Os kits de exploração foram implantados em várias campanhas de ransomware nos últimos anos. Alguns kits de exploração têm uma vida útil curta, e outros, como Magnitude EK, continuar a evoluir e ser melhorado.
De fato, Magnitude EK é um dos mais antigos por aí, sendo oferecido em fóruns clandestinos desde 2013. De acordo com a mais recente análise da Kaspersky dedicada ao kit de exploração, A Magnitude mudou seu foco para distribuir ransomware especificamente para usuários de países da Ásia-Pacífico, através do método de malvertising.
Kit Evolução do Magnitude Exploit
De acordo com os pesquisadores, o kit de exploração é suportado ativamente e foi aprimorado constantemente. Uma das mudanças mais notáveis vistas no EK é o emprego de uma vulnerabilidade mais recente conhecida como, CVE-2019-1367 no Internet Explorer. Essa vulnerabilidade em particular foi originalmente descoberta como um dia zero explorado na natureza. além disso, Os operadores de Magniture agora estão usando uma exploração de elevação de privilégio anteriormente desconhecida para CVE-2018-8641, que parece ter sido desenvolvida por um escritor prolífico de exploração, Kaspersky diz.
Quais vulnerabilidades o Magnitude EK está usando?
Como a maioria dos kits de exploração disponíveis, no 2019 O Magnitude EK utilizou principalmente o CVE-2018-8174. Contudo, seus operadores foram os primeiros a adotar os mais novos Vulnerabilidade CVE-2019-1367, e eles a usam como principal exploração desde fevereiro 11, 2020, Notas da Kaspersky. Os atacantes reutilizaram a exploração original de dia zero e apenas a modificaram com seu próprio código de shell e ofuscação.
O que é o CVE-2019-1367?
CVE-2019-1367 é uma vulnerabilidade Use-After-Free devido a um coletor de lixo não rastrear um valor que não estava enraizado no mecanismo JavaScript herdado jscript.dll. Por padrão, Internet Explorer 11 usa Jscript9.dll, mas ainda é possível executar o script usando o mecanismo herdado, ativando o modo de compatibilidade com o Internet Explorer 7/8.
O bug poderia permitir que invasores para executar ataques remotos com o propósito de prover acesso através de um sistema. A vulnerabilidade é um problema de corrupção de memória do mecanismo de script, que foi descoberto por Clément Lecigne, do Threat Analysis Group do Google.
Um ataque baseado na exploração CVE-2019-1367 pode ser lançado por email (malspam) ou induzindo o usuário a visitar um site criado com códigos maliciosos. Deve-se mencionar que o navegador de destino é o Internet Explorer, que continua a ser usado por uma grande base de usuários.
Magnitude EK descartando sua própria carga útil de ransomware
Outro fato curioso sobre o Magnitude é que seus operadores estão usando sua própria carga útil de ransomware em seus ataques. Este ransomware vem com uma chave de criptografia temporária e uma lista de nomes de domínio que os atacantes alteram frequentemente. Os arquivos das vítimas são criptografados usando o Microsoft CryptoAPI, bem como o Microsoft Enhanced RSA e o AES Cryptographic Provider (PROV_RSA_AES).
O vetor de inicialização (IV) é gerado pseudo-aleatoriamente para cada arquivo e um blob de 0x100 bytes de comprimento com IV criptografado é anexado ao final do arquivo. O ransomware não criptografa os arquivos localizados em pastas comuns, como documentos e configurações, dados do aplicativo, configurações locais, música de amostra, navegador tor, etc. antes de criptografia, as extensões de arquivos são verificadas em uma tabela de hash de extensões de arquivos permitidas que contém 715 entradas.
Claro, uma nota de resgate também é descartada em cada pasta com arquivos criptografados e, no final, um processo notepad.exe é criado para exibir a nota de resgate. Para ocultar a origem do processo executado, esse ransomware implementa a técnica “wmic process call create” ou “pcalua.exe –a… -c…”. Após a criptografia, o ransomware também tenta excluir os backups dos arquivos com a ajuda do comando "wmic shadowcopy delete" executado com um desvio do UAC, Kaspersky descoberto.