Aggiornamenti recenti Maggio 2nd, 2024 2:55 PM
Apr 16, 2018 Marco Schiaffino Attacchi, Malware, News, RSS 1
La chiamavano “The King of traffic distribution”, ma il suo vero nome è EITest. Tecnicamente, si tratta di una “catena di distribuzione” composta da migliaia di server compromessi e strumenti pensati per dirottare le potenziali vittime su pagine Web in grado di installare malware e altre applicazioni malevole.
Attiva dalla primavera del 2011, in origine sfruttava un exploit kit per diffondere il trojan Zaccess attraverso un exploit kit chiamato Glazunov. Nel 2014, dopo una breve pausa nella loro attività, i pirati hanno cominciato a utilizzare l’infrastruttura con Angler, un exploit kit rimasto attivo fino a metà 2016.
Nel frattempo, i cyber-criminali alla guida di EITest hanno modificato anche il loro modello di business, trasformando la loro creatura in un servizio che qualsiasi pirata informatico poteva affittare per distribuire il suo malware.
L’attività, da un punto di vista tecnico, può essere definita come “vendita di traffico”. A fronte di una cifra piuttosto modesta (circa 20 dollari ogni 1.000 visitatori) i gestori di EITest dirottavano blocchi da 50.000 – 70.000 visitatori sui siti Internet del “cliente”. Con 1.000 dollari, quindi, chi affittava il servizio di EITest si garantiva un “pacchetto” di 50.000 potenziali vittime.
La platea del cyber-crimine ha utilizzato EITest soprattutto per le classiche “truffe dell’assistenza tecnica”, che secondo quanto riportano i ricercatori di Proofpoint in questo report, negli ultimi tempi sono state associate anche all’uso di ransomware.
La festa è andata avanti fino al 15 marzo scorso, quando Proofpoint, Abuse.ch e BrillantIT sono riuscite a isolare i sistemi e mettere K.O. l’intera rete.
I ricercatori sono infatti riusciti a individuare il dominio attraverso cui operavano i server Command and Control attraverso i quali i cyber-criminali controllavano i siti infetti, bloccandone il traffico. I cyber-criminali hanno reagito immediatamente disattivando i proxy usati per la gestione dei server C&C.
L’analisi delle connessioni ricevute dal 15 marzo al 4 aprile ha permesso di quantificare il numero di server coinvolti. I ricercatori ne hanno individuati la bellezza di 52.000, che da questo momento sono tagliati fuori dalla rete.
Secondo Proofpoint, il gruppo che controlla (o meglio controllava) EITest non ha tentato di ripristinare l’infrastruttura e in questo momento i ricercatori sono al lavoro con il CERT per “ripulire” tutti i siti Internet infetti. Un lavoro colossale, che richiederà un bel po’ di tempo.
Apr 22, 2024 0
Apr 19, 2024 0
Apr 16, 2024 0
Mar 28, 2024 0
Mag 02, 2024 0
Mag 02, 2024 0
Apr 30, 2024 0
Apr 29, 2024 0
Apr 29, 2024 0
Lo United States Postal Service (USPS), l’agenzia...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mag 02, 2024 0
Il Dipartimento della sicurezza interna degli Stati Uniti...Mag 02, 2024 0
L’ultimo aggiornamento di sicurezza per Windows 11...Apr 30, 2024 0
Nell’ultimo mese Okta ha osservato un preoccupante...Apr 29, 2024 0
Nel periodo compreso tra il 20 e il 26 aprile,...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...
One thought on “Smantellato EITest, il re della distribuzione di malware e frodi online”