I cambiamenti nel mercato exploit kit indicano che attualmente RIG è il servizio EK più schierato. Apparentemente, RIG sta prendendo il posto di Neutrino. Dal momento che la morte del pescatore, i due exploit kit sono stati in lotta per il positon piombo sul mercato del malware. Tuttavia, RIG è attualmente sul evidente superiore per il numero e l'intensità delle campagne malvertising.
Secondo diversi fornitori di sicurezza, come Malwarebytes, Cisco Talos, e Heimdal Sicurezza, attacchi che coinvolgono l'EK RIG sono aumentati.
Malwarebytes i ricercatori hanno osservato un incidente malvertising sul popolare sito web answers.com che ha circa 2 milione di visite al giorno. Lo scenario è molto simile sia Angler e Neutrino ma era in realtà RIG fare il lavoro. Ha usato la tecnica shadowing dominio e l'aperta redirector HTTPS da Rocket Fuel.
È RIG Sostituzione Neutrino?
Ai primi di settembre abbiamo [Malwarebytes] notato un cambiamento nel modo in cui RIG scende il suo carico di malware. Invece di utilizzare theiexplore.exe processo, abbiamo individuato casi in cui wscript.exe è stato il processo padre del binario caduto. Questo può sembrare una differenza minore, ma è stata marchio Neutrino per lungo tempo e usato come un modo per bypassare alcune proxy.
Un'altra indicazione che RIG ha assunto il mercato exploit kit è il carico utile di diverse operazioni - il ransomware CrypMIC precedentemente calato del Neutrino.
Che cosa è di dominio shadowing?
Poco detto, dominio shadowing è il processo di infiltrazione più account di dominio dichiarante per generare sottodomini per scopi dannosi. Non è qualcosa di nuovo all'orizzonte dannoso. Poiché la tattica è molto efficace, operatori di malware stanno impiegando per bypassare i meccanismi di difesa tradizionali a livello di gateway per il traffico cloaking inserzione in un canale criptato.
Dal momento che malvertising non richiede alcuna interazione da parte dell'utente per infettare il sistema, si dovrebbe tenere il computer completamente aggiornato e disinstallare i programmi non necessari. L'esecuzione di un ulteriore livello di protezione, come ad esempio sfruttare il software di mitigazione, assicura che gli attacchi drive-by scaricare sfruttando vulnerabilità zero-day sono anche fermato.
Un recente rapporto Digital Ombre indica che il mercato exploit kit non è più così affollato, e che gli operatori di malware non hanno molta scelta. Ciò spiegherebbe anche l'alto tasso di attacchi costruito su RIG.
L'exploit kit attiva ancora oggi sono RIG, neutrino, grandezza, Tramonto, e Hunter.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: