Lockyランサムウェアが再び復活しました, 今回は新しいエクスプロイトキットによって広められています, 以前に知られている日没に基づく. 新しいエクスプロイトキットはBizarroSundownと呼ばれ、10月に最初に注目されました。 5 そして再び10月に 19, トレンドマイクロの研究者によって報告されたように.
どうやら, このキャンペーンに感染したユーザーの最大数は、現在台湾と韓国で見られます. EKは前任者とよく似ていますが、分析防止機能が追加されているなど、いくつかの改善点があります。. プラス, 10月に観測された攻撃 19 正当なWeb広告を模倣するために正式なURLを変更しました. 研究者は、両方のバージョンがShadowGate/WordsJSキャンペーンで使用されたと言います.
ShadowGateキャンペーンの詳細
最初に識別された 2015, ShadowGateキャンペーンは、ローカルにインストールされたReviveおよびOpenXのオープンソース広告サーバーを対象としました. 妥協したら, サーバーは、マルウェア配布用のエクスプロイトキットへのゲートウェイとして機能します. キャンペーンは今年9月に閉鎖されたと伝えられているが, 私たちはそれがまだ生きていて元気であることがわかりました, を使用して 181 ランサムウェアを配信するために侵害されたサイト.
TrendMicroは、9月にShadowGateを観察し、Neutrinoエクスプロイトキットを展開してLockyの亜種をドロップしました。 (.zepto拡張子). 10月に 5, キャンペーンはBizarroSundownに切り替わりました. 二週間後, 10月に 19, BizarroSundownの修正バージョンが検出されました.
Lockyランサムウェアをドロップする最新の攻撃の調査
これらの攻撃には特に興味深い点が1つあり、週末には感染したマシンの数がゼロになります。.
研究者はShadowGateキャンペーンを観察しました週末にリダイレクトを閉じ、侵害されたサーバーから悪意のあるリダイレクトスクリプトを削除し、平日に悪意のあるアクティビティを再開します.」
キャンペーンの犠牲者は、台湾と韓国だけでなくドイツのユーザーです。, イタリア, と中国.
攻撃で利用される脆弱性?
成功した攻撃シナリオで展開された脆弱性はCVE-2016-0189です, CVE-2015-5119, およびCVE-2016-4117:
Bizarro Sundownの最初のバージョンは、InternetExplorerのメモリ破損の脆弱性を標的にしました (CVE-2016-0189, 5月に修正 2016) とFlashの2つのセキュリティ上の欠陥: 解放後使用の脆弱性 (CVE-2015-5119) および範囲外の読み取りバグ (CVE-2016-4117). これらの最初のものは1年以上前に修正されました (7月 2015), 今年初めに2番目のパッチが適用されました (5月 2016).
Bizarro Sundownの2番目のバージョンは、2つのFlashエクスプロイトのみを使用していました.
マルウェア感染を回避するには, システムが常に保護されていることを確認してください!
スパイハンタースキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: