Benutzer, die vor zwei Wochen den Musik-News Website spin.com besucht haben und nicht über die neuesten Patches kann Opfer eines Drive-by-Download-Attacke durch einen RIG geliefert geworden Exploit-Kit. Der Moment der Exploit-Kit entdeckt eine gefährdete Flash Player, Java oder Silverlight-Plug-in, es den Fehler ausnutzt, um Malware auf dem infizierten Computer herunter. Forscher mit Symantec haben zwei verschiedene Malware-Typen so weit erkannt - Tier und Zeus Trojan.
Ausnutzen ungepatchten Sicherheitslücken
Dyre hat in mehreren Angriffen bisher verwendet worden. In den meisten Kampagnen, der Trojaner über Betrug E-Mails ausgeliefert. Dyre Fähigkeit, Bankdaten und Block Browser-Kommunikation mit Websites von Finanzinstituten zu stehlen macht es eher attraktiv für Cyber-Kriminelle.
Wie verlautet, der bösartige Kampagne wurde erstmals am Oktober erkannt 27. Forscher haben keine Ahnung, wie lange die schlechten Code herum gewesen oder wie viele Opfer es könnte genommen haben. Laut der Symantec-Bericht, die Mehrzahl der Zielbenutzer in den USA ansässigen. Der Exploit-Kit hat ein paar Fehler Leveraged, unter denen gibt es einige, die die Malware-Erkennung auf bestimmten Systemen verhindern würde.
Die Malware kann zwei Sicherheitslücken im Internet Explorer und einige Fehler in älteren nutzen (2013 und 2012), ungepatchte Versionen von Flash Player, Java und Silverlight. Im Grunde, die Opfer einer solchen Kampagne sind Benutzer, die ihre Software regelmäßig nicht aktualisieren.
Schädliche Iframe nicht zu finden auf der Website Kodex
Das Website-Hosting-RIG-Exploit-Kit wurde massiv verschleiert. Bevor es tatsächlich beginnt, Hebel Mängel im Browser-Plug-ins, RIG Scans für Antiviren-Programme. In Fall gibt es keine Sicherheitsprodukte, der bösartige Kampagne geht weiter. Die Nutzlast wird über Dyre oder einer Variation des ZeuS Trojan zuge. So oder so, die Gauner verwenden XOW Cypher, um den Nachweis zu umgehen.
RIG-Exploit-Kit wurde kürzlich in einer Kampagne, in der infizierte Computer wurden über die kompromittiert Drupal Webseiten Anschluss verwendet SQL-Injection-Schwachstelle. Forscher haben das gleiche Muster der Erfassung der Sicherheitsprodukte, bevor die Nutzlast wird in jenen Fällen beobachtet heruntergeladen.
Die schlechte Code wurde von spin.com entfernt wurden kürzlich, und die Website ist jetzt sicher für den Einsatz.