C'è un nuovo exploit kit, chiamato Fallout, che viene attualmente usato per la distribuzione del ransomware GandCrab, di trojan downloader e di altri programmi potenzialmente indesiderati (PUP). La prima individuazione di questo exploit risale alla fine di Agosto 2018 e si deve al ricercatore di sicurezza nao_sec: lo ha rintracciato, pronto a sfruttare le vulnerabilità dei computer dei visitatori, su una serie di siti web compromessi. Le vulnerabilità che vengono sfruttate sono:
1. vulnerabilità CVE-2018-4878 di Adobe Flash Player;
2. vulnerabilità CVE-2018-8174 di Windows VBScript
Quando nao_sec ha scoperto l'exploit kit, questo scaricava e installava sul pc della vittima SmokeLoader, che altro non è che un malware che scarica altri malware. Nel caso specifico scaricava CoalaBot e altri malware non identificati.
"Il file exe eseguito tramite shellcode è "Nullsoft Installer self-extracting archive" spiega nao_sec. "Questo file eseguirà SmokeLoader e altri due file exe".
Fallout distribuisce GandCrab
La versione di Fallout attualmente in circolazione invece distribuisce il ransomware GandCrab per le macchine Windows, mentre reindirizza gli utenti macOS verso pagine web che promuovono falsi software antivirus o versioni contraffatte di Adobe Flash Player. Diverse le segnalazioni che ci sono arrivate anche da utenti italiani.
 |
| La promozione di falsi antivirus per utenti Mac |
L'exploit kit Fallout tenterà prima di sfruttare la falla di VBScript e, se lo scripting è disabilitato, tenterà l'exploit della vulnerabilità di Flash Player.
Se l'exploit ha successo, verrà scaricato e installato un trojan che verificherà la presenza e lo stato dei processi sotto elencati.
- vmwareuser.exe
- vmwareservice.exe
- vboxservice.exe
- vboxtray.exe
- Sandboxiedcomlaunch.exe
- procmon.exe
- regmon.exe
- filemon.exe
- wireshark.exe
- netmon.exe
- vmtoolsd.exe
Se questi processi vengono trovati in esecuzione il trojan entrerà in un loop infinito e non eseguirà alcuna ulteriore operazione dannosa.
Altrimenti installerà ed eseguirà una libreria DLL che a sua volta installerà il ransomware GandCrab. Quando GandCrab infetta il computer, cripterà i file presenti modificandone l'estensione in .KRAB e rilascerà la nota di riscatto, rinominata KRAB-DECRYPT.txt.
 |
| File criptati |
Questo ransomware non ha attualmente soluzione. Per difendersi dall'exploit kit Fallout è importante che tutti gli utenti si assicurino di aver installato gli ultimi update di sicurezza di Windows e di non eseguire programmi obsoleti e non aggiornati, tra i quali Flash Player.
Nessun commento:
Posta un commento