De nouveaux rapports de sécurité ont débarqué indiquant que le ransomware de GandCrab infâme est actuellement distribué par un nouveau kit exploit connu sous le nom Fallout. Le EK Fallout pousse le ransomware à côté des chevaux de Troie téléchargeurs et les programmes potentiellement indésirables. Le EK a été mis au jour par le chercheur nao_sec de sécurité à la fin Août 2018.
Fallout Exploit Kit opérations Malicious
Il semble que le EK Fallout est installé sur les sites Web compromis et tente d'exploiter les vulnérabilités présentes dans le système de la victime potentielle. Jusqu'ici, l'EK capitalise deux exploits connus - un pour Adobe Flash Player (CVE-2018-4878) et un pour le moteur de Windows VBScript (CVE-2018-8174).
CVE-2018-4878 Détails techniques
Selon MITRE de consultatif, la vulnérabilité est “une vulnérabilité use-after-free” qui a été découvert dans Adobe Flash Player avant la version 28.0.0.161. La vulnérabilité est due à un pointeur ballants dans le SDK Primetime lié à la manipulation du lecteur multimédia d'objets d'écoute. Une attaque réussie peut conduire à l'exécution de code arbitraire. CVE-2018-4878 a été exploitée dans la nature en Janvier et Février 2018.
CVE-2018-8174 Détails techniques
La vulnérabilité est du type d'exécution de code à distance, existant de la manière que le moteur VBScript traite les objets en mémoire, comme “Windows VBScript moteur de code à distance vulnérabilité d'exécution.” Le défaut affecte Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2012, Fenêtres 8.1, Windows Server 2016, Windows Server 2008 R2, Fenêtres 10, Fenêtres 10 Les serveurs.
Lors de sa découverte, l'EK a été capturé le téléchargement et l'installation du SmokeLoader soi-caled, une instance logiciels malveillants connus pour le téléchargement de logiciels malveillants plus sur l'hôte compromis. A ce moment CoalaBot particulier a été le téléchargement de logiciels malveillants à côté d'autres pièces non divulguées.
Selon le chercheur, le fichier exe exécuté par shellcode est “archive auto-extractible Nullsoft Installer””, qui sera ensuite exécuter le SmokeLoader et télécharge deux fichiers exe supplémentaires.
les chercheurs FireEye ont déjà pu déterminer que le même exploit kit a été déployé par les cybercriminels pour installer le ransomware de GandCrab sur les systèmes Windows et Mac OS. Le EK est également connu pour rediriger les victimes vers des pages la promotion des programmes anti-virus faux et faux joueurs Adobe flash.
Il convient de noter que les chercheurs disent que si Fallout EK ne parvient pas à exploiter la vulnérabilité CVE-2018-8174 VBScript, et si les scripts sont désactivés sur l'hôte ciblé, il sera alors essayer d'exploiter la vulnérabilité Adobe Flash Player, CVE-2018-4878.
Après avoir réussi à exploiter, le système d'exploitation Windows en particulier se télécharger et installer un cheval de Troie qui vérifiera ensuite les processus suivants:
vmwareuser.exe
VMwareService.exe
vboxservice.exe
vboxtray.exe
Sandboxiedcomlaunch.exe
procmon.exe
RegMon.exe
Filemon.exe
wireshark.exe
netmon.exe
vmtoolsd.exe
Dans le cas où ces processus se trouvent, le cheval de Troie serait entrer dans une boucle infinie sans effectuer plus des activités malveillantes, les chercheurs ont noté.
Si ces processus ne sont pas trouvés, le cheval de Troie télécharge et exécute une DLL qui installe le GandCrab ransomware, qui se déroulera dans sa manière typique d'une infection.