Neue Sicherheitsberichte gelandet darauf hinweist, dass der berüchtigte GandCrab Ransomware zur Zeit durch ein neues Kit als Fallout bekannt ausnutzen verteilt wird. Der Fallout EK treibt die Ransomware neben Downloader Trojaner und potenziell unerwünschte Programme. Die EK wurde von Sicherheitsforscher nao_sec am Ende August ausgegraben 2018.
Fallout Exploit Kit Malicious Operationen
Es scheint, dass der Fallout EK auf kompromittierten Websites installiert und versucht, Sicherheitslücken des Systems in der potentiellen Opfer zu nutzen. Bisher, die EK nutzt zwei bekannte Taten - ein für den Adobe Flash Player (CVE-2018-4878) und ein für die Windows-VBScript-Engine (CVE-2018-8174).
CVE-2018-4878 Technische Daten
Wie pro Mitres beratend, die Verwundbarkeit “eine use-after-free-Sicherheitsanfälligkeit” die in Adobe Flash Player vor Version entdeckt 28.0.0.161. Die Sicherheitsanfälligkeit tritt aufgrund eines baumelnden Zeigers in der Primetime SDK Media-Player Umgang mit Listener-Objekten im Zusammenhang. Ein erfolgreicher Angriff kann zur Ausführung willkürlichen Codes führen. CVE-2018-4878 wurde in der Wildnis im Januar und Februar ausgebeutet 2018.
CVE-2018-8174 Technische Daten
Die Verwundbarkeit ist von der Ausführung Art Remotecode, in der Art und Weise, dass das bestehende VBScript-Engine Objekte im Speicher verarbeitet, sowie “Windows-VBScript-Engine Remotecodeausführung ermöglichen.” Der Fehler betrifft Windows 7, Windows Server 2012 R2, Windows-RT 8.1, Windows Server 2008, Windows Server 2012, Fenster 8.1, Windows Server 2016, Windows Server 2008 R2, Fenster 10, Fenster 10 Server.
Nach seiner Entdeckung, die EK wurde gefangen das Herunterladen und die so caled SmokeLoader Installation, eine Malware-Instanz bekannt für mehr Malware auf dem kompromittierten Host-Download. In diesem Moment CoalaBot wurde neben anderen nicht genannten Malware-Stücke heruntergeladen.
Gemäß der Forscher, die EXE-Datei von Shellcode ausgeführt ist “Nullsoft Installer selbstextrahierendes Archiv””, die dann die SmokeLoader laufen und zwei zusätzliche exe-Dateien herunterladen werden.
FireEye Forscher waren zuvor der Lage zu bestimmen, dass die gleichen Exploit-Kit von Cyber-Kriminellen eingesetzt wurde, um die GandCrab Ransomware auf Windows- und Mac OS-Systemen zu installieren. Die EK wird auch zum Umleiten Opfer auf Seiten bekannte Förderung gefälschte Antiviren-Programme und gefälschten Adobe Flash Player.
Es sei darauf hingewiesen, dass die Forscher sagen, dass, wenn der Fallout EK nicht die CVE-2018-8174 VBScript Sicherheitsanfälligkeit auszunutzen, und wenn Scripting auf der gezielten Host deaktiviert, es wird dann versuchen, Adobe Flash Player Sicherheitsanfälligkeit ausnutzt, CVE-2018-4878.
Nach dem erfolgreichen Exploit, das Windows-Betriebssystem würde insbesondere herunterladen und einen Trojaner installieren, die dann für die folgenden Prozesse überprüfen werden:
VMwareUser.exe
VMwareService.exe
vboxservice.exe
vboxtray.exe
Sandboxiedcomlaunch.exe
procmon.exe
regmon.exe
filemon.exe
wireshark.exe
netmon.exe
vmtoolsd.exe
Im Falle werden diese Prozesse gefunden, der Trojaner würde eine Endlosschleife, ohne eine weitere bösartige Aktivitäten eingeben, Die Forscher stellten fest.
Wenn diese Prozesse nicht gefunden, der Trojaner herunterladen und eine DLL ausführen, die installiert GandCrab Ransomware, was in seiner typischen Art und Weise der Infektion vorgehen.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: