Les chercheurs en sécurité ont suivi l'activité entourant le Rig infâme exploit kit. Dans ces campagnes, les attaquants sont compromettaient des sites Web pour injecter un script malveillant qui redirige les victimes potentielles à la page d'atterrissage de l'EK. Ce scénario d'attaque légèrement changé en Mars l'année dernière où Rig a été détectée dans la soi-disant campagne transparente où une autre couche a été ajouté avant d'atterrir sur la page du kit exploiter.
Outre les mises à jour de code, les chercheurs en sécurité ont observé Rig la mise en œuvre d'un mineur de la charge utile comme crypto-monnaie finale de l'opération. Selon Trend Micro, opérateurs Rig ont maintenant ajouté une vulnérabilité particulière à leur arsenal d'exploiter – CVE-2018-8174. Ce défaut est le type d'exécution à distance et a été signalé à être activement exploitée mai. La vulnérabilité affecte les systèmes fonctionnant sous Windows 7 et ensuite, et il utilise Internet Explorer et les documents Microsoft Office en utilisant le moteur de script vulnérable.
CVE-2018-8174 Description officielle
Une vulnérabilité d'exécution de code à distance existe dans la manière que le moteur VBScript traite les objets en mémoire. La vulnérabilité pourrait corrompre la mémoire de telle façon qu'un attaquant pourrait exécuter du code arbitraire dans le contexte de l'utilisateur actuel. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits d'utilisateur que l'utilisateur actuel. Si l'utilisateur actuel est connecté avec des droits d'administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle d'un système affecté. Un attaquant pourrait alors installer des programmes; vue, changement, ou supprimer des données; ou créer de nouveaux comptes dotés de tous les privilèges.
Les campagnes de EK Rig ne sont pas surprenant du tout - ayant à l'esprit que le paysage EK a radicalement changé avec la mise en échec de quelques-uns des plus grands kits exploiter. Par conséquent, Rig est devenu le plus répandu, en utilisant une variété de vulnérabilités, anciens et nouveaux. L'un des défauts anciens utilisés par les opérateurs de Rig est CVE-2015-8651, une ancienne exécution de code vulnérabilité dans Adobe Flash que d'autres kits d'exploits emploient aussi.
Qu'ont-Rig opérateurs EK été fait ces derniers temps?
Dans le cas de la campagne CVE-2018-8174, déployé malvertisements ont un iframe caché qui redirige les victimes à la page d'atterrissage de Rig, qui comprend un exploit pour CVE-2018-8174 et shellcode, Trend Micro a écrit. Ce scénario permet l'exécution de code à distance possible via l'exécution du shellcode dans obscurcie la page de destination. Après l'exploitation réussie, un déchargeur de deuxième étape est récupéré, qui est le plus probablement une variante de SmokeLoader en raison de l'URL. La dernière étape est le téléchargement de la charge utile finale, un mineur Monero.
Comment protéger contre Exploit Kits, Les mineurs et les logiciels malveillants crypto-monnaie?
Depuis EKS sont connus pour apporter une variété de menaces aux victimes, la protection devrait être une priorité. Rig EK a utilisé des vulnérabilités dans ses campagnes sens que cette application rapide des rustines devrait être la règle générale. Voici quelques autres conseils utiles pour améliorer la protection contre de telles attaques:
- virtuel pour la sauvegarde de patcher les systèmes existants et les réseaux;
- Activation et déploiement de pare-feu et des systèmes de détection et de prévention des intrusions;
- En utilisant le contrôle de l'application pour atténuer l'accès non autorisé et le privilège;
- La limitation ou la désactivation de l'utilisation de plug-ins inutiles ou obsolètes, extensions ou des applications qui peuvent être utilisés comme points d'entrée.
Pour les utilisateurs à domicile l'emploi de la protection anti-malware est également conseillé.
scanner SpyHunter ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: