L’attacco a PornHub è stata una gigantesca operazione di malvertising

La compromissione di PornHub, che ha infettato con un malware milioni di visitatori ha una firma. È il gruppo hacker KovCoreG, che nell’occasione ha usato il codice malevolo Kovter, attraverso finti browser e aggiornamenti di Flash. Proofpoint, che ha scoperto e contribuito ad annientare il cyber attacco, ha identificato gli assalitori, nonché le loro tattiche, tecniche e procedure (TTP). Kovter, infatti, è stato usato in altre campagne di frodi legate alla pubblicità. In tutti i casi le vittime, come accaduto anche in relazione al portale porno, sono state compromesse semplicemente cliccando sugli advertisements online e da quel momento hanno generato entrate per i siti che ospitavano i banner. Questo tipo di azione si chiama malvertising.

Come hanno agito gli hacker di KovCoreG per far scaricare il payload malevolo ai visitatori del sito per adulti

Nel caso di PornHub, KovCoreG ha reindirizzato gli utenti a un sito malevolo, che chiedeva loro un aggiornamento urgente del browser. Peraltro, questo era costruito molto bene, in quanto riusciva a rilevare quale fosse. Nel caso di Internet Explorer e di Edge, gli hacker chiedevano di installare un aggiornamento di Flash. Su Chrome e Firefox, invece, un update del browser. Il cyber attacco di malvertising è stato su vasta scala ed è durato oltre un anno, ha reso noto Proofpoint. Questo, però è stato fermato dal sito per adulti quando all’operatore e all’“ad network” Traffic Junky è stata notificata l’attività. Anche per quanto riguarda i file su cui ha insistito il cyber attacco a PornHub ci sono state differenze a seconda del browser. Nel primo caso sono stati quelli HTA. Nel secondo, il JavaScript. L’azione, peraltro, sembra essere stata focalizzata sugli utenti in USA, UK, Canada e Australia.

Il cyber attacco a PornHub è durato oltre un anno prima di essere scoperto. Ciò dimostra la pericolosità di KovCoreG

Gli hacker del gruppo KovCoreG sono specializzati nelle campagne di malvertising. Lanciano cyber attacchi di massa per diffondere malware specializzati nel redirect. Che sia verso siti malevoli, al fine di trarre profitti dai click involontari sulle pubblicità, o a pagine di falsi download. In questo caso l’obiettivo è rubare informazioni personali tramite la social engineering. In relazione a PornHub hanno però dimostrato una capacità di adattamento non indifferente. Il portale per adulti più letto al mondo, infatti, ha una cybersecurity superiore alla media. Di conseguenza la gang del cybercrime ha dovuto rimodulare i tools e gli approcci per studiare un exploit kit non tradizionale. Quanto accaduto è estremamente pericoloso. Sia perché l’aggressione informatica è andata avanti per lungo tempo, prima che fosse scoperta, sia in quanto il payload avrebbe potuto essere molto più dannoso per le vittime. Da un ransomware a un information stealer.