Nye sikkerhedsrapporter er landet indikerer, at den berygtede GandCrab ransomware i øjeblikket distribueres af en ny udnytte kit kaldet Fallout. Den Fallout EK presser ransomware sammen Downloader trojanske heste og potentielt uønskede programmer. Den EK blev udgravet af sikkerhedsekspert nao_sec ved slutningen af august 2018.
Fallout Exploit Kit Ondskabsfuld Operations
Det fremgår, at Fallout EK er installeret på kompromitterede hjemmesider og forsøger at udnytte sårbarheder til stede i det potentielle offer system. Hidtil, EK er at udnytte to kendte exploits - en til Adobe Flash Player (CVE-2018-4878) og en til Windows VBScript motor (CVE-2018-8174).
CVE-2018-4878 Tekniske Specifikationer
Pr Mitres rådgivende, sårbarheden er “en anvendelse efter frigivelse sårbarhed” som blev opdaget i Adobe Flash Player forud for versionen 28.0.0.161. Svagheden opstår på grund af en dinglende pointer i Primetime SDK relateret til media player håndtering af lytterens objekter. Et vellykket angreb kan føre til kørsel af vilkårlig kode. CVE-2018-4878 blev udnyttet i naturen i januar og februar 2018.
CVE-2018-8174 Tekniske Specifikationer
Den sårbarhed er af den fjernkørsel slags, findes i den måde, at VBScript motor håndterer objekter i hukommelsen, såsom “Windows VBScript Engine fjernkørsel sårbarhed.” Fejlen påvirker Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2012, Vinduer 8.1, Windows Server 2016, Windows Server 2008 R2, Vinduer 10, Vinduer 10 Servere.
Efter opdagelsen, EK blev fanget downloade og installere den såkaldte caled SmokeLoader, en malware eksempel kendt for at downloade mere malware på kompromitteret vært. På det pågældende tidspunkt CoalaBot blev hentet sammen med andre frigivet malware stykker.
Ifølge forskeren, exe-filen eksekveres af shellcode er “Nullsoft Installer selvudpakkende arkiv””, som derefter vil køre SmokeLoader og vil hente yderligere to exe-filer.
FireEye forskere tidligere var i stand til at fastslå, at den selvsamme udnytte kit er blevet indsat af cyberkriminelle til at installere GandCrab ransomware på både Windows og MacOS systemer. Den EK er også kendt for at omdirigere ofre til sider fremme falske anti-virus programmer og falske Adobe Flash-afspillere.
Det skal bemærkes, at forskerne siger, at hvis Fallout EK undlader at udnytte CVE-2018-8174 VBScript sårbarhed, og hvis scripting er deaktiveret på målrettet vært, Det vil derefter forsøge at udnytte Adobe Flash Player sårbarhed, CVE-2018-4878.
Efter en vellykket udnytte, Windows OS især ville hente og installere en trojansk som derefter vil kontrollere, om de følgende processer:
vmwareuser.exe
vmwareservice.exe
vboxservice.exe
vboxtray.exe
Sandboxiedcomlaunch.exe
procmon.exe
regmon.exe
filemon.exe
wireshark.exe
netmon.exe
vmtoolsd.exe
I tilfælde findes disse processer, den trojanske ville træde en uendelig løkke uden at udføre yderligere ondsindede aktiviteter, forskerne bemærkede.
Hvis der ikke findes disse processer, den trojanske vil downloade og køre en DLL, der installerer GandCrab ransomware, der vil forløbe i sin typiske måde for infektion.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: