Nuevos informes de seguridad han aterrizado indicando que el ransomware GandCrab infame actualmente está siendo distribuido por un nuevo paquete de exploits conocidos como Fallout. El Fallout EK está empujando el ransomware junto troyanos downloader y programas potencialmente no deseados. La EK fue descubierto por el investigador de seguridad nao_sec a finales del mes de agosto 2018.
Fallout Exploit Kit de Operaciones maliciosos
Parece ser que el Fallout EK está instalado en sitios web comprometidos y está tratando de aprovechar las vulnerabilidades presentes en el sistema de la víctima potencial. Hasta aquí, la EK está aprovechando dos ataques conocidos - uno para Adobe Flash Player (CVE-2018-4878) y uno para el motor de Windows VBScript (CVE-2018-8174).
CVE-2018-4878 Detalles técnicos
Según MITRE consultivo, la vulnerabilidad es “una vulnerabilidad de uso después de liberación” que fue descubierto en Adobe Flash Player anterior a la versión 28.0.0.161. La vulnerabilidad se produce debido a una referencia colgante en el SDK Primetime relacionados con el manejo del reproductor multimedia de objetos detectores. Un ataque exitoso puede provocar la ejecución de código arbitrario. CVE-2018-4878 fue explotado en estado salvaje en enero y febrero 2018.
CVE-2018-8174 Detalles técnicos
El vulnerabilidad es del tipo de ejecución remota de código, que existe en la forma en que el motor de VBScript trata los objetos en memoria, tal como “Remota de código en Windows VBScript motor vulnerabilidad de ejecución.” La falla afecta a Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2012, Ventanas 8.1, Windows Server 2016, Windows Server 2008 R2, Ventanas 10, Ventanas 10 servidores.
Tras su descubrimiento, EK fue capturado descargar e instalar el SmokeLoader por lo caled-, una instancia de malware conocido por descargar más malware en el host comprometido. En ese momento particular, CoalaBot estaba siendo descargado junto con otras piezas de malware no reveladas.
De acuerdo con el investigador, el archivo EXE es ejecutado por código shell “Nullsoft instalador archivo de extracción automática””, que luego ejecutar el SmokeLoader y se descarga dos archivos ejecutables adicionales.
FireEye investigadores fueron previamente capaz de determinar que el mismo exploit kit ha sido desplegado por los ciberdelincuentes para instalar el ransomware GandCrab en los sistemas Windows y MacOS. La EK es también conocida por la reorientación de las víctimas a páginas promoción de programas antivirus falsos y falsos jugadores de Flash.
Cabe señalar que los investigadores dicen que si el Fallout EK deja de explotar la vulnerabilidad CVE-2.018-8174 VBScript, y si scripting está deshabilitado en el host específico, A continuación, intentar explotar la vulnerabilidad de Adobe Flash Player, CVE-2018-4878.
Al ataque exitoso, el sistema operativo de Windows, en particular, podría descargar e instalar un troyano que luego comprobar si los siguientes procesos:
vmwareuser.exe
VMwareService.exe
vboxservice.exe
vboxtray.exe
Sandboxiedcomlaunch.exe
procmon.exe
RegMon.exe
filemon.exe
wireshark.exe
netmon.exe
vmtoolsd.exe
En caso de que se encuentran aquellos procesos, el troyano entraría en un bucle infinito sin llevar a cabo más actividades maliciosas, los investigadores observaron.
Si no se encuentran los procesos, el troyano descargar y ejecutar un archivo DLL que se instala el GandCrab ransomware, que procederá en su forma típica de la infección.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: