Casa > Cyber ​​Notizie > Fallout EK diffonde GandCrab, Sfrutta CVE-2018-4878, CVE-2018-8174
CYBER NEWS

Fallout EK diffonde GandCrab, Sfrutta CVE-2018-4878, CVE-2018-8174

Microsoft Office CVE-2017-0199 Exploit

I nuovi rapporti di sicurezza sono atterrati ad indicare che il ransomware GandCrab infame è attualmente distribuito da un nuovo kit di exploit noto come Fallout. Il Fallout EK sta spingendo il ransomware fianco Trojan downloader e programmi potenzialmente indesiderati. La EK è stato portato alla luce dal ricercatore di sicurezza nao_sec alla fine del mese di agosto 2018.




Fallout Exploit Kit Operazioni dannosi

Sembra che il Fallout EK è installato su siti web compromessi e sta tentando di sfruttare le vulnerabilità presenti nel sistema il potenziale della vittima. Finora, EK è sfruttando due exploit noti - uno per Adobe Flash Player (CVE-2018-4878) e uno per il motore di Windows VBScript (CVE-2018-8174).

CVE-2018-4878 Dettagli tecnici

Come da MITRE di consultivo, la vulnerabilità è “una vulnerabilità use-after-free” che è stato scoperto in Adobe Flash Player precedenti alla versione 28.0.0.161. La vulnerabilità si verifica a causa di un puntatore penzoloni nel Primetime SDK relative alla manipolazione lettore multimediale di oggetti listener. Un attacco di successo può portare all'esecuzione di codice arbitrario. CVE-2018-4878 è stata sfruttata allo stato selvatico in gennaio e febbraio 2018.

CVE-2018-8174 Dettagli tecnici

Il vulnerabilità è del tipo esecuzione codice remoto, esistente nel modo in cui il motore VBScript gestisce gli oggetti nella memoria, come “Finestre VBScript Engine vulnerabilità legata all'esecuzione di codice in modalità remota.” La falla interessa di Windows 7, Windows Server 2012 R2, RT di Windows 8.1, Windows Server 2008, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10, Windows 10 I server.

Al momento della sua scoperta, EK è stato catturato scaricare e installare lo SmokeLoader così-caled, un'istanza di malware conosciuto per il download di più malware sul host compromesso. In quel particolare momento CoalaBot veniva scaricato insieme ad altri pezzi di malware segrete.

Secondo il ricercatore, il file exe eseguito da shellcode è “Nullsoft Installer archivio autoestraente””, che sarà quindi eseguire lo SmokeLoader e scaricherà due file exe aggiuntivi.

ricercatori FireEye in precedenza erano in grado di determinare che lo stesso exploit kit è stato messo in atto da criminali informatici per installare il ransomware GandCrab su entrambi i sistemi Windows e MacOS. La EK è noto anche per reindirizzare le vittime a pagine promozione di programmi anti-virus falsi e finti giocatori Adobe Flash.

Va notato che i ricercatori dicono che se l'Fallout EK non riesce a sfruttare la vulnerabilità CVE-2018-8174 VBScript, e se script è disabilitata sull'host mirata, lo farà allora cercare di sfruttare la vulnerabilità di Adobe Flash Player, CVE-2018-4878.

Upon successo exploit, il sistema operativo Windows, in particolare, sarebbe scaricare e installare un Trojan che poi verificare i seguenti processi:

vmwareuser.exe
vmwareservice.exe
vboxservice.exe
vboxtray.exe
Sandboxiedcomlaunch.exe
procmon.exe
RegMon.exe
FileMon.exe
wireshark.exe
netmon.exe
vmtoolsd.exe

Nel caso in cui si trovano quei processi, il Trojan sarebbe entrato un ciclo infinito senza eseguire ulteriori attività dannose, i ricercatori hanno notato.

Se questi processi non si trovano, il Trojan scaricare ed eseguire una DLL che installa il GandCrab ransomware, che procederà nella maniera tipica infezione.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politica sulla riservatezza.
Sono d'accordo