lunedì 21 gennaio 2019

Il ritorno dell'exploit kit Fallout (col ransomware GandCrab)


Fallout EK è tutt'altro che una nuova conoscenza: ne abbiamo già parlato a Settembre dello scorso anno, quando numerosi ricercatori di sicurezza lo individuarono, in contesti diversi, a distribuire sia ransomware che trojan che altri tipi di programmi indesiderati. 

Dopo una settimana di pausa, tra il 27 Dicembre e il 4 Gennaio (periodo nel quale in Internet non c'era traccia di lui), Fallout è tornato in "in affari", con numerosi nuovi strumenti di supporto: il supporto HTTPS, un nuovo exploit Flash, la capacità di fornire il payload tramite Powershell ecc...

Prima di questa breve pausa, Fallout EK sfruttava due vulnerabilità:

- la CVE-2018-4878 di Adobe Flash Player (use-after-free);
- la CVE-2018-8174 di VBScript di Windows (esecuzione codice da remoto).

Le novità
Stando alle analisi di alcuni ricercatori di sicurezza, la nuova versione di Fallout EK è adesso capace di sfruttare la vulnerabilità CVE-2018-15982, scoperta e risolta da Adobe il 5 Dicembre 2018. Una volta sfruttata, la vulnerabilità CVE-2018-15982 consente all'attaccante di eseguire codice arbitrario sulla macchina bersaglio, se questa esegue Flash Player fino alla versione 31.0.0.153.

Fonte: bleepingcomputer.com.

N.B: Fallout EK è il secondo exploit che, in pochissimo tempo, ha aggiunto il supporto della vulnerabilità CVE-2018-15982. Il primo è stato l'EK Underminer.

La nuova versione di Fallout è in vendita nel dark web, dove si trovano alcuni annunci promozionali: i creatori di Fallout fanno sapere che "l'offuscamento del codice e il meccanismo di generazione della landing page sono stati completamente ridisegnati" e che l'exploit ha ora "perfomance incrementate". Negli stessi annunci si menziona anche la rimozione della vulnerabilità CVE-2018-8373 di Internet Explorer a causa della sua instabilità. 

Dalle analisi fino ad ora svolte, Fallout EK viene distribuito tramite campagne di malvertising sopratutto tramite Popcash, Trafficshop, RevenueHits e altre. Jerome Segura, ricercatore di sicurezza di Malwarebytes fa sapere che Fallout EK viene distribuito anche tramite HookAds (famosa infrastruttura per campagne di spam), che distribuisce svariati EK:

  • nei mesi precedenti RIG-v EK;
  • Fallout EK in Novembre;
  • Neutrino EK in Agosto.
  • Fallout EK in Gennaio 2019. 
L'uso di PowerShell
Come già detto precedentemente, una delle novità peculiari di questo exploit è che, al contrario delle precedenti versioni che scaricavano il payload via iexplorer.exe, adesso Fallout usa PowerShell. Un tentativo di evasione dai sistemi di individuazione, suppongono i ricercatori, dato che comunemente ci si aspetterebbe l'uso dei processi di Internet Explorer per la distribuzione dei payload. 

Il ransomware GandCrab
Fallout EK ha già rispolverato le vecchie conoscenze: dal 15 Gennaio 2019 ha ricominciato la distribuzione del ransomware GandCrab, esattamente come già successo fino al Settembre 2018. 

Gli altri Payload
Ovviamente Fallout EK non si limita a distribuire un solo tipo di malware. Attualmente diffonde anche Smokebot (che installa Azorult), Dridex e altri ceppi di malware non ancora individuati o meno conosciuti. In passato ha diffuso ben 3 diversi tipi di ransomware: SAVEfiles, Kraken Cryptor e GlobeImposter, il trojan bancario Danabot, l'infostealer Nocturnal ecc...

Kafeine, agenzia di ricerca sulla sicurezza informatica, ha fornito i possibili scenari di Fallout, in base ai malware distribuiti. 


Nessun commento:

Posta un commento