Hackers iranianos alegam ter derrubado energia em Israel
Ransomware atinge empresa de logística no Brasil
USP, UFRJ e UFMG sob ataque de negação de serviço
Pane de rede retardou produção na Volkswagen
Site da Prefeitura de Suzano (SP) está fora do ar
DDoS atinge subdomínio da NASA

Assine nossa newsletter Premium e ganhe acesso ao grupo de WhatsApp In_Cyber.
Conheça também a versão Básica

Um labirinto de ransomware e malvertising

Share on linkedin
Share on twitter
Share on facebook

ChrisLarsen_03_v1Por  Chris Larsen (*)
Um dos benefícios de viajar (ao menos para mim) é que às vezes surge um tempo livre no hotel, onde posso ignorar todos os meus e-mails por algumas horas (afinal, estou em viagem!) e pesquisar sobre um ataque interessante.

Já faz um bom tempo que alguns de nossos módulos “Traffic Cop” estão dedicados a sinalizar o tráfego malicioso associado à campanha de ransomware do CryptoWall, e achei que seria interessante pesquisar um pouco mais sobre o assunto. Então, comecei com alguns sites que esse módulo estava bloqueando no dia de hoje, como: gogo.cameocaregiversinc.co; daddy.cameocaregiversinc.com; hello.cameocaregiversinc.com; volonteur.cameocaregiversinc.com; nedrix.cameocaregiversinc.com; mixtura.cameocaregiversinc.com; johny.cameocaregiversinc.com.
Todos esses sites estão hospedados nos seguintes endereços IP na Rússia: 151.248.124.195 e151.248.124.205. (Os subdomínios “gogo” e “daddy” são interessantes, pois o domínio principal cameocaregiversinc.com está hospedado no GoDaddy, em outro endereço IP).
Como sempre, estou mais interessado na origem do tráfego bloqueado do que no conteúdo. Então, de onde é que ele vem? Parece que vem de uma mistura interessante de domínios de vários países e idiomas:  indianyellowpages.com (Índia/inglês), burmeseclassic.com (birmanês), sendayutinggi.com (indonésio), cjbonnet.net (francês), entre outros.
Em uma verificação rápida, não encontrei nenhum indício direto de injeção de links. Sendo assim, comecei suspeitando de malvertising como o vetor de ataque. Essa suspeita foi rapidamente confirmada por um dos outros sites de encaminhamento: adsmail.us — reconheci o nome, porque esse site já estava sinalizado como malvertising há mais de uma semana, desde que o flagramos enviando tráfego para outra rede maliciosa que estávamos bloqueando — e observei que o site não parecia estar enviando tráfego para nenhum site legítimo.
Depois disso, mais tópicos surgiam à medida que me aprofundava.
Além do tráfego do CryptoWall, temos aqui um resumo das outras atividades do adsmail.us:
O domínio recebe o tráfego de outro site de propaganda que consideramos suspeito (instadserver.com) e outros que não consideramos suspeitos (ads.yahoo.com e delivery.first-impression.com).
Além disso, ele também está recebendo tráfego de outro servidor de anúncios suspeito: australianadserver.com, e este me levou a um excelente post em um blog, de Jerome Segura. Recomendo a leitura, já que ele inclui uma análise detalhada das atividades do australianadserver.com — que não era o CryptoWall — bem como um bom resumo geral sobre malvertising.
O domínio envia um grande volume de tráfego diretamente para um endereço IP na República Tcheca (195.138.241.118), que havíamos sinalizado separadamente como suspeito por seu próprio tráfego. É justamente nesse IP que está hospedado o próprio adsmail.us, e também onde agora fica o australianadserver.com, que recentemente mudou os IPs do Cloudflare em que se escondia quando Jerome escreveu sobre isso. Isso retira qualquer sombra de dúvida quanto às atividades questionáveis do domínio.

Até o momento em que encontrei o ads.yahoo.com nos rastros, via isso como um ataque “pequeno”. Os níveis de tráfego não eram muito altos e os sites atingidos que hospedavam os anúncios eram bastante obscuros. Mas, quando um anunciante importante, com alto potencial de alcance, aparece em um rastro de malvertising, isso me preocupa. E não é a primeira vez que o ads.yahoo.com deixa um rastro de malvertising este ano…
Dadas as informações, percebemos como a rede está tão entrelaçada, um bom exemplo de como o malvertising tem se diversificado e se alastrado.

(*)  Líder do Time de Pesquisas de Malware da Blue Coat