Alterações no mercado do kit de exploração indicam que atualmente o RIG é o serviço EK mais implantado. Pelo visto, RIG está tomando o lugar de Neutrino. Desde a morte de Angler, os dois kits de exploração têm lutado pela posição de liderança no mercado de malware. Contudo, A RIG está atualmente no topo, evidente pelo número e intensidade das campanhas de malvertising.
De acordo com vários fornecedores de segurança, como Malwarebytes, Cisco Talos, e Heimdal Security, ataques envolvendo o RIG EK aumentaram.
Os pesquisadores do Malwarebytes observaram um incidente de malvertising no popular site answers.com que tem cerca de 2 milhões de visitas diárias. O cenário era muito semelhante ao Angler e ao Neutrino, mas era na verdade a RIG fazendo o trabalho. Ele usou a técnica de sombreamento de domínio e o redirecionador aberto HTTPS do Rocket Fuel.
A RIG está substituindo o neutrino?
No início de setembro nós [Malwarebytes] notou uma mudança na forma como a RIG diminui sua carga de malware. Em vez de usar o processo theiexplore.exe, identificamos instâncias em que wscript.exe era o processo pai do binário eliminado. Isso pode parecer uma pequena diferença, mas tem sido a marca registrada da Neutrino por muito tempo e usada como uma forma de contornar certos proxies.
Outra indicação de que a RIG assumiu o controle do mercado de kits de exploração é a carga útil de várias operações - o ransomware CrypMIC anteriormente descartado pela Neutrino.
O que é Domain Shadowing?
disse brevemente, domain shadowing é o processo de infiltração de várias contas de registrantes de domínio para gerar subdomínios para fins maliciosos. Não é algo novo no horizonte malicioso. Porque a tática é bastante eficaz, operadores de malware estão empregando-o para contornar os mecanismos tradicionais de defesa no gateway, ocultando o tráfego de anúncios em um canal criptografado.
Uma vez que o malvertising não requer nenhuma interação do usuário para infectar seu sistema, você deve manter seu computador totalmente atualizado e desinstalar programas desnecessários. Executando uma camada adicional de proteção, como software de mitigação de exploit, garante que os ataques de download drive-by que aproveitam as vulnerabilidades de dia zero também sejam interrompidos.
Um relatório recente da Digital Shadows indica que o mercado de kits de exploração não está mais tão lotado, e que os operadores de malware não têm muita escolha. Isso também explicaria a alta taxa de ataques construídos em RIG.
Os kits de exploração ainda ativos hoje são RIG, neutrino, Magnitude, Pôr do sol, e caçador.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: