Gebruikers die twee weken geleden hebben bezocht de muziek nieuws website spin.com en had niet de laatste patches kunnen slachtoffers van een drive-by download aanval geleverd via een RIG geworden exploit kit. Op het moment dat de exploit kit ontdekt een kwetsbare Flash Player, Java of Silverlight plug-in, het maakt gebruik van de fout in om malware te downloaden op de besmette machine. Onderzoekers met Symantec hebben twee verschillende soorten malware gedetecteerd nu toe - Animal en Zeus Trojan.
Uitbuiten Unpatched beveiligingslekken
Dyre is gebruikt in verscheidene kwaadaardige aanvallen dusver. In de meeste campagnes, de Trojan wordt geleverd via e-mail berichten. Mogelijkheid Dyre om bankgegevens en blok browser communicatie stelen met websites van financiële instellingen maakt het nogal aantrekkelijk voor cybercriminelen.
Naar verluidt, de kwaadaardige campagne werd voor het eerst ontdekt op oktober 27. Onderzoekers hebben geen idee hoe lang de slechte code is rond of hoeveel slachtoffers het zou hebben genomen. Volgens het rapport van Symantec, de meerderheid van de beoogde gebruikers werd in de VS. De exploit kit heeft een paar gebreken leveraged, waaronder zijn er enkele die de detectie van malware op bepaalde systemen zou verhinderen.
De malware kan twee beveiligingsproblemen op Internet Explorer en een aantal gebreken bij oudere exploiteren (2013 en 2012), ongepatchte versies van Flash Player, Java en Silverlight. In principe, de slachtoffers van een dergelijke campagne zijn gebruikers die hun software regelmatig bijwerkt.
Schadelijke Iframe niet te vinden in de website van Code
De website hosting RIG exploit kit werd massaal obfuscated. Voordat het daadwerkelijk begint te leverage gebreken in browser plug-ins, RIG scans voor antivirusprogramma's. In het geval dat er geen security producten, de kwaadaardige campagne gaat door. De lading wordt via Dyre of een variant van Zeus Trojan. Hoe dan ook, de oplichters gebruiken XOW cypher om detectie te omzeilen.
RIG exploit kit werd gebruikt in een recente campagne waarin besmette computers verbinding wilde gecompromitteerd Drupal websites via de SQL-injectie lek. Onderzoekers hebben hetzelfde patroon van het detecteren van de beveiligingsproducten voordat de lading wordt gedownload in die gevallen waargenomen.
Het slechte code is verwijderd uit spin.com recent, en de website is nu veilig voor gebruik.
