Des kits d'exploit ont été déployés dans de nombreuses campagnes de rançongiciels au cours des dernières années. Certains kits d'exploit ont une courte durée de vie, et d'autres, comme Magnitude EK, continuer d'évoluer et d'être amélioré.
En fait, La magnitude EK est l'une des plus anciennes, étant offert dans les forums souterrains depuis 2013. Selon la dernière analyse Kaspersky dédiée au kit d'exploit, Magnitude a changé d'orientation pour distribuer des ransomwares spécifiquement aux utilisateurs des pays d'Asie-Pacifique, via la méthode de malvertising.
Évolution du kit d'exploitation Magnitude
Selon les chercheurs, le kit d'exploit est activement pris en charge et a été constamment amélioré. L'un des changements les plus notables observés dans l'EK est l'emploi d'une vulnérabilité plus récente connue sous le nom de, CVE-2019-1367 dans Internet Explorer. Cette vulnérabilité particulière a été découverte à l'origine comme un jour zéro exploité dans la nature. En outre, Les opérateurs de Magniture utilisent maintenant un exploit d'élévation de privilèges inconnu pour CVE-2018-8641 qui semble avoir été développé par un auteur d'exploit prolifique, Kaspersky dit.
Quelles vulnérabilités Magnitude EK a-t-il utilisées?
Comme la plupart des kits d'exploitation disponibles, à 2019 Magnitude EK principalement utilisé CVE-2018-8174. Cependant, ses opérateurs ont été les premiers à adopter le tout nouveau Vulnérabilité CVE-2019-1367, et ils l'utilisent comme leur principal exploit depuis février 11, 2020, Notes de Kaspersky. Les attaquants ont réutilisé l'exploit d'origine zero-day et l'ont juste modifié avec leur propre shellcode et obfuscation.
Qu'est-ce que CVE-2019-1367?
CVE-2019-1367 est une vulnérabilité Use-After-Free due à un garbage collector qui ne suit pas une valeur qui n'était pas enracinée dans le moteur JavaScript hérité jscript.dll. Par défaut, Internet Explorer 11 utilise Jscript9.dll, mais il est toujours possible d'exécuter le script à l'aide du moteur hérité en activant le mode de compatibilité avec Internet Explorer 7/8.
Le bug pourrait permettre à des attaquants d'effectuer des attaques à distance dans le but d'obtenir un accès sur un système. La vulnérabilité est un problème de corruption de mémoire du moteur de script, qui a été découvert par Clément Lecigne de la menace de Google Groupe d'analyse.
Une attaque basée sur la CVE-2019-1367 pourrait être lancé exploit par email (malspam) ou en incitant l'utilisateur à visiter un site web construit de manière malveillante. Il convient de mentionner que le navigateur Internet Explorer est ciblé, qui continue d'être utilisé par un grand userbase.
Magnitude EK abandonnant sa propre charge utile de ransomware
Un autre fait curieux à propos de Magnitude est que ses opérateurs utilisent sa propre charge utile de ransomware dans leurs attaques. Ce ransomware est livré avec une clé de cryptage temporaire et une liste de noms de domaine que les attaquants changent fréquemment. Les fichiers des victimes sont cryptés à l'aide de Microsoft CryptoAPI ainsi que de Microsoft Enhanced RSA et AES Cryptographic Provider (PROV_RSA_AES).
Le vecteur d'initialisation (IV) est généré de manière pseudo aléatoire pour chaque fichier et un blob long de 100 octets avec IV chiffré est ajouté à la fin du fichier. Le ransomware ne crypte pas les fichiers situés dans des dossiers communs tels que les documents et les paramètres, données d'application, paramètres locaux, échantillon de musique, tor navigateur, etc. Avant de chiffrement, les extensions de fichiers sont vérifiées par rapport à une table de hachage des extensions de fichiers autorisées qui contient 715 entrées.
Bien sûr, une note de rançon est également déposée dans chaque dossier avec des fichiers cryptés et à la fin un processus notepad.exe est créé pour afficher la note de rançon. Pour masquer l'origine du processus exécuté, ce ransomware déploie soit la technique «wmic process call create», soit «pcalua.exe –a… -c…». Après le cryptage, le ransomware tente également de supprimer les sauvegardes des fichiers à l'aide de la commande «wmic shadowcopy delete» exécutée avec un contournement UAC, Kaspersky découvert.