I ricercatori di sicurezza hanno seguito l'attività che circonda il Rig famigerato exploit kit. In queste campagne, attaccanti stanno compromettendo i siti web per iniettare uno script dannoso che reindirizza le potenziali vittime alla pagina di destinazione del EK. Questo scenario di attacco leggermente modificato nel marzo dello scorso anno in cui è stato rilevato Rig nella cosiddetta campagna senza soluzione di continuità in cui è stato aggiunto un altro strato prima di atterrare sulla pagina del kit di exploit.
Oltre gli aggiornamenti di codice, ricercatori di sicurezza hanno osservato Rig attuazione di un minatore criptovaluta come payload finale dell'operazione. Secondo Trend Micro, operatori Rig ora hanno aggiunto una particolare vulnerabilità al loro arsenale di sfruttare – CVE-2018-8174. Questo difetto è il tipo di elaborazione remota ed è stato segnalato da sfruttare attivamente maggio. La vulnerabilità affligge sistemi che eseguono Windows 7 e più tardi, e utilizza i documenti di Internet Explorer e Microsoft Office utilizzando il motore di script vulnerabile.
CVE-2018-8174 descrizione ufficiale
Legata all'esecuzione di codice in modalità remota nel modo in cui il motore VBScript gestisce gli oggetti nella memoria. La vulnerabilità potrebbe danneggiare la memoria in modo tale che un utente malintenzionato di eseguire codice arbitrario nel contesto dell'utente corrente. Un utente malintenzionato che riesca a sfruttare la vulnerabilità, può ottenere gli stessi diritti utente dell'utente corrente. Se l'utente corrente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti la vulnerabilità potrebbe assumere il controllo del sistema interessato. Un utente malintenzionato potrebbe quindi installare programmi; vista, modificare, o cancellare i dati; oppure creare nuovi account con diritti utente completi.
Le campagne di Rig EK non sono che sorprende affatto - avendo in mente che il paesaggio EK drasticamente cambiato con la vanificazione di alcuni dei kit più grande sfruttare. Di conseguenza, Rig è diventato il più diffuso, utilizzando una varietà di vulnerabilità, vecchi e nuovi. Uno dei difetti più grandi utilizzate dagli operatori di impianto di perforazione è CVE-2015-8651, una vecchia vulnerabilità legata all'esecuzione di codice in Adobe Flash che altri exploit kit impiegano anche.
Quali sono gli operatori EK Rig state facendo ultimamente?
Nel caso della campagna CVE-2018-8174, malvertisements schierato hanno un iframe nascosto che reindirizza le vittime alla pagina di destinazione di Rig, che comprende un exploit per CVE-2018-8174 e shellcode, Trend Micro ha scritto. Questo scenario rende possibile l'esecuzione di codice remoto tramite l'esecuzione dello shellcode offuscato nella pagina di destinazione. Dopo lo sfruttamento di successo, un downloader secondo stadio viene recuperato, che è più probabile una variante di SmokeLoader a causa del URL. La fase finale è il download del carico utile finale, un minatore Monero.
Come proteggersi contro Exploit Kit, Minatori criptovaluta e Malware?
Dal momento che EKS sono conosciuti per portare una varietà di minacce per le vittime, protezione dovrebbe essere una priorità. Rig EK ha utilizzato le vulnerabilità nelle sue campagne senso che tale patch tempestivo dovrebbe essere regola empirica. Ecco alcuni altri suggerimenti utili per aumentare la protezione contro tali attacchi:
- patching virtuale per salvaguardare i sistemi legacy e le reti;
- L'attivazione e la distribuzione di firewall e rilevamento delle intrusioni e sistemi di prevenzione;
- L'impiego di controllo delle applicazioni per mitigare l'accesso e privilegi non autorizzati;
- Limitare o disabilitare l'uso di plug-in non necessari o obsoleti, estensioni o applicazioni che possono essere utilizzati come punti di ingresso.
Per gli utenti privati l'impiego di una protezione anti-malware è consigliabile anche.
scanner SpyHunter rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: