É um segredo para ninguém (no mundo infosec) que a explorar o mercado kit foi adaptada para atender às necessidades atuais dos distribuidores de malware.
Apenas algumas semanas atrás, houve um notável incidente de malvertising no popular site answers.com, que tem cerca de 2 milhões de visitas diárias. O cenário era muito semelhante ao Angler e ao Neutrino, mas era na verdade a RIG fazendo o trabalho. Ele usou a técnica de sombreamento de domínio e o redirecionador aberto HTTPS do Rocket Fuel.
O pesquisador por trás do Malware Don't Need Coffee (MDNC) observou uma transição em meados de agosto de muitas operações maliciosas para o kit de exploração RIG. As campanhas estavam distribuindo mais Trojans bancários com foco geográfico e menos ransomware CryptXXX. Durante suas investigações, MDNC também encontrou um (possivelmente) novo kit de exploração.
MDNC era “tentando entender aquele movimento”, o tempo todo suspeitando da presença de um TDS interno (Sistema de distribuição de tráfego) dentro do RIG Exploit Kit, uma suspeita que mais tarde foi confirmada.
Acredita-se que esta característica específica tenha aparecido inicialmente no mercado EK com Blackhole, e desapareceu com a Nuclear e o Angler.
Do que se trata o recurso TDS?
O recurso TDS permite que o operador do kit de exploração para anexar várias cargas úteis a um único segmento. Na verdade, é um recurso fundamental para um vendedor de carga útil. além disso, a carga útil é adaptada às configurações GEO e OS do alvo. Contudo, existe a condição de que “você tem que criar um thread do Exploit Kit por carga útil, usar um TDS externo (como Keitaro / Sutra / BlackHat TDS / SimpleTDS / BossTDS, etc ...) e daquele TDS, direcionar o tráfego para o tópico correto do Exploit Kit (ou, se você comprar tráfego, diga ao seu provedor de tráfego para onde enviar tráfego para cada país-alvo)”.
afinal, muitas operações de eliminação de malware mudaram para RIG. No final de setembro, 2016, os anúncios e banners do Neutrino desapareceram de fóruns clandestinos.
Existe um novo kit de exploração sendo moldado neste exato momento?
Tendo em mente todas as mudanças no mercado EK, talvez não seja uma coincidência que um novo kit de exploração seja atualmente discutido nos fóruns clandestinos - Empire Pack. Essas discussões são privadas e o EK não é público (ainda?).
A interface, conforme observado pelo MDNC, é muito familiar e sugere RIG. O pesquisador especula que o lançamento do Empire Pack pode estar relacionado à primeira onda de ataques com RIG. Talvez o Empire Pack seja uma instância RIG gerenciada por um revendedor / vendedor de carga útil?
Para divulgação técnico completo, pule para o original pesquisa.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: