Nei giorni scorsi, gli esperti di Malwarebytes Labs hanno individuato un exploit kit in grado di compromettere gli ad server gestiti dai proprietari dei siti web: si tratta di un malvertising unico nel suo genere, chiamato GreenFlash Sundown, la cui azione malevola, inizialmente circoscritta alla sola Corea del Sud, ora si sta diffondendo anche negli USA e in Europa.

GreenFlash Sundown: ora minaccia è globale tramite campagna ShadowGate - Annotazione 2019-06-28 083355

TrendMicro ha successivamente ampliato l'analisi chiarendo che l'azione dell'exploit kit GreenFlash Sundown sta tornando in auge tramite il ritorno della campagna di malvertising chiamata ShadowGate.

Inizialmente, si era pensato che l'attacco provenisse da una rete pubblicitaria specifica, ma esaminando le acquisizioni di traffico si è visto che uno degli editori colpiti era onlinevideoconverter.com, un popolare sito per convertire i video da YouTube e altre piattaforme in file, che vanta 200 milioni di visitatori al mese ed utilizza un circuito di advertising interno.

Chi si appresta a convertire i video di YouTube nel formato MP4 viene inconsapevolmente indirizzato al kit di exploit. Il meccanismo di reindirizzamento è abilmente nascosto all'interno di una falsa immagine GIF, che contiene in realtà codice JavaScript.

GreenFlash Sundown: ora minaccia è globale tramite campagna ShadowGate - Annotazione 2019-06-28 083123

Dopo una catena di redirect che attraversa svariati domini, viene scaricato sul PC dei visitatori un exploit Flash che scatena infine l'esecuzione di uno script PowerShell malevolo, il quale esegue alcuni controlli finalizzati a decidere se eliminare o meno il payload. Nel caso in questione, controllerà che l'ambiente non sia una macchina virtuale.

Se l'ambiente di esecuzione fosse un "vero" PC, lo script scarica ed esegue il ransomware "SEON" che ha lo scopo di crittografare i file degli utenti e tenerli in ostaggio fino a quando non viene pagato il riscatto.

» Leggi anche: Wannacry, il ransomware che infetta i PC non aggiornati

Inoltre, viene installato anche il RAT "Pony" e un miner di criptovalute che sfrutta il PC della vittima per generare monete digitali.

GreenFlash Sundown EK è dunque una minaccia decisamente elevata in termini di impatto sui PC e sta espandendo la sua portata malevola anche fuori dai confini asiatici. Come sempre, mantenere il browser web aggiornato all'ultimissima versione, l'antivirus in funzione e il sistema operativo patchato costituisce la prima linea di difesa, efficace nello scongiurare l'esecuzione automatica anche di questo malware.