Τις τελευταίες μέρες, έχουν βγει στην επιφάνεια τέσσερις νέες κακόβουλες καμπάνιες, οι οποίες ανακατευθύνουν τους χρήστες σε exploit kits, με σκοπό να εγκαταστήσουν προγράμματα Trojan και ransomware στις συσκευές τους.
Οι κακόβουλες καμπάνιες ανακαλύφθηκαν από τον εμπειρογνώμονα nao_sec και διανέμονται μέσω malvertising, που ανακατευθύνει τους επισκέπτες σε σελίδες με exploit kits. Αυτές οι σελίδες προορισμού φιλοξενούνται συνήθως σε ιστότοπους που έχουν καταστραφεί.
Όταν ένας χρήστης επισκέπτεται έναν από αυτούς τους ιστότοπους, τα πειραγμένα exploit kits προσπαθούν να εκμεταλλευτούν τις ευπάθειες του προγράμματος περιήγησής του, ώστε να εγκαταστήσουν ένα κακόβουλο πρόγραμμα.
Το exploit kit GrandSoft εγκαθιστά το Ramnit trojan, όπως ανακάλυψε το περασμένο Σάββατο ο nao_sec.
Το Ramnit είναι ένα trojan κλοπής κωδικών πρόσβασης, που επιχειρεί να κλέψει τα αποθηκευμένα διαπιστευτήρια σύνδεσης, τα διαπιστευτήρια ηλεκτρονικού τραπεζικού λογαριασμού, τους λογαριασμούς FTP, το ιστορικό προγράμματος περιήγησης και πολλά άλλα από τα θύματά του.
Το exploit kit Rig εγκαθιστά το Amadey και ένα clipboard hijacker.
O nao_sec ανακάλυψε την Κυριακή μία ακόμα καμπάνια malware, που ανακατευθύνει τους χρήστες στο exploit kit Rig. Αυτό στοχεύει στο CVE-2018-15982 (Flash Player), στο CVE-2018-8174 (Microsoft Internet Explorer VBScript Engine) και σε άλλες ευπάθειες για να μολύνει τους χρήστες με κακόβουλο λογισμικό.
Όταν ο χρήστης nao_sec ανακάλυψε αυτήν την καμπάνια, εγκαθιστούσε clipboard hijackers, οι οποίοι παρακολουθούν το clipboard των Windows για διευθύνσεις και αντικαθιστούν οτιδήποτε βρίσκουν με διευθύνσεις που βρίσκονται υπό τον έλεγχό της. Αυτό χρησιμοποιείται στην κλοπή των χρημάτων που οι χρήστες πιστεύουν ότι στέλνουν σε νόμιμες διευθύνσεις όταν κάνουν αγορές.
Το exploit kit Fallout εγκαθιστά ένα clipboard hijacker
Νωρίτερα σήμερα, ο nao_sec ανακάλυψε το Fallout, που στοχεύει στα τρωτά σημεία CVE-2018-8174 (Microsoft Internet Explorer VBScript Engine) και CVE-2018-15982 (Flash Player).
Τέλος, ο nao_sec ανακάλυψε άλλη μία κακόβουλη καμπάνια στο Radio exploit kit, που εγκαθιστά το Nemty Ransomware. Το Nemty στοχεύει στην ευπάθεια CVE-2016-0189 σε JScript και VBScript για τον Internet Explorer, τα οποία η Microsoft επιδιόρθωσε το 2016.
Πώς θα προστατευτείτε;
Για να μπορέσει να λειτουργήσει ένα exploit kit, θα πρέπει να εντοπίσει τρωτά σημεία για να τα εκμεταλλευτεί.
Ως εκ τούτου, η καλύτερη άμυνα σας είναι να βεβαιώνεστε ότι έχετε πάντα εγκαταστήσει τις πιο πρόσφατες ενημερώσεις ασφαλείας, τόσο για το λειτουργικό σας σύστημα όσο και για οποιοδήποτε λογισμικό έχετε εγκαταστήσει.
Όταν εστιάζετε στις ενημερώσεις λογισμικού, είναι σημαντικό να ενημερώσετε τα προγράμματα που αλληλεπιδρούν με ένα πρόγραμμα περιήγησης για να προσθέσουν επιπλέον λειτουργίες, όπως το Adobe Flash, τα PDF Readers και άλλα παρόμοια προγράμματα.
