O braço de operação em segurança da Cisco, Talos, descobriu um novo exploit kit que está atacando o Eurobyte, provedor de páginas da russa WebZilla. De acordo com a Talos, o malware RIG está marcando diversas sub-redes na lista negra de classe C, diminuindo a reputação de diversos site na web.
Segundo a empresa, o RIG é um kit com cargas maliciosas que se aproveita de usuários desavisados, redirecionando eles para outra página de destino e entregando um exploit payload – nesse caso, variantes de spambot – através de uma solicitação GET. O RIG os força a gerar spam, multiplicando a ação do vírus.
Durante a investigação do exploit kit, a Talos descobriu que, dos 44 endereços IP infectados, 43 pertenciam ao Eurobyte. Assim que notificada, a WebZilla bloqueou os hosts infiltrados. Porém, a Eurobyte não reconheceu a consulta da Talos, considerando a operação uma ofensa.
Em um post em seu blog, a Talos afirmou que, mesmo após vários e-mails enviados à Eurobyte informando a atividade RIG, os hosts só foram bloqueados após a WebZilla ter sido informada. Na opinião da empresa de cibersegurança, a falta de cooperação dos provedores de página é o principal problema enfrentado atualmente.
“Sem a ajuda dos provedores menores, os cibercriminosos vão seguir para novos servidores. Fomos capazes de infligir algum dano ao RIG durante a nossa investigação, mas não fomos capazes de obter dados dos atores por trás dessa atividade”, diz o comunicado.
Em outubro do ano passado, a Talos já havia detectado e barrado o ransomware Angler, responsável pelo desvio de US$ 60 milhões no mundo. A empresa diz que o RIG é mais difícil de rentabilizar, pois as cargas eram spambots que forçam o usuário a gerar spam.