Script cookie utilizzato per distribuire malware

Come sappiamo la maggior parte dei siti Web oggi utilizza i cookie. Dal 25 maggio 2018, tutti i siti Web che operano all’interno dell’Unione europea (UE) hanno infatti dovuto apportare alcune modifiche per essere conformi al regolamento generale sulla protezione dei dati (GDPR).

Anche se l’utilizzo dei cookie è menzionato solo una volta nel GDPR, qualsiasi organizzazione che li utilizza per tracciare l’attività di navigazione degli utenti ha dovuto aggiungere un avvertimento su come li sta utilizzando, e chiedere il consenso dell’utente: il famoso cookie consent.

GDPR e Cookie Consent

Il GDPR recita:

Natural persons may be associated with online identifiers […] such as internet protocol addresses, cookie identifiers or other identifiers […]. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.

Le leggi sul consenso dei cookie non sono state introdotte con il GDPR. Sono in realtà in circolazione dal 2014, presentate sempre dall’UE.
Tuttavia, i consensi sui cookie sono diventati più popolari solo dopo l’entrata in vigore delle leggi GDPR. Questo ha indotto molti proprietari di siti Web a cercare un modo semplice per implementare i consensi sui cookie.

Recentemente abbiamo trovato un sito Web che utilizza JavaScript da cookiescript[.]info per visualizzare la richiesta di consenso per i cookie. Quando visiti il sito web per la prima volta tramite Chrome, ricevi un avviso JavaScript come questo:

Your computer is infected. You have to check it with antivirus.

Sia che tu  faccia clic su OK o Annulla, vieni sempre reindirizzato a un sito Web che tenta di convincerti ad acquistare un software antivirus che potrebbe effettivamente essere un malware.

Distribuzione del malware a utenti ignari

Sembra che sia il sito cookiescript.info quello che distribuisce il malware.
Il codice dannoso che abbiamo rilevato ha infatti tentato di caricare il JavaScript da qui:

cdn.front[.]to/libs/cookieconsent.min.4.js

ma questo link si limita a reindirizzare a quest’altro URL:

hxxp://cdn[.]cookiescript[.]info/libs/cookiescript.min.js

Questa è parte del codice all’interno del JavaScript:

Come potete notare, il codice sta caricando ulteriori JavaScript, tra i quali questo:

hxxp://cdn[.]cookiescript[.]info/libs/detect_ga.js

Ed è proprio questo JavaScript in particolare il responsabile della rilevazione dell’agente utente, e del collegamento del cookie a un browser (in questo caso Chrome).

Ecco alcuni codici:

Come fa il sito a nascondere il proprio indirizzo IP?

Ci siamo accorti che il sito cookiescript.info utilizza Cloudflare per nascondere i suoi indirizzi IP.

Non è facile scoprire i proprietari del dominio. Tuttavia, dopo alcune ricerche, sono stati trovati ulteriori dettagli:

cookiescript[.]info. 86399 IN NS fred.ns.cloudflare.com.
cookiescript[.]info. 86399 IN NS mia.ns.cloudflare.com.

Sembrerebbe quindi che anche i domini cookie-consent.org e front.to facciano parte della stessa rete.

Tutto ciò è preoccupante. Inoltre alcuni dati ci suggeriscono che il malware sia già operativo da alcuni mesi.

Perché gli hacker nascondono il malware in uno script di consenso cookie?

Perché l’introduzione della richiesta di consenso ai cookie è un’operazione obbligatoria!

Dopo l’approvazione del GDPR i proprietari dei siti Web hanno cercato un modo semplice e veloce per implementare le modifiche affinché fossero conformi al GDPR. Molti webmaster si sono quindi rivolti al primo servizio che hanno trovato in grado di  visualizzare un avviso di consenso sul loro sito web, tramite un semplice componente aggiuntivo JavaScript.

Sfortunatamente però molti webmaster non controllano il codice che stanno aggiungendo al proprio sito web. È proprio questa l’enorme opportunità colta dagli hacker per ingannare i proprietari di siti Web al fine di aggiungere codice dannoso.

Conclusione

Consigliamo vivamente di controllare qualsiasi codice prima di aggiungerlo al sito web. Inoltre è sempre meglio ospitare l’intero codice sul proprio server invece di caricarlo da un sito esterno, che può essere compromesso o di proprietà di utenti malintenzionati.

Se vuoi assicurarti che il tuo sito web sia protetto, ti suggeriamo di seguire le solite pratiche di sicurezza che spesso suggeriamo in questi articoli, e se ancora non bastasse di porlo dietro a un Web Application Firewall (WAF).

Ringraziamo il nostro partner Sucuri.net per le informazioni e le precisazioni sulle tecniche di hacking utilizzate da questo malware.

Potete richiedere maggiori informazioni sul servizio WAF di Knoweb utilizzando l’apposito form contatti.