Por Chris Larsen (*)
Um dos benefícios de viajar (ao menos para mim) é que às vezes surge um tempo livre no hotel, onde posso ignorar todos os meus e-mails por algumas horas (afinal, estou em viagem!) e pesquisar sobre um ataque interessante.
Já faz um bom tempo que alguns de nossos módulos “Traffic Cop” estão dedicados a sinalizar o tráfego malicioso associado à campanha de ransomware do CryptoWall, e achei que seria interessante pesquisar um pouco mais sobre o assunto. Então, comecei com alguns sites que esse módulo estava bloqueando no dia de hoje, como: gogo.cameocaregiversinc.co; daddy.cameocaregiversinc.com; hello.cameocaregiversinc.com; volonteur.cameocaregiversinc.com; nedrix.cameocaregiversinc.com; mixtura.cameocaregiversinc.com; johny.cameocaregiversinc.com.
Todos esses sites estão hospedados nos seguintes endereços IP na Rússia: 151.248.124.195 e151.248.124.205. (Os subdomínios “gogo” e “daddy” são interessantes, pois o domínio principal cameocaregiversinc.com está hospedado no GoDaddy, em outro endereço IP).
Como sempre, estou mais interessado na origem do tráfego bloqueado do que no conteúdo. Então, de onde é que ele vem? Parece que vem de uma mistura interessante de domínios de vários países e idiomas: indianyellowpages.com (Índia/inglês), burmeseclassic.com (birmanês), sendayutinggi.com (indonésio), cjbonnet.net (francês), entre outros.
Em uma verificação rápida, não encontrei nenhum indício direto de injeção de links. Sendo assim, comecei suspeitando de malvertising como o vetor de ataque. Essa suspeita foi rapidamente confirmada por um dos outros sites de encaminhamento: adsmail.us — reconheci o nome, porque esse site já estava sinalizado como malvertising há mais de uma semana, desde que o flagramos enviando tráfego para outra rede maliciosa que estávamos bloqueando — e observei que o site não parecia estar enviando tráfego para nenhum site legítimo.
Depois disso, mais tópicos surgiam à medida que me aprofundava.
Além do tráfego do CryptoWall, temos aqui um resumo das outras atividades do adsmail.us:
O domínio recebe o tráfego de outro site de propaganda que consideramos suspeito (instadserver.com) e outros que não consideramos suspeitos (ads.yahoo.com e delivery.first-impression.com).
Além disso, ele também está recebendo tráfego de outro servidor de anúncios suspeito: australianadserver.com, e este me levou a um excelente post em um blog, de Jerome Segura. Recomendo a leitura, já que ele inclui uma análise detalhada das atividades do australianadserver.com — que não era o CryptoWall — bem como um bom resumo geral sobre malvertising.
O domínio envia um grande volume de tráfego diretamente para um endereço IP na República Tcheca (195.138.241.118), que havíamos sinalizado separadamente como suspeito por seu próprio tráfego. É justamente nesse IP que está hospedado o próprio adsmail.us, e também onde agora fica o australianadserver.com, que recentemente mudou os IPs do Cloudflare em que se escondia quando Jerome escreveu sobre isso. Isso retira qualquer sombra de dúvida quanto às atividades questionáveis do domínio.
Até o momento em que encontrei o ads.yahoo.com nos rastros, via isso como um ataque “pequeno”. Os níveis de tráfego não eram muito altos e os sites atingidos que hospedavam os anúncios eram bastante obscuros. Mas, quando um anunciante importante, com alto potencial de alcance, aparece em um rastro de malvertising, isso me preocupa. E não é a primeira vez que o ads.yahoo.com deixa um rastro de malvertising este ano…
Dadas as informações, percebemos como a rede está tão entrelaçada, um bom exemplo de como o malvertising tem se diversificado e se alastrado.
(*) Líder do Time de Pesquisas de Malware da Blue Coat