CYBER NEWS

Magnitude EK ora utilizza CVE-2019-1367 per eliminare Ransomware

I kit di exploit sono stati implementati in numerose campagne di ransomware negli ultimi anni. Alcuni kit di exploit hanno una breve durata, e altri, come Magnitude EK, continuare ad evolversi e ad essere migliorato.

Infatti, Magnitude EK è uno dei più longevi là fuori, da allora offerto nei forum sotterranei 2013. Secondo l'ultima analisi di Kaspersky dedicata al kit exploit, Magnitude ha spostato la sua attenzione per distribuire ransomware specificamente agli utenti dei paesi dell'Asia del Pacifico, tramite il metodo di malvertising.




Evolution of the Magnitude Exploit Kit

Secondo i ricercatori, il kit exploit è attivamente supportato ed è stato costantemente migliorato. Uno dei cambiamenti più notevoli visti in EK è l'impiego di una vulnerabilità più recente nota come, CVE-2019-1367 in Internet Explorer. Questa particolare vulnerabilità è stata originariamente scoperta come un giorno zero sfruttato in natura. Inoltre, Gli operatori di Magniture stanno ora utilizzando un aumento dell'exploit dei privilegi precedentemente sconosciuto per CVE-2018-8641 che sembra essere stato sviluppato da uno scrittore di exploit prolifico, Dice Kaspersky.

Quali vulnerabilità ha utilizzato Magnitude EK?
Come la maggior parte dei kit di exploit disponibili, in 2019 Magnitude EK utilizzato principalmente CVE-2018-8174. Tuttavia, i suoi operatori furono i primi ad adottare il molto più recente Vulnerabilità CVE-2019-1367, e lo usano come exploit primario da febbraio 11, 2020, Note di Kaspersky. Gli aggressori hanno riutilizzato l'exploit zero-day originale e l'hanno appena modificato con il proprio shellcode e offuscamento.

Che cos'è CVE-2019-1367?

CVE-2019-1367 è una vulnerabilità Use-After-Free dovuta a un garbage collector che non tiene traccia di un valore che non è stato radicato nel motore JavaScript legacy jscript.dll. Per impostazione predefinita, Internet Explorer 11 utilizza Jscript9.dll, ma è ancora possibile eseguire lo script utilizzando il motore legacy abilitando la modalità di compatibilità con Internet Explorer 7/8.

Il bug potrebbe consentire agli aggressori di eseguire attacchi a distanza con lo scopo di ottenere l'accesso su un sistema di. La vulnerabilità è un problema di corruzione della memoria motore di scripting, che è stato scoperto da Clément Lecigne di Threat Analysis Group Google.

Un attacco basato sul CVE-2019-1367 exploit potrebbe essere lanciato via e-mail (malspam) o ingannando l'utente a visitare un sito Web pericoloso. Va ricordato che il browser mirato è Internet Explorer, che continua ad essere utilizzato da un gran userbase.

Magnitude EK rilascia il proprio payload di ransomware
Un altro fatto curioso di Magnitude è che i suoi operatori stanno usando il proprio payload ransomware nei loro attacchi. Questo ransomware viene fornito con una chiave di crittografia temporanea e un elenco di nomi di dominio che gli aggressori cambiano frequentemente. I file delle vittime vengono crittografati utilizzando Microsoft CryptoAPI e Microsoft Enhanced RSA e AES Cryptographic Provider (PROV_RSA_AES).

Il vettore di inizializzazione (IV) viene generato in modo pseudo in modo casuale per ciascun file e un BLOB lungo 0x100 byte con IV crittografato viene aggiunto alla fine del file. Il ransomware non crittografa i file che si trovano in cartelle comuni come documenti e impostazioni, appdata, impostazioni locali, musica di esempio, Tor Browser, etc. prima di crittografia, le estensioni dei file vengono verificate rispetto a una tabella hash delle estensioni di file consentite che contiene 715 inserimenti.

Naturalmente, in ogni cartella viene inoltre rilasciata una nota di riscatto con file crittografati e alla fine viene creato un processo notepad.exe per visualizzare la nota di riscatto. Per nascondere l'origine del processo eseguito, questo ransomware implementa la tecnica "wmic process call create" o "pcalua.exe –a ... -c ...". Dopo la crittografia, il ransomware tenta anche di eliminare i backup dei file con l'aiuto del comando "wmic shadowcopy delete" eseguito con un bypass UAC, Kaspersky ha scoperto.

Milena Dimitrova

Milena Dimitrova

Uno scrittore ispirato e gestore di contenuti che è stato con SensorsTechForum fin dall'inizio. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...