Huis > Cyber ​​Nieuws > Fallout EK verspreidt GandCrab, Maakt gebruik van CVE-2018-4878, CVE-2018-8174
CYBER NEWS

Fallout EK Spreads GandCrab, Maakt gebruik van CVE-2018-4878, CVE-2018-8174

Microsoft Office CVE-2017-0199 Exploit

Nieuwe security rapporten zijn geland wat aangeeft dat de beruchte GandCrab ransomware wordt momenteel gedistribueerd door een nieuwe exploit kit bekend als Fallout. De Fallout EK duwt de ransomware naast downloader Trojans en potentieel ongewenste programma's. Het EK werd opgegraven door security-onderzoeker nao_sec aan het eind augustus 2018.




Fallout Exploit Kit Schadelijke Operations

Het lijkt erop dat de Fallout EK op besmette websites is geïnstalleerd en is een poging om kwetsbaarheden in het systeem van het potentieel slachtoffer te exploiteren. Zover, EK is hefboomwerking twee bekende exploits - een voor Adobe Flash Player (CVE-2018-4878) en één voor de Windows VBScript-engine (CVE-2018-8174).

CVE-2018-4878 Technische Details

Per MITRE's adviserend, de kwetsbaarheid “een use-after-free kwetsbaarheid” die ontdekt werd in Adobe Flash Player dan versie 28.0.0.161. Het lek wordt veroorzaakt door een dangling pointer in de Primetime SDK met betrekking tot media player afhandeling van listenerobjecten. Een succesvolle aanval kan leiden tot het uitvoeren van willekeurige code. CVE-2018-4878 werd uitgebuit in het wild in januari en februari 2018.

CVE-2018-8174 Technische Details

Het kwetsbaarheid is van externe code soort, bestaan ​​in de manier waarop de VBScript-engine objecten in het geheugen, zoals “Windows VBScript Engine uitvoeren van externe code.” De kwetsbaarheid heeft betrekking op Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10, Windows 10 Servers.

Bij haar ontdekking, EK werd gevangen downloaden en installeren van de zogenaamde caled SmokeLoader, een malware bijvoorbeeld bekend voor het downloaden van meer malware op de gecompromitteerde gastheer. Op dat moment CoalaBot werd samen met andere geheime malware stukken gedownload.

Volgens de onderzoeker, het exe-bestand wordt uitgevoerd door commandoregelcode is “Nullsoft Installer zelfuitpakkende archief””, die vervolgens zal lopen de SmokeLoader en zal twee extra exe-bestanden te downloaden.

FireEye onderzoekers waren voorheen in staat om vast te stellen dat precies dezelfde exploit kit is ingezet door cybercriminelen om de GandCrab ransomware op zowel Windows en MacOS-systemen te installeren. Het EK is ook bekend voor het omleiden van het slachtoffer om pagina's te bevorderen valse anti-virus programma's en valse Adobe Flash-spelers.

Opgemerkt dient te worden dat de onderzoekers zeggen dat als de Fallout EK niet in slaagt om de CVE-2018-8174 VBScript beveiligingslek, en als scripting uitgeschakeld op de gerichte gastheer, Het zal dan proberen om Adobe Flash Player beveiligingslek, CVE-2018-4878.

Na het succesvol exploiteren, het Windows-besturingssysteem in het bijzonder zou downloaden en installeren van een Trojan die vervolgens zal controleren op de volgende processen:

vmwareuser.exe
vmwareservice.exe
vboxservice.exe
vboxtray.exe
Sandboxiedcomlaunch.exe
procmon.exe
regmon.exe
filemon.exe
wireshark.exe
netmon.exe
vmtoolsd.exe

Indien deze werkwijzen worden gevonden, de Trojan zou een oneindige lus in te voeren zonder het uitvoeren van verdere kwaadaardige activiteiten, de onderzoekers opgemerkt.

Als deze processen niet zijn gevonden, de Trojaanse zal downloaden en uitvoeren van een DLL die het installeert GandCrab ransomware, die zal overgaan in zijn typische wijze infectie.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens