Contesto

Nell’ambito delle attività di Cyber Threat Intelligence, il team Almaviva ha individuato e definito una complessa struttura di Autogenerating Phishing, ovvero attacco avanzato di phishing che prevede la generazione a runtime delle pagine malevole.

Il dettaglio dell’intera analisi e la sua configurazione è disponibile al seguente link.

Il team di Cyber Threat Intelligence ha individuato l’elenco completo delle risorse web malevole attive ai danni di un proprio Cliente ed ha proceduto con numerose operazioni per il loro abbattimento (takedown).

Il buon esito della campagna di contrasto al Threat Actor ha determinato, da parte sua, un cambiamento di strategia obbligandolo ha modificare la struttura della sua rete per poterla mantenere attiva e redditizia.

Le evoluzioni così generate sono state identificate in 6 momenti principali riportati per esteso nel rapporto tecnico e sintetizzate nello schema seguente:

La continua attività di takedown a cui sono state sottoposte le risorse del threat actor lo hanno, infine, costretto ad eliminare il nostro Cliente dalla sua rete pur mantenendo attiva la sua rete per altri brand.

Rapporto Tecnico

La campagna di Autogenerating Phising si articolava su due componenti individuate nello sfruttamento di una risorsa dedicata al caricamento della miniatura dell’anteprima sull’ applicativo WhatsApp ed una seconda risorsa malevola atta a caricare il vero e proprio veicolo di attacco.

Di seguito, pertanto, conseguentemente alle numerose operazioni di abbattimento delle risorse malevole identificate, viene descritta l’evoluzione della struttura della campagna di resilienza messa in atto dal threat actor.

Fase #1 – 28 marzo 2022

Sito di esempio taxationmagnify[ . ]top/CLIENTE/tb[ . ]php
Takedown eseguiti 27

La rete di siti web si configurava mediante la messa a disposizione di un pool di siti che permettevano sia la creazione dell’anteprima che il reindirizzamento utente sul vero e proprio sito di brandjacking.

I siti web malevoli utilizzavano prevalentemente tld identificati in .top e .tw ed ospitavano le proprie risorse su server cloud come Google e Amazon.

Con la finalità di rallentare i processi di abbattimento delle risorse, inoltre, l’avversario utilizzava il servizio di Content Delivery Network di Cloudflare in grado di oscurare così il registrant, ovvero l’utente finale che richiede l’assegnazione del nome di dominio.

Questi ultimi, inoltre, venivano registrati prevalentemente da registrar cinesi e il contatto tecnico del soggetto giuridico indicato nei record whois nella maggior parte delle evidenze non era identificabile, in quanto veniva nascosto dal servizio di protezione della privacy WhoisGuard, mentre in taluni casi identificato come peacchi@263[.]com.

Tutte le risorse, quali immagini o loghi ufficiali, associabili al marchio del nostro Cliente, venivano ospitate sul dominio denominato res.wiki, utilizzato dall’avversario per servire in maniera dinamica contenuti multimediali all’interno di tutta la sua rete di siti web malevoli.

Fase #2 – 30 marzo 2022

Sito di esempio chaospredominate[ . ]top/kRSXH7bF/CLIENTE-xin/tb[ . ]php
Takedown eseguiti 44

L’abbattimento dei siti web malevoli individuati ha portato al cambiamento della risorsa del nostro Cliente /CLIENTE/ in /CLIENTE-xin/, presumibilmente sostituita dall’avversario per rallentare il processo di individuazione e abbattimento delle risorse malevole.

A partire da questa fase, inoltre, in aggiunta ai tld indicati in precedenza, i siti web malevoli hanno iniziato ad utilizzare il tld .cn, continuando ad ospitare le proprie risorse su server cloud come Google e Amazon.

Come nella fase antecedente, l’avversario utilizzava il servizio di Content Delivery Network di Cloudflare, unito ai servizi di WhoisGuard per occultare gli estremi di registrazione personali.

Fase #3 – 4 aprile 2022

Sito di esempio 75tqqbv[ . ]cn/8oUEr6Jn/CLIENTE/tb[ . ]php
Takedown eseguiti 196

A seguito delle richieste di takedown sui domini malevoli, nei quali il provider responsabile rimuoveva le risorse dai propri server, era stato osservato da parte dell’avversario un tempestivo cambio su diversi servizi cloud per continuare ad utilizzare il nome di dominio da esso registrato, motivo per il quale è stato predisposto il takedown al Registrar per disabilitare la risoluzione del DNS al nome di dominio.

Le richieste di abbattimento del dominio res.wiki, ospitante i contenuti multimediali associabili al marchio del nostro Cliente, hanno portato il threat actor a sostituire tale CDN sul nuovo dominio denominato imgdesk.xyz.

Fase #4 – 7 giugno 2022

Sito di esempio zbhaorun[ . ]cn/CLIENTE-xin/tb[ . ]php
Takedown eseguiti 40

La rete, inizialmente, per come era disegnata l’architettura di autogenerating phishing, gestiva la scelta della pagina web di brandjacking tra un pool di siti web di proprietà dal threat actor stesso.

La conseguenza delle continue azioni di takedown ha portato nuovamente ad un cambiamento di architettura della campagna da parte dell’avversario Peacchi rimuovendo la scelta dal pool di siti web ad un’unica e stabile risorsa myselfio[.]xyz.

È stato rilevato come la CDN utilizzata per il caricamento dei file multimediali afferenti al marchio del nostro Cliente sia stata nuovamente sostituita da cdn263.com.

I nomi di dominio, in questa fase, venivano registrati sfruttando prevalentemente registrar cinesi.

Fase #5 – 7 agosto 2022

Sito di esempio 7etjjh[ . ]cyou/ggA1JEdP/CLIENTE/tb[ . ]php
Takedown eseguiti 20

Il threat actor decide di sfruttare il nuovo tld .cyou in aggiunta a quelli normalmente utilizzati, .cn .top e .tw, oltre che mantenere invariato l’utilizzo del servizio di Content Delivery Network di Cloudflare.

Per complicare e contrastare a sua volta le azioni di difesa da noi messe in atto, il Threat Actor ha quindi iniziato ad utilizzare con maggiore intesità Alibaba come registrar per le proprie risorse, le cui policy rendono complicate la azioni di abbattimento.

Fase #6 – 26 agosto 2022

Il monitoraggio attivo della minaccia e le azioni proattive di takedown ai danni dell’infrastruttura di autogenerating phising hanno indotto la vittima alla rimozione della risorsa del nostro Cliente rendendo, così, irraggiungibili le pagine web malevole di brandjacking.