ransomware Locky está de volta mais uma vez, desta vez sendo espalhado por um novo exploit kit, com base na do-sol já conhecido. O novo exploit kit é apelidado Bizarro Sundown e foi notado pela primeira vez em outubro de 5 e novamente em outubro 19, conforme relatado por pesquisadores da TrendMicro.
Pelo visto, o maior número de usuários infectados por esta campanha encontra-se atualmente em Taiwan e na Coréia. O EK é muito parecido com seu antecessor, mas com algumas melhorias, como recursos adicionais de anti-análise. Mais, o ataque observado em outubro 19 alterou seu URL formal para imitar anúncios legítimos da web. Pesquisadores dizem que ambas as versões foram usadas na campanha ShadowGate/WordsJS.
Mais sobre a campanha ShadowGate
Identificado pela primeira vez em 2015, a campanha ShadowGate teve como alvo os servidores de publicidade de código aberto da Revive e OpenX que foram instalados localmente. Uma vez comprometido, os servidores atuam como gateways para o kit de exploração para distribuição de malware. Embora a campanha tenha sido encerrada em setembro deste ano, descobrimos que ainda está vivo e bem, utilização 181 sites comprometidos para fornecer ransomware.
A TrendMicro observou o ShadowGate em setembro implantando o kit de exploração Neutrino para lançar uma variante do Locky (a extensão .zepto). Em outubro 5, a campanha mudou para Bizarro Sundown. Duas semanas depois, em outubro 19, uma versão modificada do Bizarro Sundown foi detectada.
Um olhar sobre os últimos ataques lançando o ransomware Locky
Há uma coisa particularmente interessante sobre esses ataques: o número de máquinas infectadas cai para zero nos fins de semana.
Os pesquisadores observaram a campanha ShadowGate “fechando seus redirecionamentos e removendo o script de redirecionamento malicioso do servidor comprometido durante os fins de semana e retomando suas atividades maliciosas nos dias de trabalho.”
As vítimas das campanhas são usuários em Taiwan e na Coreia do Sul, mas também na Alemanha, Itália, e China.
Quais vulnerabilidades são aproveitadas nos ataques?
As vulnerabilidades implantadas nos cenários de ataque bem-sucedidos são CVE-2016-0189, CVE-2015-5119, e CVE-2016-4117:
A primeira versão do Bizarro Sundown teve como alvo uma vulnerabilidade de corrupção de memória no Internet Explorer (CVE-2016-0189, fixado em maio 2016) e duas falhas de segurança no Flash: uma vulnerabilidade use-after-free (CVE-2015-5119) e um bug de leitura fora do limite (CVE-2016-4117). O primeiro deles foi corrigido há mais de um ano (Julho 2015), com o segundo corrigido no início deste ano (Maio 2016).
A segunda versão do Bizarro Sundown usou apenas os dois exploits do Flash.
Para evitar infecções por malware, certifique-se de que seu sistema está protegido em todos os momentos!
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: