Casa > Ciber Noticias > Magnitude EK ahora usa CVE-2019-1367 para eliminar ransomware
CYBER NOTICIAS

Magnitude EK ahora está usando CVE-2019-1367 para eliminar el ransomware

Los kits de exploits se han implementado en muchas campañas de ransomware en los últimos años.. Algunos kits de exploits tienen una vida útil corta, y otros, como Magnitude EK, continuar evolucionando y ser mejorado.

De hecho, Magnitude EK es uno de los más antiguos., que se ofrece en foros subterráneos desde 2013. Según el último análisis de Kaspersky dedicado al kit de exploits, Magnitude ha cambiado su enfoque para distribuir ransomware específicamente a usuarios de países de Asia Pacífico, a través del método de publicidad maliciosa.




Kit de explotación de la evolución de la magnitud

De acuerdo con los investigadores, el kit de exploits es compatible activamente y se ha mejorado constantemente. Uno de los cambios más notables observados en el EK es el empleo de una vulnerabilidad más reciente conocida como, CVE-2019-1367 en Internet Explorer. Esta vulnerabilidad particular fue descubierta originalmente como un día cero explotado en la naturaleza. Además, Los operadores de Magniture ahora están utilizando una elevación de privilegio de privilegios previamente desconocida para CVE-2018-8641 que parece haber sido desarrollada por un prolífico escritor de exploits, Kaspersky dice.

¿Qué vulnerabilidades ha estado utilizando Magnitude EK??
Como la mayoría de los kits de exploits disponibles, en 2019 Magnitude EK utilizó principalmente CVE-2018-8174. Sin embargo, sus operadores fueron los primeros en adoptar el más nuevo Vulnerabilidad CVE-2019-1367, y lo han estado utilizando como su hazaña principal desde febrero 11, 2020, Notas de Kaspersky. Los atacantes reutilizaron el exploit original de día cero y simplemente lo modificaron con su propio código de shell y ofuscación.

¿Qué es CVE-2019-1367??

CVE-2019-1367 es una vulnerabilidad Use-After-Free debido a que un recolector de basura no rastrea un valor que no estaba enraizado en el motor JavaScript heredado jscript.dll. Por defecto, Internet Explorer 11 utiliza Jscript9.dll, pero aún es posible ejecutar el script usando el motor heredado habilitando el modo de compatibilidad con Internet Explorer 7/8.

El fallo podría permitir a atacantes remotos para realizar ataques con el propósito de obtener acceso a través de un sistema de. La vulnerabilidad es un problema de corrupción de memoria motor de scripting, que fue descubierto por Clément Lecigne del Grupo de Análisis de Amenazas de Google.

Un ataque basado en el CVE-2019-1367 hazaña podría ser lanzado a través de correo electrónico (malspam) o engañando al usuario para que visite un sitio web malicioso. Cabe mencionar que el navegador Internet Explorer es dirigido, que continúa para ser utilizado por una gran base de usuarios.

Magnitude EK deja caer su propia carga de ransomware
Otro hecho curioso sobre Magnitude es que sus operadores están utilizando su propia carga útil de ransomware en sus ataques.. Este ransomware viene con una clave de cifrado temporal y una lista de nombres de dominio que los atacantes cambian con frecuencia.. Los archivos de la víctima se cifran con Microsoft CryptoAPI, así como con el Proveedor criptográfico RSA y AES mejorado de Microsoft (PROV_RSA_AES).

El vector de inicialización (IV) se genera de forma seudoaleatoria para cada archivo y se agrega un blob largo de 0x100 bytes con IV encriptado al final del archivo. El ransomware no cifra los archivos ubicados en carpetas comunes, como documentos y configuraciones, datos de aplicación, configuraciónes locales, muestra de musica, Tor browser, etc. antes de cifrado, las extensiones de archivos se verifican contra una tabla hash de extensiones de archivo permitidas que contiene 715 entradas.

Por supuesto, También se suelta una nota de rescate en cada carpeta con archivos cifrados y al final se crea un proceso notepad.exe para mostrar la nota de rescate. Para ocultar el origen del proceso ejecutado., este ransomware despliega la técnica "wmic process call create" o "pcalua.exe –a ... -c ...". Después del cifrado, el ransomware también intenta eliminar las copias de seguridad de los archivos con la ayuda del comando "wmic shadowcopy delete" ejecutado con un bypass UAC, Kaspersky descubrió.

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo