Los ciberdelincuentes ahora usan el nuevo Fallout Exploit Kit para lanzar GandCrab Ransomware a través de la Campaña Malvertising que apunta a muchas víctimas en todo el mundo.
Esta campaña de publicidad maliciosa afectó principalmente a los usuarios de Japón, Corea, Oriente Medio, el sur de Europa, la región de Asia Pacífico y otros países.
Junto con este kit de Exploit, hay dominios adicionales, regiones y cargas útiles asociadas a la campaña que ayudan a entregar con éxito el ransomware de GandCrab.
El atacante selecciona cuidadosamente a las víctimas para que entreguen el contenido malicioso a los usuarios objetivo, si el perfil coincide, los usuarios redirigen de una página de anunciante genuina y finalmente llegan a la página de aterrizaje de EK a través de múltiples 302 redirecciones.
Los atacantes siguen cambiando la página de inicio del kit Exploit (EK) para evadir la detección de IDS según el patrón y otros métodos.
Aparte de esto, malvertisement entrega el kit de explotación o intenta redirigir al usuario a otras campañas de ingeniería social basadas en los perfiles del navegador / sistema operativo y la ubicación del usuario.
Campañas de Ingeniería Social y Exploit Kit Landing Page
El AV Fake AV para los usuarios de Mac para descargar el nuevo archivo publicado como una actualización legítima diciendo "Tu Mac podría estar infectada con los últimos virus"
Una etapa inicial de la página de aterrizaje contiene un código de vulnerabilidad de VBScript ( CVE-2018-8174 ) y posteriormente se agregará el código incrustado para una ejecución más confiable de la carga útil.
Más adelante, la próxima etapa del código de VBScript se decodificará manteniendo el código de VBScript como texto codificado en Base64 en la etiqueta '' donde carga el código Jscript cuando se cargan las páginas.
El código VBScript decodificado explota la vulnerabilidad CVE-2018-8174 y ejecuta Shellcode y el shellcode descarga una carga XOR en% temp% location, la descifra y la ejecuta.
Su carga inicial y la ejecución final de la carga útil se realizarán mediante el uso de malware con código de cargador PE.
De acuerdo con los investigadores de FireEye, el malware solicita secuencias de secuencia para el ransomware de GandCrab y las carga manualmente en la memoria.
En los últimos años, las detenciones y las interrupciones de las operaciones subterráneas han llevado a explotar la actividad del kit en fuerte declive. Aún así, los kits de exploits representan una amenaza significativa para los usuarios que no están ejecutando sistemas completamente parcheados. FireEye dijo.
Fecha actualización el 2021-09-07. Fecha publicación el 2018-09-07. Categoría: ransomware Autor: Oscar olg Mapa del sitio Fuente: gbhackers