Novos relatórios de segurança desembarcaram indicando que o ransomware GandCrab infame está sendo distribuído por um kit novo exploit conhecido como Fallout. O Fallout EK está empurrando o ransomware ao lado downloader Trojans e programas potencialmente indesejados. O EK foi descoberto pelo pesquisador de segurança nao_sec no final de agosto 2018.
Operações maliciosas do Fallout Exploit Kit
Parece que o Fallout EK está instalado em sites comprometidos e está tentando explorar vulnerabilidades presentes no sistema da vítima em potencial. Tão longe, o EK está aproveitando duas façanhas conhecidas – um para Adobe Flash Player (CVE-2018-4878) e um para o motor Windows VBScript (CVE-2018-8174).
CVE-2018-4878 Detalhes Técnicos
De acordo com o MITRE consultivo, a vulnerabilidade é “uma vulnerabilidade use-after-free” que foi descoberto no Adobe Flash Player antes da versão 28.0.0.161. A vulnerabilidade ocorre devido a um ponteiro pendente no SDK do Primetime relacionado ao manuseio do media player de objetos de ouvinte. Um ataque bem sucedido pode levar à execução de código arbitrário. CVE-2018-4878 foi explorado na natureza em janeiro e fevereiro 2018.
CVE-2018-8174 Detalhes Técnicos
o vulnerabilidade é do tipo de execução remota de código, existente na maneira como o mecanismo VBScript manipula objetos na memória, tal como “Vulnerabilidade de execução remota de código do Windows VBScript Engine.” A falha afeta o Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2012, janelas 8.1, Windows Server 2016, Windows Server 2008 R2, janelas 10, janelas 10 servidores.
Após sua descoberta, o EK foi pego baixando e instalando o chamado SmokeLoader, uma instância de malware conhecida por baixar mais malware no host comprometido. Naquele momento em particular o CoalaBot estava sendo baixado junto com outros malwares não revelados.
Segundo o pesquisador, o arquivo exe executado pelo shellcode é “Arquivo de extração automática do Nullsoft Installer””, que executará o SmokeLoader e baixará dois arquivos exe adicionais.
Os pesquisadores da FireEye conseguiram determinar anteriormente que o mesmo kit de exploração foi implantado por cibercriminosos para instalar o ransomware GandCrab nos sistemas Windows e macOS. O EK também é conhecido por redirecionar as vítimas para páginas que promovem falsos programas antivírus e falsos reprodutores de Adobe Flash.
Deve-se notar que os pesquisadores dizem que, se o Fallout EK não explorar a vulnerabilidade CVE-2018-8174 VBScript, e se o script estiver desabilitado no host de destino, será então tente explorar a vulnerabilidade do Adobe Flash Player, CVE-2018-4878.
Após uma exploração bem-sucedida, o sistema operacional Windows em particular baixaria e instalaria um Trojan que verificará os seguintes processos:
vmwareuser.exe
vmwareservice.exe
vboxservice.exe
vboxtray.exe
Sandboxiedcomlaunch.exe
procmon.exe
regmon.exe
filemon.exe
wirehark.exe
netmon.exe
vmtoolsd.exe
Caso esses processos sejam encontrados, o Trojan entraria em um loop infinito sem realizar outras atividades maliciosas, os pesquisadores notaram.
Se esses processos não forem encontrados, o Trojan baixará e executará uma DLL que instala o GandCrab ransomware, que prosseguirá em sua maneira típica de infecção.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: