Exploit-Kits wurden in den letzten Jahren in zahlreichen Ransomware-Kampagnen eingesetzt. Einige Exploit-Kits haben eine kurze Lebensdauer, und andere, wie Magnitude EK, weiterentwickeln und verbessert werden.
Tatsächlich, Magnitude EK ist eine der ältesten auf dem Markt, wird seitdem in Untergrundforen angeboten 2013. Laut der neuesten Kaspersky-Analyse, die dem Exploit-Kit gewidmet ist, Magnitude hat seinen Fokus auf die Verbreitung von Ransomware speziell an Benutzer aus Ländern im asiatisch-pazifischen Raum verlagert, über die Methode von Malvertising.
Entwicklung des Magnitude Exploit Kits
Nach Angaben der Forscher, Das Exploit-Kit wird aktiv unterstützt und wurde ständig verbessert. Eine der bemerkenswertesten Änderungen in der EK ist die Verwendung einer neueren Sicherheitsanfälligkeit, die als bekannt ist, CVE-2019-1367 im Internet Explorer. Diese besondere Sicherheitslücke wurde ursprünglich als ausgenutzter Zero-Day in freier Wildbahn entdeckt. Weiter, Die Betreiber von Magniture verwenden jetzt einen bisher unbekannten Exploit für die Erhöhung von Berechtigungen für CVE-2018-8641, der anscheinend von einem produktiven Exploit-Autor entwickelt wurde, Sagt Kaspersky.
Welche Sicherheitslücken hat Magnitude EK verwendet??
Wie die meisten verfügbaren Exploit-Kits, in 2019 Magnitude EK verwendete hauptsächlich CVE-2018-8174. Jedoch, Die Betreiber waren die ersten, die sich für die viel neueren entschieden haben CVE-2019-1367-Sicherheitsanfälligkeit, und sie nutzen es seit Februar als primären Exploit 11, 2020, Kaspersky stellt fest. Die Angreifer verwendeten den ursprünglichen Zero-Day-Exploit erneut und modifizierten ihn lediglich mit ihrem eigenen Shellcode und ihrer eigenen Verschleierung.
Was ist CVE-2019-1367??
CVE-2019-1367 ist eine Use-After-Free-Sicherheitsanfälligkeit, da ein Garbage Collector keinen Wert verfolgt, der nicht in der alten JavaScript-Engine jscript.dll verwurzelt war. In der Standardeinstellung, Internet Explorer 11 verwendet Jscript9.dll, Es ist jedoch weiterhin möglich, das Skript mithilfe der Legacy-Engine auszuführen, indem der Kompatibilitätsmodus mit Internet Explorer aktiviert wird 7/8.
Der Fehler könnte Angreifern ermöglichen Remote-Angriffe mit dem Ziel durchzuführen, der Zugang über ein System zu gewinnen. Die Sicherheitslücke ist ein Scripting-Engine Speicherfehler, die von Clément Lecigne der Google-Threat Analysis Group entdeckt wurde.
Ein Angriff auf der Grundlage des CVE-2019-1367-Exploit könnte per E-Mail gestartet werden (malspam) oder durch trickst den Benutzer in einer in böswilliger Absicht erstellten Website besuchen. Es sollte erwähnt werden, dass die gezielte Browser Internet Explorer ist, die weiterhin von einer großen Benutzerzahl verwendet werden.
Magnitude EK lässt seine eigene Ransomware-Nutzlast fallen
Eine weitere merkwürdige Tatsache bei Magnitude ist, dass die Betreiber bei ihren Angriffen ihre eigene Ransomware-Nutzlast verwenden. Diese Ransomware wird mit einem temporären Verschlüsselungsschlüssel und einer Liste von Domänennamen geliefert, die die Angreifer häufig ändern. Die Dateien des Opfers werden mit Microsoft CryptoAPI sowie Microsoft Enhanced RSA und AES Cryptographic Provider verschlüsselt (PROV_RSA_AES).
Der Initialisierungsvektor (IV) wird pseudozufällig für jede Datei generiert und ein 0x100 Byte langer Blob mit verschlüsselter IV wird an das Ende der Datei angehängt. Die Ransomware verschlüsselt die Dateien in allgemeinen Ordnern wie Dokumenten und Einstellungen nicht, Anwendungsdaten, lokale Einstellungen, Beispielmusik, tor-Browser, etc. Vor Verschlüsselung, Die Dateierweiterungen werden mit einer Hash-Tabelle der zulässigen Dateierweiterungen verglichen, die enthält 715 Einträge.
Natürlich, In jedem Ordner mit verschlüsselten Dateien wird auch eine Lösegeldnotiz abgelegt. Am Ende wird ein Prozess notepad.exe erstellt, um die Lösegeldnotiz anzuzeigen. Um den Ursprung des ausgeführten Prozesses zu verbergen, Diese Ransomware verwendet entweder die Technik „wmic process call create“ oder „pcalua.exe –a… -c…“.. Nach der Verschlüsselung versucht die Ransomware auch, Sicherungen der Dateien mit Hilfe des Befehls "wmic shadowcopy delete" zu löschen, der mit einem UAC-Bypass ausgeführt wird, Kaspersky entdeckte.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: