Come i threat actors di SpaxMedia distribuiscono malware a livello globale.

Durante la ricerca sulle reti e i team di traffico pay-per-install (PPI) di malware, i laboratori di SpyCloud hanno identificato una rete PPI relativamente nuova ma molto utilizzata chiamata SpaxMedia. Ciò ha suscitato il nostro interesse e, attraverso un’analisi più approfondita, i nostri ricercatori sono stati in grado non solo di collegare threat actors specifici a questo servizio, ma anche di collegare il servizio a specifiche campagne di malware.

In questo post, condivideremo ciò che abbiamo scoperto quando abbiamo approfondito le operazioni di SpaxMedia, comprese:

L’organizzazione e la struttura dei loro servizi
I loro vettori preferiti di infezione da malware e di distribuzione di malware
Famiglie di malware comunemente distribuite, come LummaC2 e Atomic Stealer

Un po’ sui network PPI

Il pay-per-install, o PPI, sono un tipo di modello di marketing di affiliazione in cui gli inserzionisti pagano gli affiliati in base al numero di installazioni generate per software o applicazioni. Nel contesto delle pratiche commerciali legittime, il PPI viene utilizzato per promuovere software o app legali e gli affiliati vengono compensati per ogni installazione riuscita. Nel contesto di questo articolo e del panorama criminale informatico, i network PPI vengono utilizzati per promuovere malware maligni e gli attori vengono compensati per le installazioni di malware riuscite.

Riguardo a SpaxMedia e gli editori di SpaxMedia

Come osservato nell’Immagine 1, SpaxMedia è un network PPI che pubblicizza “tariffe elevate per installazione”.

Anche se SpaxMedia non condivide pubblicamente le sue tariffe di installazione, il sito menziona che le tariffe non sono fisse e variano invece in base alla regione di installazione, implicando che SpaxMedia abbia capacità di filtro geografico che sfrutta per incentivare posizioni/paesi mirati di maggior valore.

I proprietari di siti web interessati ad aggiungere annunci SpaxMedia ai loro siti web possono farlo tramite pulsanti di download, o ciò che SpaxMedia chiama “codici pubblicitari”. I “codici pubblicitari” consistono normalmente in pulsanti di download che si trovano su siti di software crackati/siti di giochi piratati e ingannano gli utenti facendo clic su di essi.

I proprietari di siti web interessati sono definiti “editori” e possono registrarsi utilizzando il pulsante “Registrati ora” sul sito web di SpaxMedia. I publisher ricevono quindi del codice HTML/Javascript che possono inserire in una pagina web, il che aggiunge i “codici pubblicitari” di SpaxMedia e consente loro di iniziare a monetizzare le installazioni.

Sebbene alcuni editori siano consapevoli che SpaxMedia venga utilizzato per portare avanti campagne di malware infostealer, non è chiaro se tutti lo siano, o come venga comunicato il rapporto tra editori e rappresentanti di SpaxMedia.

Struttura organizzativa

In seguito al nostro ultimo articolo che accennava brevemente a SpaxMedia, i membri dell’organizzazione hanno iniziato a rimuovere le loro informazioni da LinkedIn. Tuttavia, prima che le informazioni venissero rimosse o cancellate, gli analisti dei laboratori SpyCloud sono stati in grado di identificare alcune persone che si auto-identificavano come detentori di posizioni di livello C nella struttura organizzativa di SpaxMedia. Nello specifico:

Sehrish Hashmi – CEO
Situtato in Pakistan
“Ali Khan” – Chief Financial Officer
Nessuno dei due individui aveva una foto del profilo identificabile; tuttavia, come osservato nell’Immagine 2, Sehrish utilizzava apertamente il proprio profilo LinkedIn per pubblicare “annunci” di software crackati che portavano a siti web che ospitavano i codici pubblicitari di SpaxMedia:

Inoltre, Sehrish Hashmi ha pubblicizzato il proprio nome Skype come “Sehru.Hashmi2”.

Struttura del servizio

SpaxMedia, simile ad altri network PPI, ha due lati nella loro operatività:

1. Un lato più rivolto al pubblico, nel quale attraggono i proprietari di siti web ad agire come editori e inserire i loro “codici pubblicitari” nei siti web degli editori. Come accennato in precedenza, non si sa se tutti gli editori sono consapevolmente coinvolti in campagne di distribuzione di malware.
2. Il secondo lato della loro operatività è più nefasto e si occupa di “inserzionisti diretti”, o dei gruppi per i quali servono “annunci”. Questi “inserzionisti diretti” collegano il proprio software (normalmente malware) da distribuire tramite SpaxMedia, che di recente è consistito principalmente in queste famiglie di infostealer:
– Vidar
– LummaC2
– StealC
– Atomic Stealer

Siti di crack come vettore di infezione

Mentre altri network PPI a volte elencano tipi di siti preferiti prima di impegnarsi in affari con gli editori, SpaxMedia non pubblica informazioni sulle preferenze pubblicamente. Tuttavia, basandoci sulla nostra analisi dei siti che promuovono attivamente i download di SpaxMedia, la maggior parte erano siti di download di software correlati a software crackati/giochi piratati, come osservato nell’Immagine 4.

Principali vettori di distribuzione di malware

Gli attori che pubblicano per SpaxMedia utilizzano diverse tattiche per generare traffico verso i loro siti. Queste tattiche non sono esclusive delle infezioni PPI di SpaxMedia e sono comunemente utilizzate anche per altri network PPI.

LinkedIn
Gli analisti dei laboratori di SpyCloud hanno esaminato oltre 15 diversi siti di distribuzione di software collegati alla rete PPI di SpaxMedia, e la grande maggioranza di essi ha utilizzato LinkedIn per generare traffico verso i loro siti e articoli. Molti dei threat actors hanno semplicemente condiviso un link al loro sito di download del software e all’articolo in cui si trovava il pulsante di download di SpaxMedia in un post (come osservato nell’Immagine 5), mentre altri  hanno scritto interi articoli su LinkedIn proliferati con link al sito di download del software/articolo in cui si trovava il pulsante di download di SpaxMedia (come osservato nell’Immagine 6).

Inoltre, come osservato nell’Immagine 7, a volte lasciavano commenti su altri post indirizzando le vittime verso i loro siti di distribuzione del software. Questi vettori di infezione unici aiutano i threat actors a generare traffico verso il loro sito con molto poco costo per loro, poiché tutto ciò che è richiesto è un account Linkedin gratuito.

Avvelenamento SEO

Oltre alle promozioni su LinkedIn, gli editori di SpaxMedia utilizzano anche un vettore classico per generare traffico verso il loro sito: l’avvelenamento dei motori di ricerca (SEO poisoning). Mentre l’avvelenamento dei motori di ricerca normalmente coinvolge l’uso di termini SEO per far apparire un sito web come qualcosa che non è, in questo utilizzo, gli editori di SpaxMedia inseriscono lunghe liste di termini SEO nei tag CDATA del loro sito al fine di far apparire i loro siti tra i primi risultati dei motori di ricerca. Questo assicura che quando le vittime stanno cercando cose come software crackati, siano più inclini a fare clic su siti collegati alle reti PPI di SpaxMedia, aumentando la probabilità che i visitatori vengano ingannati nell’installare binari distribuiti da SpaxMedia. Un esempio di avvelenamento SEO riuscito di un sito collegato a SpaxMedia può essere osservato nell’Immagine 8.

Inoltre, SpaxMedia e altri network PPI utilizzano aggregatori di ricerca di base per indirizzare le vittime verso ulteriori siti di crack. Come osservato nell’Immagine 9, talvolta quando una vittima visita un sito collegato a un network PPI, si trova di fronte a una pagina che dice “Nessun risultato trovato, ma puoi cercare qui”, e una casella di ricerca con il software originale cercato e alcuni termini SEO aggiuntivi. Cliccando su cerca in quella casella, l’utente verrà indirizzato a una pagina di ricerca di Google che mostra molti più siti di crack nei primi risultati di Google.

 

Come osservato nell’Immagine 10, basandosi sulle immagini pubblicate da SpaxMedia, SpaxMedia offre agli editori la possibilità di personalizzare i pulsanti che inseriscono nei loro siti web e che li collegano alla rete PPI di SpaxMedia. Per impostazione predefinita, questi pulsanti indicano semplicemente “Scarica ora”, tuttavia gli analisti dei laboratori SpyCloud hanno osservato pulsanti in spagnolo, arabo e altre lingue.

Embedded Javascript stager

I pulsanti di SpaxMedia incorporano risorse JavaScript remote che vengono caricate dal sito quando la pagina si carica. I pulsanti contengono il codice che gestisce l’identificazione del dispositivo e il trasferimento dei link per la rete PPI quando vengono cliccati. Come osservato nell’Immagine 11, questi stager JavaScript incorporati vengono di solito oscurati utilizzando uno strumento comune di oscuramento JavaScript (come obfuscator.io):

I laboratori di SpyCloud hanno osservato due varianti dello stager JavaScript, entrambe delle quali effettuano un controllo di base per assicurarsi che una vittima non stia utilizzando un dispositivo mobile. Se una vittima sta utilizzando un dispositivo mobile, le viene servito un risultato completamente diverso rispetto a quando sta utilizzando un PC. Sulla base dei nostri test, questi risultati sono normalmente siti di gioco d’azzardo, o eventualmente app del browser maligne. Le due varianti possono essere osservate nell’Immagine 12 e nell’Immagine 13.

Download buttons

In base all’user agent della vittima, gli stager JavaScript di SpaxMedia determinano quale payload di malware servire, sia per Windows che per Mac.

Download per Windows
Per i download per Windows, le vittime vengono normalmente accolte con un reindirizzamento della pagina che può assomigliare alla pagina nell’Immagine 14, tuttavia a volte varia.

Come osservato nell’Immagine 14, alle vittime viene istruito di copiare un link e incollarlo nel loro browser per scaricare un file che contiene il payload del malware. L’attore che distribuisce su SpaxMedia fa uso sia di Mega.nz che di Mediafire per ospitare i loro payload maligni.

Download per Mac
I download per Mac funzionano in modo un po’ diverso rispetto ai download per Windows, operando più vicino a un modello di download con un solo clic piuttosto che un reindirizzamento che si trova in mezzo e istruisce le vittime a navigare verso un URL specifico. Quando le vittime Mac cliccano sui pulsanti di download, di solito vengono immediatamente serviti da un file .dmg dal server principale di hosting file dell’inserzionista diretto. Tuttavia, come osservato nell’Immagine 15, a volte c’è una pagina web che si trova tra il servizio del file e il clic sul pulsante.

Gli analisti dei laboratori di SpyCloud hanno osservato i seguenti domini associati alle distribuzioni Mac di SpaxMedia (nonché ad altri network PPI):

– goolwebshow.com
– dnccomputers.com
– eercs.com
– psychodrugs.com

Famiglie di malware

Nelle nostre osservazioni, gli inserzionisti diretti di SpaxMedia distribuiscono frequentemente malware per Windows e Mac, con nuovi file pubblicati quotidianamente. I file per Windows sono archiviati in un file zip criptato e compressi con un packer personalizzato che decripta il malware da un file criptato memorizzato, svuota un processo e lo carica nel processo appena creato e svuotato. I file Mac sono semplicemente archiviati come un file .dmg di base.

I ricercatori dei laboratori di SpyCloud hanno individuato le seguenti quattro famiglie di malware come le principali distribuite da SpaxMedia più di recente.

LummaC2

LummaC2 è uno strumento di furto di informazioni venduto come Malware-as-a-Service (MaaS), con gli attori che pagano mensilmente per l’accesso a un pannello di controllo che fornisce la possibilità di creare versioni del malware da distribuire, controllare le statistiche di infezione, esportare informazioni rubate e altro ancora. I ricercatori dei laboratori di SpyCloud hanno osservato campagne di LummaC2 distribuite utilizzando l’ID affiliato KjGtqi. Anche se questo ID affiliato distribuisce il loro malware su altri network PPI, non solo SpaxMedia, utilizzano comunque SpaxMedia per molte delle loro campagne.

Vidar

Vidar, un altro infostealer comunemente usato, è venduto come MaaS, con gli attori che pagano mensilmente per avere accesso al pannello Vidar, che fornisce funzioni simili a LummaC2. Non abbiamo osservato questa famiglia essere distribuita così frequentemente come LummaC2, tuttavia, è stata distribuita più frequentemente rispetto a StealC. Gli analisti dei laboratori di SpyCloud hanno visto per l’ultima volta Vidar promosso dagli inserzionisti diretti di SpaxMedia il 21 febbraio 2024 e hanno osservato i seguenti indicatori di compromissione (IOC):

– https://49.13.32.193
– https://65.109.242.97
– https://95.217.244.208
– https://95.216.177.94

StealC

StealC, come descritto nei report pubblici come un “imitatore di Vidar e Raccoon“, è un altro comune infostealer che viene venduto come servizio ed è stato utilizzato dagli inserzionisti diretti di SpaxMedia per le infezioni. Gli analisti dei laboratori di SpyCloud hanno visto per l’ultima volta StealC distribuito da SpaxMedia il 13 febbraio 2024.

Atomic Stealer

Atomic Stealer è un infostealer che viene anch’esso venduto come MaaS, ma che si rivolge a macOS. Atomic Stealer prende di mira i browser, insieme al portachiavi di Mac e ad altre memorie di credenziali specifiche di Mac. Gli inserzionisti diretti di SpaxMedia hanno costantemente distribuito questa famiglia di malware e gli analisti dei laboratori di SpyCloud hanno ottenuto più eseguibili da loro.

Punti chiave

Sulla base delle tecniche, delle tattiche e delle procedure osservate di SpaxMedia, i laboratori di SpyCloud hanno determinato che questa rete potrebbe essere direttamente correlata a un altro network PPI, InstallUSD, dimostrando un potenziale intreccio di attività criminali che si complica da sé.

Le reti PPI di per sé non sono nulla di nuovo, ma a meno che non prestiamo attenzione, continueranno a sfuggire alla nostra attenzione, generando quantità astronomiche di infezioni da malware ogni giorno. I laboratori di SpyCloud continueranno a monitorare questa rete di installazione e altre e segnaleranno nuove scoperte.

Articolo originale

Scopri la pagina del vendor sul nostro sito

PUBBLICATO DA:<br>Sara Guglielmi
PUBBLICATO DA:
Sara Guglielmi
Marketing

ARTICOLI CORRELATI