Piratas informaticos utilizan RIG en Windows para mineria
Un RIG Exploit Kit (EK) que propaga sofisticadas técnicas de inyección de código para extraer la criptomoneda Monero de una PC con Windows infectada.
Rig Exploit Kit es uno de los potentes kits de exploits que se usa activamente en la web oscura y ofrece varias cargas útiles para muchas familias de malware y ransomware como GandCrab ransomware y Panda Banker.
La técnica de inyección de código se utiliza para inyectar código malicioso en una aplicación. El código introducido o inyectado puede comprometer la integridad de la base de datos y / o comprometer el sitio web de privacidad, la seguridad e incluso la corrección de datos.
La cadena de ataque inicialmente comenzó desde el sitio web comprometido cuando los usuarios lo visitan, lo que los redirecciona a la página de aterrizaje de RIG EK.
Más tarde, RIG entregó el cargador malicioso NSIS (Nullsoft Scriptable Install System) para aprovechar la técnica de inyección de código e inyectar Shellcode en explorer.exe.
Posteriormente, el código shell infectado aprovechará la carga útil del siguiente nivel y la carga útil descargará el minero Monero y lo ejecutará.
RIG Exploit Kit Injection analisis
Inicialmente, el usuario visita la página comprometida que contiene un iframes que conduce a la página de destino del RIG y contiene 3 javascript loader, cada uno contiene una técnica diferente para entregar el paylaod.
- Javascript 1 contiene una función llamada "fa" que devuelve el VBscript que explota CVE-2016-0189 que le permite descargar la carga útil.
- Javascript 2 contiene un código de JavaScript adicional para descargar el otro exploit CVE-2015-2419 que utiliza una vulnerabilidad en JSON.stringify.
- El tercer Javascript es similar al segundo y agrega un objeto flash que explota CVE-2018-4878 .
Según FireEye Analysis, una vez que toda la explotación se complete con éxito, Shellcode invoca una línea de comando para crear un archivo JavaScript que luego descargará el siguiente nivel de Paylaod con el nombre de archivo llamado u32.tmp.
Además de la técnica de infección de código, los atacantes usan una varaidad de carga múltiple para evadir la detección usando técnicas de anti análisis y anti VM.
3 etapas de cargas útiles
La primera etapa de ejecución contiene la carga útil de SmokeLoader que contiene dos componentes: una DLL y un archivo de datos que RIG EK elimina, lo que ayuda a leer y descifrar el archivo de datos y a redirigir al segundo nivel de Payload.
Cuando lo comparamos con el primer nivel de carga útil, el segundo nivel está altamente objecado y lleva a cabo la propagación de la inyección de código e inyecta el shellcode y el PE en el proceso legítimo de Windows.
La tercera etapa de la carga útil comprobará y confirmará para asegurarse de que no se está ejecutando ninguna herramienta de análisis dentro de la computadora de las victimas y luego el malware se comunica con la URL maliciosa para descargar la carga final.
La carga final es el Monero Miner que se descarga del servidor y se instala en el sistema de Windows para extraer la criptomoneda Monero.