Università false, minacce reali: dentro il nexus del bulletproof hosting che alimenta il cybercrimine a tema educativo
Sottotitolo: Una rete tentacolare di portali accademici fasulli usa il bulletproof hosting per distribuire malware ed eludere le rimozioni, esponendo una nuova frontiera dell’inganno digitale.
Tutto inizia con un clic: uno studente in cerca di materiali didattici, un docente che accede a un portale universitario, o un utente ignaro che cerca risorse accademiche. Ma dietro le sembianze familiari dei siti a tema educativo si nasconde un’operazione di cybercrimine sofisticata-che fonde l’inganno classico con un’infrastruttura moderna e resistente agli abusi. Benvenuti nel mondo di “ToxicSnake”, un oscuro cluster di domini malevoli che si spacciano per università, alimentato da bulletproof hosting e tattiche di elusione incessanti.
L’anatomia di un inganno digitale
Il centro nevralgico dell’operazione è il dominio toxicsnake-wifes[.]com, camuffato da risorsa accademica ma in realtà impegnato a orchestrare un Traffic Distribution System (TDS). Quando un visitatore approda su uno di questi siti, un file JavaScript pesantemente offuscato viene iniettato silenziosamente nel browser. Questo codice agisce come un buttafuori digitale: esegue il fingerprinting del visitatore, raccogliendo dati come tipo di browser, posizione e fonte di referral. L’obiettivo? Eliminare analisti di sicurezza e bot automatizzati, assicurando che vengano intrappolate solo vittime autentiche.
Se un utente supera questo controllo “pre-flight”, lo script genera un token di sessione univoco e contatta un server backend, che decide quindi quale payload malevolo-che si tratti di phishing, furto di credenziali o malware-debba essere consegnato. Un flag monouso viene memorizzato sul computer della vittima per impedire attacchi ripetuti, rendendo ancora più difficili le attività di analisi e rimozione. Durante indagini recenti, i server backend sono risultati momentaneamente irraggiungibili, segno di una configurazione resiliente progettata per ruotare l’infrastruttura e frustrare i difensori.
Bulletproof per progettazione
Ciò che rende questa campagna particolarmente duratura è la sua dipendenza dal bulletproof hosting-in particolare, HZ Hosting Ltd (AS202015). Questo provider ha la reputazione di offrire rifugio a ransomware e ad altre attività illecite, ignorando segnalazioni di abuso che farebbero chiudere host più legittimi. I domini sono registrati tramite Regway, un registrar preferito dai cybercriminali nella regione CIS per la sua supervisione blanda. Tutte le tracce di registrazione riconducono a un’email usa e getta-oreshnik@mailum.com-che collega una ragnatela di domini “sosia”, ciascuno isolato sul proprio server virtuale per ridurre al minimo il rischio di un takedown su larga scala.
I certificati SSL di Let’s Encrypt, validi per soli 90 giorni, facilitano ulteriormente un rapido ricambio dei domini. Template identici di università o blog mascherano questi nodi, facendo apparire la rete malevola come una costellazione sparsa di innocui siti educativi.
Implicazioni e mosse difensive
Non si tratta di una truffa isolata, ma di una “farm” di nodi d’attacco interconnessi. La sofisticazione e la scala del cluster ToxicSnake evidenziano come l’infrastruttura del cybercrimine “commodity” stia evolvendo-economica, altamente resiliente e sempre più difficile da estirpare. Gli esperti esortano le organizzazioni a monitorare e bloccare gli indicatori identificati, in particolare il traffico verso l’intervallo IP 185.33.84.0/23, e a rimanere vigili contro l’esca di risorse accademiche apparentemente legittime.
Conclusione
La campagna ToxicSnake è un monito netto: persino gli ambienti digitali più fidati possono essere trasformati in armi dai cybercriminali. Mentre gli attaccanti sfruttano bulletproof hosting e infrastrutture web usa e getta, i difensori devono affinare le proprie strategie di rilevamento e risposta. Nella battaglia tra inganno e difesa, l’educazione-ironicamente-rimane la nostra arma migliore.
WIKICROOK
- Bulletproof Hosting: Il bulletproof hosting è un servizio di web hosting che ignora le segnalazioni di abuso, consentendo ai criminali di ospitare contenuti illegali o malevoli con scarso rischio di rimozione.
- Traffic Distribution System (TDS): Un Traffic Distribution System (TDS) reindirizza gli utenti web verso siti diversi, spesso usato dai cybercriminali per inviare le vittime a contenuti malevoli o fraudolenti.
- Fingerprinting: Il fingerprinting è un metodo di tracciamento che raccoglie dati unici dal tuo dispositivo o browser per identificarti e seguirti online, anche senza cookie.
- JavaScript offuscato: Il JavaScript offuscato è codice deliberatamente “rimescolato” per nascondere il suo vero scopo, rendendo difficile per esseri umani e strumenti di sicurezza analizzare o rilevare le minacce.
- Server di Command and Control (C2): Un server di Command and Control (C2) gestisce da remoto dispositivi infettati da malware, inviando istruzioni e ricevendo dati sottratti dai sistemi compromessi.




