Bitcoin e domini malevoli, lo scenario
Un contributo di Sherrod DeGrippo, Director, Emerging Threats, Threat Systems Products di Proofpoint
I ricercatori di Proofpoint hanno identificato oltre 100.000 domini legati a Bitcoin dall’inizio dell’anno, di cui la maggior parte considerati sospetti e potenzialmente utilizzati per attività di typo-squatting, social engineering e diffusione del malware. All’incremento di valore dei Bitcoin è corrisposta una crescita del numero di domini malevoli.
I domini Bitcoin
I domini, che contengono la parola “bitcoin” o sue variazioni, possono includere differenti tecniche di typo-squatting, come:
- Attacchi homoglyph, attraverso la sostituzione di una lettera con un’altra dalla grafia simile, ad esempio “bitc0ins.com”, in cui la lettera “o” è sostituita dal numero zero. La nostra analisi ha rilevato circa 50 domini appartenenti a questa categoria.
- Tradizionali errori di battitura, con lo scambio di una lettera nel dominio e l’inserimento di un carattere in posizione adiacente sulla tastiera. Oltre il 95% dei domini analizzati utilizzava questa tecnica. Un esempio è “bitcoim.com”, in cui la “n” è stata sostituita dalla “m”, tasti attigui; oppure la ripetizione di una lettera, come “biitcoin.com” o un’omissione “btcoin.com”.
- Spoofing Punycode, una tecnica per rappresentare Unicode con caratteri ASCII per i nomi degli host Internet. Ad esempio, il dominio “xn--bicoin-j17b[.]com”, sembra correlato a “bitcoin”; infatti convertito in Unicode è “biṭcoin[.]com”. Meno ovvio sembra apparire il dominio “xn--9naa4azkq66k5ba2d[.]com”, ma in Unicode diventa “ʙɪᴛᴄᴏɪɴ[.]com.”. La nostra analisi ha individuato oltre 200 domini simili.
La maggior parte delle rilevazioni contiene il termine “bitcoin”, ma associato ad altre parole, innocui esempi come “bitcoinpay[.]com” o “bitcoinbank[.]com”. Sono oltre 98.000 in questa categoria. Una tecnica comune di ingegneria sociale per realizzare una serie di attacchi è quella di utilizzare “bitcoin” combinato ad altre parole sul dominio di origine.
La nostra analisi ha scoperto anche 300 domini registrati dallo stesso utente e almeno 600 utenti con 10 o più domini ciascuno. Questo non implica intenzioni malevoli da parte dei singoli proprietari, ma evidenzia l’aumento di interesse per la criptovaluta.
Domini Bitcoin sospetti
Abbiamo rilevato oltre 30.000 domini sospetti, circa il 30 per cento del totale. I ricercatori di Proofpoint utilizzano molteplici criteri per determinare se un dominio sia pericoloso, inclusi, tra gli altri, informazioni WHOIS e analisi sandbox.
Analizzando uno di questi domini, instantbitcoinbuy[.]com, la situazione è subito cristallina. Quando gli utenti visitano questo sito da un Mac utilizzando il browser Safari, il sito mostra un prompt per scaricare un update per Adobe Flash Player:
Figura 1: Visita di un dominio sospetto legato a Bitcoin da Mac
Il popup è simile a una tradizionale notifica che segnala che Adobe Flash Player è scaduto. Confrontiamolo con il messaggio reale mostrato da Safari su un sito che richiede un aggiornamento legittimo:
Figura 2: Messaggio legittimo su Safari
Il linguaggio nei due testi è simile, ma cliccando qualsiasi bottone presente nel popup sul dominio malevolo si procederà con il download del malware “Adobe Flash Update.dmg,”:
Figura 3: Popup malevolo di Adobe Flash Player
Bisogna notare anche il messaggio di avviso presente nella parte alta dello schermo, che non fa parte del browser e dal link presente a fine notifica si scaricherà lo stesso malware:
Figura 4: Avviso pericoloso di Adobe Flash Player
Quando gli utenti visitano instantbitcoinbuy[.]com con un altro browser, vengono reindirizzati su un sito differente. Qui di seguito un esempio da Chrome:
Figura 5: Visita dello stesso sito da Chrome
Quando si visita il link da Chrome, all’utente viene richiesto di installare un plug-in e questo software avrà bisogno dell’autorizzazione per leggere e modificare tutti i dati sui siti visitati dall’utente. Inoltre, tutte le ricerche effettuate dall’utente sono inviate a “search[.]securysearch[.]com,” (notate l’assenza di “it” in “securysearch”), un motore di ricerca fittizio che sostiene di fornire all’utente un’esperienza di navigazione più sicura e di proteggerli da siti pericolosi e attacchi phishing. Tuttavia, l’estensione installata modifica le opzioni browser dell’utente e registra le attività, inclusi i dati personali. Analizzando i 500 domini più recenti e gli ultimi 100 registrati nel 2017, ne abbiamo identificati 11 già noti per essere pericolosi in base ai nostri dati.
Costo di Bitcoin vs. Numero di domini sospetti
Confrontando il volume delle registrazioni di domini sospetti con il costo dei Bitcoin, abbiamo identificato una forte correlazione tra il numero di registrazioni e il prezzo della criptovaluta.
Figura 6: Costo di Bitcoin vs. registrazioni di domini correlati a Bitcoin e di domini sospetti
Come dimostra l’immagine, quando aumenta il valore di Bitcoin sale anche il numero di registrazioni di domini sospetti, che cresce in modo più rapido rispetto a quelle dei domini legati a Bitcoin in generale. Da notare, il numero dei domini ha mantenuto un rapporto di uno a uno con il prezzo di Bitcoin in dollari americani. Con la crescita esponenziale del costo dei Bitcoin, il numero di domini ha raggiunto una quota stellare verso la fine del 2017.
Bitcoin e dominio malevolo, le conclusioni
Gli autori di minacce continuano a capitalizzare sui trend e gli interessi pubblici per migliorare i propri schemi di ingegneria sociale. In particolare, le criptovalute hanno fornito nuove opportunità ai criminali per “seguire il denaro”, in questo caso sono stati oltre 100.000 i domini potenzialmente utilizzabili per numerosi scopi dannosi. Il valore di Bitcoin è crollato negli ultimi mesi, ma le criptovalute restano le prescelte per i creatori di minacce e le tecnologie blockchain sono qui per restare.