Gli utenti che hanno visitato le notizie di musica sito spin.com due settimane fa e non ha avuto le ultime patch siano diventati vittime di un drive-by download attacco consegnati attraverso un RIG exploit kit. Nel momento in cui il kit di exploit scopre una vulnerabilità di Flash Player, Java o Silverlight plug-in, sfrutta la falla per scaricare il malware sulla macchina compromessa. I ricercatori di Symantec hanno individuato due diversi tipi di malware finora - Animale e Zeus Trojan.
Sfruttando le vulnerabilità senza patch
Dyre è stato utilizzato in diversi attacchi dannosi finora. Nella maggior parte delle campagne, il Trojan viene consegnato via e-mail truffa. Capacità di Dyre per rubare le credenziali bancarie e le comunicazioni del browser di blocco con i siti web di istituzioni finanziarie rende piuttosto attraente per i criminali informatici.
Secondo quanto riferito, la campagna dannoso è stato rilevato ottobre 27. I ricercatori non hanno idea di quanto tempo il codice cattivo è stato in giro o il numero di vittime avrebbe potuto prendere. Secondo il rapporto di Symantec, la maggioranza degli utenti mirati erano situati negli Stati Uniti. Il kit di exploit ha sfruttato alcuni difetti, tra i quali ci sono alcuni che impedirebbe il rilevamento malware su alcuni sistemi.
Il malware in grado di sfruttare due vulnerabilità di sicurezza in Internet Explorer e alcuni difetti di anziani (2013 e 2012), versioni senza patch di Flash Player, Java e Silverlight. Fondamentalmente, le vittime di una tale campagna sono gli utenti che non aggiornano il loro software su base regolare.
Dannoso Iframe non si trova nel codice del sito web
Il sito web di hosting RIG exploit kit è stato massicciamente offuscato. Prima che in realtà inizia a difetti di leva nel browser plug-in, Scansioni RIG per i programmi antivirus. Nel caso in cui non ci sono prodotti per la sicurezza, la campagna dannoso continua. Il carico utile è espresso tramite Dyre o una variante del Trojan Zeus. In entrambi i casi, i truffatori utilizzano cifra XOW di bypassare il rilevamento.
RIG exploit kit è stato utilizzato in una recente campagna in cui i computer sono stati infettati connettono a siti web Drupal compromessi con il SQL difetto iniezione. I ricercatori hanno osservato lo stesso schema di rilevare i prodotti per la sicurezza prima che il carico utile viene scaricato nei casi.
Il codice cattivo è stato rimosso da spin.com di recente, e il sito ora è sicuro per l'uso.
