Πριν από πέντε μήνες εντοπίστηκε για πρώτη φορά το Fallout exploit kit, το οποίο εξακολουθεί ακόμα και σήμερα να επιμολύνει τους χρήστες του διαδικτύου. Το Fallout βρίσκεται συχνά σε ιστοσελίδες που έχουν χακαριστεί, έχοντας εισέλθει σε αυτές εκμεταλλευόμενο γνωστά τρωτά σημεία και έχοντας εγκαταστήσει κακόβουλο λογισμικό στον host. Όσοι επισκέπτονται αυτές τις χακαρισμένες ιστοσελίδες, διατρέχουν κίνδυνο να μολυνθούν από ransomware ή infostealers και στην περίπτωση του Fallout exploit kit, οι ερευνητές της εταιρίας Cybereason προειδοποιούν ότι πρόκειται για το GandCrab ransomware και το AZORult infostealer.
Η μόλυνση επιτυγχάνεται με απλή περιήγηση σε μια χακαρισμένη ιστοσελίδα, χωρίς να απαιτείται περαιτέρω ενέργεια από το θύμα. Ο κακόβουλος κώδικας εκτελείται αυτόματα για τη λήψη του κακόβουλου λογισμικού στο μηχάνημα του επισκέπτη και στη συνέχεια το κακόβουλο πρόγραμμα εκτελείται στο παρασκήνιο. Μέσω του XSS ή του Flash Player, οι κακόβουλοι παράγοντες δημιουργούν πολλαπλές ανακατευθύνσεις που οδηγούν το θύμα στην επιθυμητή σελίδα προορισμού, η οποία στη συνέχεια ενεργοποιεί τον κώδικα επιμόλυνσης. Σύμφωνα με τους ερευνητές, οι περισσότερες από τις χακαρισμένες σελίδες βρίσκονται σε site πορνό λόγω της μεγάλης δημοτικότητας αυτών των ιστότοπων, καθώς και του γεγονότος ότι πολλοί από τους διαχειριστές τους δεν ενημερώνουν τα εργαλεία και τα πρόσθετα τρίτου μέρους που χρησιμοποιούν.
Μόλις ολοκληρωθεί η πρόσβαση στο μηχάνημα του θύματος, το Fallout εκτελεί ένα PowerShell script για να τρέξει εντολές με κωδικοποίηση base64 και να εκτελέσει το τελικό payload. Η χρήση του PowerShell βοηθά στην αποφυγή της ανίχνευσης AV ή πιο συγκεκριμένα της προστασίας Antimalware των Windows. Από τα δύο payloads, το GandGrab έχει αντιμετωπιστεί πρόσφατα από το BitDefender και ενώ οι χρήστες θα πρέπει να ακολουθήσουν την κουραστική διαδικασία αποκρυπτογράφησης των αρχείων τους, η απειλή του δεν είναι πλέον αποτελεσματική. Αντίθετα, το AZOR είναι πολύ πιο επικίνδυνο για όσους δεν είναι προετοιμασμένοι να το αντιμετωπίσουν.
Το AZORult μπορεί να κλέψει τα bitcoin wallet IDs, τοπικά αποθηκευμένα αρχεία, τα αποθηκευμένα ή κρυφά στοιχεία σύνδεσης και τα σχετικά δεδομένα, τα cookies ιστού από ένα σύνολο διαφορετικών προγραμμάτων περιήγησης και πολλά άλλα. Πρόκειται για ένα εξελιγμένο infostealer που είναι δημοφιλές στους απατεώνες του κυβερνοχώρου, χρησιμοποιείται σε καμπάνιες sextortion, εκστρατείες spamming μέσω ηλεκτρονικού ταχυδρομείου και ακόμη και ψεύτικα προϊόντα VPN. Για να αντιμετωπιστεί το πρόβλημα της επικίνδυνης περιήγησης, οι χρήστες πρέπει να χρησιμοποιούν ισχυρά εργαλεία κατά των κακόβουλων προγραμμάτων από αξιόπιστους προμηθευτές και οι διαχειριστές ιστού πρέπει να βεβαιώνονται ότι το λογισμικό τους είναι ενημερωμένο και ότι χρησιμοποιούν μόνο τα στοιχεία και το λογισμικό τρίτου μέρους που πραγματικά χρειάζονται.
