I ricercatori di cybersecurity di AhnLab: Il malware viene scaricato ed eseguito da un file WSF all’interno di un file compresso, veicolato tramite url nelle email di phishing.
Cybercrime, compromessi 243 sotto-domini su Microsoft Azure
Almeno 243 sotto-domini su Microsoft Azure sono stati compromessi dal cybercrime. Lo ha scoperto il ricercatore di cyber security Zach Edwards. Il CSIRT-Italia: La causa sono i DNS records, che permettono di acquistare i CNAME e veicolare phishing e malware
Almeno 243 sotto-domini dismessi e ospitati prevalentemente su Microsoft Azure sono stati compromessi dal cybercrime. Lo ha scoperto il ricercatore di cyber security Zach Edwards. Ciò a causa dei DNS, che continuerebbero a puntare su pagine web rimosse o cancellate, per via di un’incompleta gestione in fase di dismissione. Secondo quanto riporta il CSIRT-Italia, la problematica (nota come “dangling DNS records”) ha consentito ad attori malevoli di acquistare i CNAMEs (Canonical Names) lato server, direttamente dal fornitore di hosting, successivamente alla dismissione richiesta dai precedenti proprietari. Le attuali richieste HTTP verso alcuni sottodomini continuano, in alcuni casi, a risolvere i CNAMEs precedenti, mentre risultano attualmente – stando sempre a quanto affermato da Edwards – di proprietà degli attaccanti. Così, invece di restituire il messaggio di errore “pagina non trovata” (“page not found”), queste pagine web sarebbero utilizzate per attività di phishing e per diffondere malware.
Per non destare sospetti ed evitare il rilevamento è stato utilizzato il messaggio “coming soon” sulla pagina web risolta. Il pericolo è alimentato anche dal fatto che i motori di ricerca indicizzano anche i sotto-domini illeciti
Gli esperti di cyber security sottolineano che, al fine di non destare sospetti, per compromettere i sotto-domini di Microsoft Azure, il cybercrime ha utilizzato il classico messaggio personalizzato “coming soon” sulla pagina web risolta. Questa tattica viene adoperata per evitare il rilevamento, permettendo così la “lecita” fruizione da parte di ignari di pagine di phishing o malware dalle sottodirectory dell’URL. Il pericolo, peraltro, è amplificato dal fatto che i principali motori di ricerca indicizzano e, quindi, restituiscono fra i risultati anche i sottodomini “illeciti”.
Articoli correlati
