazioni di pagina giornaliere 1.668.735

L’analisi del traffico mostra un aumento esponenziale del traffico nel mese di ottobre 2017. Gli esperti hanno scoperto che truffatori dietro l’operazione EvilTraffic ha utilizzato un software dannoso per dirottare il traffico, agisce come un browser hijacker.

Il malware viene distribuito attraverso vari metodi, come ad esempio:

  • Allegato di posta indesiderata
  • Download di programmi freeware tramite un sito inaffidabile
  • Aprire file torrent e fare clic su collegamenti dannosi
  • Giocando a giochi online
  • Visitando siti Web compromessi

Lo scopo principale del malware è quello di dirottare i browser cambiando browser impostazioni come DNS, impostazioni, homepage ecc. per reindirizzare il maggior numero possibile di traffico verso il sito del dispatcher.

Ulteriori dettagli tecnici su questa campagna, inclusi gli IoC, sono disponibili nel rapporto intitolato “Decine di migliaia di siti Web compromessi coinvolti in una nuova massiccia campagna di malvertising”