Los investigadores de seguridad han estado siguiendo la actividad que rodea el famoso Rig exploit kit. En estas campañas, atacantes están comprometiendo sitios web para inyectar un script malicioso que redirige las víctimas potenciales a la página de aterrizaje de la EK. Este escenario de ataque ligeramente cambiado en marzo del año pasado, donde se detectó la plataforma en la llamada campaña sin fisuras que se añadió otra capa antes de aterrizar en la página del paquete de exploits.
Además de las actualizaciones de código, los investigadores de seguridad observaron Rig implementación de un minero criptomoneda como la carga útil final de la operación. De acuerdo con Trend Micro, operadores de equipos de perforación ahora han añadido una especial vulnerabilidad a la explotación de su arsenal – CVE-2018-8174. Este defecto es el tipo de ejecución remota y se informó a ser explotada activamente en de mayo de. La vulnerabilidad afecta a los sistemas que ejecutan Windows 7 y después, y utiliza Internet Explorer y Microsoft Office documentos utilizando el motor de scripts vulnerables.
CVE-2018-8174 Descripción oficial
Existe una vulnerabilidad de ejecución remota de código en la forma en que el motor de VBScript trata los objetos en memoria. La vulnerabilidad podría dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual. Un atacante que aprovechara la vulnerabilidad podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual inicia sesión con derechos de usuario administrativos, un atacante que aprovechara la vulnerabilidad podría tomar el control de un sistema afectado. Un atacante podría instalar programas; vista, cambio, o borrar datos; o crear cuentas nuevas con todos los derechos de usuario.
Las campañas de EK Rig no son tan sorprendente en absoluto - tener en cuenta que el paisaje EK cambió drásticamente con la frustración de algunos de los equipos de mayor explotación. Como resultado, Rig se convirtió en el más prevalente, usando una variedad de vulnerabilidades, tanto antiguos como nuevos. Uno de los defectos más antiguas utilizadas por los operadores de los equipos de perforación es CVE-desde 2015 hasta 8651, una vieja vulnerabilidad de ejecución de código en Adobe Flash que otros kits de exploits también emplean.
Lo han operadores EK Rig estado haciendo últimamente?
En el caso de la campaña CVE-2018-8174, malvertisements desplegado tiene un iframe oculto que redirige a las víctimas página de destino del aparejo, que incluye un exploit para CVE-2018 a 8174 y shellcode, Trend Micro escribió. Este escenario hace que la ejecución de código remoto posible a través de la ejecución del código shell ofuscado en la página de destino. Después de una explotación exitosa, un descargador de segunda etapa se recupera, que es más probable una variante de SmokeLoader debido a la URL. La etapa final es la descarga de la carga útil definitiva, a Monero miner.
Cómo proteger contra Exploit Kits, Los mineros criptomoneda y malware?
Desde EKS son conocidos por llevar una variedad de amenazas a las víctimas, la protección debe ser una prioridad. Rig EK ha estado utilizando vulnerabilidades en sus campañas sentido de que esta parcheo puntual debe ser regla de oro. Éstos son algunos otros consejos útiles para aumentar la protección contra este tipo de ataques:
- parches virtuales para la protección de los sistemas y redes heredadas;
- Activación y el despliegue de cortafuegos y de detección de intrusiones y sistemas de prevención;
- El empleo de control de aplicaciones para mitigar el acceso no autorizado y el privilegio;
- La restricción o deshabilitar el uso de plug-ins innecesarios o anticuados, extensiones o aplicaciones que pueden ser usados como puntos de entrada.
Para los usuarios domésticos el empleo de la protección anti-malware También es aconsejable.
SpyHunter escáner sólo detecta la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: