Brugere, der har besøgt den musik nyheder website spin.com to uger siden og ikke har de nyeste patches kan være blevet ofre for et drive-by download angreb leveres gennem en RIG udnytte kit. I det øjeblik udnytte kit opdager en sårbar Flash Player, Java eller Silverlight plug-in, det udnytter fejlen til at downloade malware på kompromitteret maskine. Forskere med Symantec har registreret to forskellige malware typer hidtil - Dyre og Zeus Trojan.
Udnyttelse unpatched Sårbarheder
Dyre har været anvendt i flere ondsindede angreb hidtil. I de fleste kampagner, den trojanske er leveret via scam emails. Dyre evne til at stjæle bankoplysninger og blokere browser kommunikation med hjemmesider af finansielle institutioner gør det temmelig tiltrækkende for cyberkriminelle.
Angiveligt, ondsindet kampagne blev først opdaget i oktober 27. Forskerne har ingen idé om, hvor længe den dårlige kode har været omkring eller hvor mange ofre, det måske har taget. Ifølge rapporten Symantec, størstedelen af de målrettede brugere er placeret i USA. Den udnytter kit er gearede et par skønhedsfejl, blandt hvilke der er nogle, der ville forhindre malware afsløring på visse systemer.
Den malware kan udnytte to sikkerhedshuller i Internet Explorer og nogle mangler i ældre (2013 og 2012), unpatched versioner af Flash Player, Java og Silverlight. Dybest set, ofre for en sådan kampagne er brugere, som ikke opdaterer deres software på en regelmæssig basis.
Ondsindet Iframe ikke at være fundet i Website Code
Hjemmesiden hosting RIG exploit kit blev massivt korrumperet. Før det rent faktisk begynder at udnytte fejl i browser plug-ins, RIG scanner for antivirus programmer. Hvis der ikke er nogen sikkerhed produkter, ondsindet kampagne fortsætter. Nyttelasten er leveret via Dyre eller en variation af Zeus Trojan. Enten måde, skurke bruger XOW cypher at omgå afsløring.
RIG exploit kit blev anvendt i en nylig kampagne, hvor inficerede computere blev tilslutning til kompromitterede Drupal websites via SQL injektion fejl. Forskere har observeret det samme mønster af påvisning af sikkerhedsprodukter før nyttelasten bliver downloadet i disse sager.
Den dårlige kode er blevet fjernet fra spin.com nylig, og hjemmesiden er nu sikkert til brug.
