Хакеры запускают программу-вымогатель GandCrab с помощью нового пакета Fallout Exploit, используя кампанию Malvertising
@webware
Комплект эксплойта
На настоящий момент киберпреступники используют новый комплект Fallout Exploit для того, чтобы запустить программу-вымогатель GandCrab через кампанию Malvertising, которая нацелена на жертв во всем мире.
Данная кампания malvertising в основном воздействует на пользователей в таких странах, как Япония, Корея, страны Среднего Востока, Южной Европы, тихоокеанского региона и др.
Наряду с этим комплектом эксплойта существуют дополнительные домены, регионы и пэйлоады, связанные с кампанией, которая помогает успешно внедрить программу-вымогатель GandCrab.
Атакующий тщательно собирает жертвы для доставки вредоносного контента целевым пользователям; если профиль соответствует определенным требованиям, тогда пользователи перенаправляются с подлинной страницы рекламодателя и, наконец, достигают целевой страницы комплекта эксплойта (ЕK) через многочисленные 302 перенаправления.
Злоумышленники продолжают менять целевую страницу «Комплект эксплойта» (EK), чтобы избежать обнаружения IDS на основе шаблона и других методов.
В противном случае, malvertisement либо доставляет набор эксплойтов, либо пытается перенаправить пользователя в другие кампании социальной инженерии на основе профилей браузера/операционной системы и местоположения пользователя.
Кампании социальной инженерии и целевая страница комплекта эксплойта
Поддельный AV-запрос для пользователей Mac, чтобы загрузить новый файл, опубликован как законное обновление, говоря: «Ваш Mac может быть заражен последними версиями вирусов».
Начальный этап целевой страницы содержит код уязвимости VBScript (CVE-2018-8174), позже внедренный код будет добавлен для дальнейшего более надежного выполнения payload.
Позже следующий этап - VBScript код будет декодирован, сохраняя код VBScript как кодированный в Base64 текст в теге <span>, где он загружает код Jscript при загрузке страниц.
Декодированный код VBScript использует уязвимость CVE-2018-8174 и выполняет shellcode, а shell-код загружает payload XOR'd в% temp%, расшифровывает ее, а затем выполняет.
Его первоначальная загрузка и окончательное выполнение payload будут выполняться вредоносным программным обеспечением с использованием кода PE-загрузчика.
Согласно исследователям FireEye, последовательность запросов приводит к тому, что программа-вымогатель GandCrab извлекается и вручную загружается в память вредоносным программным обеспечением.
В последние годы аресты и проведение различных подпольных операциях привели к значительному сокращению активности комплектов эксплойта. Тем не менее, комплекты эксплойта представляют значительную угрозу для пользователей, которые не запускают полностью обновленные и пропатченные системы, как информирует FireEye.