Os usuários que visitaram o site de notícias musicais spin.com há duas semanas e não tiveram os patches mais recentes podem ter sido vítimas de um ataque de download drive-by entregue por meio de um kit de exploração RIG. No momento em que o kit de exploração descobre um Flash Player vulnerável, Plug-in Java ou Silverlight, ele explora a falha para baixar malware na máquina comprometida. Os pesquisadores da Symantec detectaram dois tipos diferentes de malware até agora - caro e Zeus Trojan.
Explorando vulnerabilidades não corrigidas
O Dyre foi usado em vários ataques maliciosos até agora. Na maioria das campanhas, o cavalo de Tróia é entregue por meio de e-mails fraudulentos. A capacidade do Dyre de roubar credenciais bancárias e bloquear as comunicações do navegador com sites de instituições financeiras o torna bastante atraente para criminosos cibernéticos.
Alegadamente, a campanha maliciosa foi detectada pela primeira vez em outubro 27. Os pesquisadores não têm ideia de há quanto tempo o código ruim existe ou de quantas vítimas ele pode ter levado. De acordo com o relatório da Symantec, a maioria dos usuários-alvo estava localizada nos EUA. O kit de exploração aproveitou algumas falhas, entre os quais existem alguns que impediriam a detecção de malware em certos sistemas.
O malware pode explorar duas vulnerabilidades de segurança no Internet Explorer e algumas falhas em (2013 e 2012), versões não corrigidas do Flash Player, Java e Silverlight. Basicamente, as vítimas de tal campanha são usuários que não atualizam seu software regularmente.
Iframe malicioso não deve ser encontrado no código do site
O site que hospeda o kit de exploração RIG foi totalmente ofuscado. Antes de realmente começar a aproveitar as falhas nos plug-ins do navegador, RIG scans para programas antivírus. Caso não haja produtos de segurança, a campanha maliciosa continua. A carga útil é entregue via Dyre ou uma variação do Trojan ZeuS. De qualquer jeito, os criminosos usam a cifra XOW para ignorar a detecção.
O kit de exploração RIG foi usado em uma campanha recente em que computadores infectados estavam se conectando a sites Drupal comprometidos por meio do Falha de injeção de SQL. Os pesquisadores observaram o mesmo padrão de detecção dos produtos de segurança antes que a carga útil seja baixada nesses casos.
O código inválido foi removido do spin.com recentemente, e o site agora está seguro para uso.
