ΑρχικήsecurityCapesand: Νέο exploit kit που εκμεταλλεύεται ευπάθειες σε Adobe Flash και Internet...

Capesand: Νέο exploit kit που εκμεταλλεύεται ευπάθειες σε Adobe Flash και Internet Explorer

CapesandΤον Οκτώβριο, οι ερευνητές της TrendMicro ανακάλυψαν ένα νέο exploit kit, το οποίο ονόμασαν Capesand. Το exploit kit χρησιμοποιείται ήδη σε επιθέσεις, παρά το ότι βρίσκεται ακόμα σε στάδιο ανάπτυξης.

Οι ερευνητές ανακάλυψαν το εργαλείο εξετάζοντας μια malvertising εκστρατεία, που χρησιμοποιούσε το RIG EK για να μολύνει τα συστήματα των θυμάτων με τα DarkRAT και njRAT.

Η ανάλυση έδειξε ότι ο κώδικας του Capesand exploit kit είναι αρκετά απλός.

Το Capesand εκμεταλλεύεται πρόσφατες ευπάθειες στο Adobe Flash και τον Internet Explorer (IE) καθώς και μια ευπάθεια του IE, από το 2015. Οι ερευνητές παρατήρησαν ότι το kit βρίσκεται ακόμα σε στάδιο ανάπτυξης.

“Στα μέσα Οκτωβρίου, ανακαλύψαμε μια malvertising εκστρατεία που χρησιμοποιούσε το Rig exploit kit και μοίραζε τα κακόβουλα λογισμικά DarkRAT και njRAT. Προς το τέλος του Οκτωβρίου, ωστόσο, παρατηρήσαμε μια αλλαγή στην εκστρατεία και η ανακατεύθυνση δεν οδηγούσε πλέον στο Rig exploit kit”, ανέφερε η Trend Micro. “Οι εγκληματίες άρχισαν να χρησιμοποιούν ένα άλλο kit με το οποίο δεν ήμασταν εξοικειωμένοι».

Η malvertising εκστρατεία εμφανιζόταν σαν ένα blog που μιλούσε για το blockchain.

Οι ερευνητές ανέλυσαν τον source code της σελίδας και ανακάλυψαν ότι οι hackers είχαν αντιγράψει το περιεχόμενό της μέσω του εργαλείου αντιγραφής websites, HTTrack, και είχαν τοποθετήσει ένα κρυφό iframe που φορτώνει το exploit kit.

“Στην περίπτωση που εντοπίσαμε, διαπιστώσαμε ότι μοιάζει με ένα πολύ παλιό exploit kit που ονομάζεται Demon Hunter, κάτι που μας έκανε να πιστέψουμε ότι το Capesand πιθανώς προέρχεται από αυτό”, συνεχίζει η ανάλυση.

Ποιες ευπάθειες εκμεταλλεύεται το Capesand EK;

  • CVE-2018-4878 (Adobe Flash)
  • CVE-2018-8174 (Internet Explorer)
  • CVE-2019-0752 (Internet Explorer)

Ένα άλλο ενδιαφέρον χαρακτηριστικό, που παρατήρησαν οι ερευνητές, είναι ότι τα exploits δεν περιλαμβάνονται στο frontend EK source code package. Το Capesand παραδίδει έναν συγκεκριμένο exploit code κάνοντας αίτημα σε έναν API server.

Οι ερευνητές ανακάλυψαν, επίσης, μια έκδοση του Capesand, που χρησιμοποιεί exploits για τις παρακάτω ευπάθειες:

  • CVE-2018-4878 (Adobe Flash)
  • CVE-2018-15982 (Adobe Flash)
  • CVE-2015-2419 (Internet Explorer)
  • CVE-2018-8174 (Internet Explorer)

Πέρα από τα παραπάνω, οι εγκληματίες διανέμουν κακόβουλες σελίδες μέσω «mirrored versions» νόμιμων sites και χρησιμοποιούν domain names, που μοιάζουν πολύ με τα πρωτότυπα. Με αυτόν τον τρόπο αποφεύγουν την ανίχνευση.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS