Nieuwe exploits voor Microsoft-software, waaronder het Windows-besturingssysteem, zijn toegevoegd aan de Purple Fox en Magnitude Exploit Kits. Dit zijn enkele van de serieuze tools die computercriminelen gebruiken om gebruik te maken van grootschalige netwerkaanvallen. De nieuw gevonden problemen zijn geïdentificeerd in belangrijke componenten zoals de Internet Explorer-webbrowser en de bijbehorende bibliotheken.
CVE-2020-0674 en andere gevaarlijke exploits die worden gebruikt in nieuwe Purple Fox- en Magnitude-exploitatiesets
De Magnitude Exploit Kit is bijgewerkt met nieuwe functionaliteit die Microsoft Explorer-gebruikers kan infecteren. De laatste actieve campagne werd gedetecteerd in Azië, specifiek gericht op Hong Kong, Zuid-Korea en Taiwan met de nieuwere update van de software. Deze kwetsbaarheid wordt bijgehouden in de CVE-2019-1367 adviserend. Dit was een zero-day kwetsbaarheid gedetecteerd in Internet Explorer. Het is sindsdien aangepakt en het bedrijf heeft een patch uitgebracht.
De belangrijkste methode voor het verspreiden van viruscode die van invloed kan zijn op de webbrowsers, is de lancering van malvertisingaanvallen. Dit omvat het gebruik van de Purple Fox Exploit Kit die is geconfigureerd om Microsoft Windows te exploiteren 10 met de CVE-2020-0674-bedreiging. Het maakt gebruik van een beveiligingsprobleem dat is aangetroffen in de jscript.dll bibliotheek, een van de belangrijkste componenten die door het besturingssysteem wordt gebruikt. Het misbruik zal leiden tot een lek waardoor informatie kan worden gekaapt. Er zal een geheugenmanipulatie volgen die zal leiden tot het laden van malware.
Een van de belangrijke aspecten van de Purple Fox-exploitkit is het feit dat de hackers erachter hun eigen exploitkit hebben gemaakt in plaats van een kant-en-klare oplossing. Dit is in vergelijking met hackgroepen die traditioneel vertrouwden op malvertising met behulp van de RIG-exploitkit.
Eerdere campagnes waren afhankelijk van de exploitkits om ransomware te leveren. Er werden taalcontroles uitgevoerd en de doelen werden gekozen op basis van de resultaten van de analyse. In nieuwere versies is de taalidentificatie verwijderd omdat de beoogde gebruikers werden gekozen op basis van hun voorgestelde geografische locatie.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: