darask
Опытный user
- Регистрация
- 15 Окт 2019
- Сообщения
- 109
- Реакции
- 0
Несмотря на потерю популярности у мошенников, готовые наборы эксплойтов всё ещё актуальны как интернет-угроза. Осенью специалисты наблюдали за активностью эксплойт-паков во всём мире и обнаружили появление 2 вирусов. Они также отметили тревожную тенденцию: инструменты атаки стали применяться для загрузки бестелесных вирусов, которых сложнее обнаружить.
Особенность данного тренда в том, что затрудняется обмен образцами и, возможно, повышается процент заражения за счёт обхода некоторых защитных механизмов. Сейчас на полезную нагрузку, не оставляющую следов на диске, перешли 3 из 9 действующих эксплойт-паков: Magnitude, Underminer и Purple Fox.
Чтобы привлечь жертв на сайты с эксплойтами преступники проводят malvertising-кампании, предпочитая размещать вредоносную рекламу на сайтах для взрослых. Из уязвимостей современные эксплойт-паки чаще всего эксплуатируют CVE-2018-8174 в Internet Explorer и CVE-2018-15982 в Adobe Flash Player. Более старый Flash-эксплойт CVE-2018-4878 тоже есть в некоторых пакетах, но некоторые из них совсем не содержат эксплойтов для Adobe Flash. Применение Flash-контента в Сети уменьшается, браузеры уже начали его блокировать, и злоумышленники тоже следуют этому течению.
От Flash-эксплойта уже отказались операторы RIG. Данный инструмент теперь работает только на уязвимости Internet Explorer.
Набор эксплойтов Spelevo с весны стал пользоваться большой популярностью у создателей malvertising-кампаний, которые применяют методику маскировки вредоносных страниц, называемую domain shadowing.
Эксплойт-пак Fallout примечателен тем, что применяет обфускацию и тщательно проверяет окружение, прежде чем загрузить целевой вирус. Он также применяет алгоритм Диффи — Хеллмана для защиты от офлайн-анализа.
Работа Magnitude почти не поменялась. Он применяет всё тот же способ с перенаправлениями на фальшивые криптообменники и раздаёт вирус-вымогатель Magniber, но загружает его бесфайловым способом.
Пакет эксплойтов GrandSoft умерил свою активность и использовался только для распространения вредоносного ПО Ramnit. Полезная нагрузка Underminer осталась прежней — это бестелесный зловред Hidden Bee, направленный на майнинг криптовалюты.
Purple Fox является новым фреймворком для скрытой загрузки вредоносного ПО бесфайловым способом. В данный момент он применяется для загрузки инфостилера Kpot. Второй новый загрузчик, Capesand, осенью использовался в malvertising-кампании, направленной на заражение njRAT. Новый эксплойт-пак создан на основе старого проекта с открытым исходным кодом Demon Hunter и сейчас применяет ходовые эксплойты для IE и Adobe Flash.
Особенность данного тренда в том, что затрудняется обмен образцами и, возможно, повышается процент заражения за счёт обхода некоторых защитных механизмов. Сейчас на полезную нагрузку, не оставляющую следов на диске, перешли 3 из 9 действующих эксплойт-паков: Magnitude, Underminer и Purple Fox.
Чтобы привлечь жертв на сайты с эксплойтами преступники проводят malvertising-кампании, предпочитая размещать вредоносную рекламу на сайтах для взрослых. Из уязвимостей современные эксплойт-паки чаще всего эксплуатируют CVE-2018-8174 в Internet Explorer и CVE-2018-15982 в Adobe Flash Player. Более старый Flash-эксплойт CVE-2018-4878 тоже есть в некоторых пакетах, но некоторые из них совсем не содержат эксплойтов для Adobe Flash. Применение Flash-контента в Сети уменьшается, браузеры уже начали его блокировать, и злоумышленники тоже следуют этому течению.
От Flash-эксплойта уже отказались операторы RIG. Данный инструмент теперь работает только на уязвимости Internet Explorer.
Набор эксплойтов Spelevo с весны стал пользоваться большой популярностью у создателей malvertising-кампаний, которые применяют методику маскировки вредоносных страниц, называемую domain shadowing.
Эксплойт-пак Fallout примечателен тем, что применяет обфускацию и тщательно проверяет окружение, прежде чем загрузить целевой вирус. Он также применяет алгоритм Диффи — Хеллмана для защиты от офлайн-анализа.
Работа Magnitude почти не поменялась. Он применяет всё тот же способ с перенаправлениями на фальшивые криптообменники и раздаёт вирус-вымогатель Magniber, но загружает его бесфайловым способом.
Пакет эксплойтов GrandSoft умерил свою активность и использовался только для распространения вредоносного ПО Ramnit. Полезная нагрузка Underminer осталась прежней — это бестелесный зловред Hidden Bee, направленный на майнинг криптовалюты.
Purple Fox является новым фреймворком для скрытой загрузки вредоносного ПО бесфайловым способом. В данный момент он применяется для загрузки инфостилера Kpot. Второй новый загрузчик, Capesand, осенью использовался в malvertising-кампании, направленной на заражение njRAT. Новый эксплойт-пак создан на основе старого проекта с открытым исходным кодом Demon Hunter и сейчас применяет ходовые эксплойты для IE и Adobe Flash.
