SOS :: Security Operation Space
12 декабря, четверг, 00:00
|
Hot News:

Вымогатель Sodinokibi распространяют через эксплойт-пак RIG

12 ноября 2019 г., вторник, 16:50

Кампания, нацеленная на пользователей в Юго-Восточной Азии, ведется через рекламные баннеры и онлайн-игры.

Киберпреступники, стоящие за шифровальщиком Sodinokibi, используют эксплойт-пак RIG для доставки зловреда на целевые машины. Нападающие эксплуатируют баги в браузерах, чтобы скрытно установить полезную нагрузку и заблокировать файлы. ИБ-специалисты пока не нашли способа расшифровать данные, затронутые атакой вымогателя.

Sodinokibi атакует через баги в Internet Explorer

Первоначальное заражение происходит через рекламные баннеры в блогах и онлайн-играх. Объявление ведет жертву на криминальный ресурс, который скрытно пытается запустить на компьютере вредоносный скрипт из арсенала RIG.

Киберпреступники действуют через Flash-уязвимости в браузерах и в случае успешного взлома отправляют на устройство полезную нагрузку. Нападение не требует взаимодействия с пользователем — он может догадаться об атаке лишь по сообщениям с ошибками, которые выводит Internet Explorer.

На первом этапе на машину при помощи вредоносного JavaScript доставляется обфусцированный VBS-сценарий, исполняющий функции загрузчика и установщика для Sodinokibi. Вымогатель скрытно шифрует файлы, после чего устанавливает обои рабочего стола и создает текстовый документ с требованием выкупа. Зловред присваивает инфицированному устройству уникальный идентификатор и добавляет его в качестве расширения ко всем закодированным объектам.

О новом векторе атаки рассказал в Твиттере ИБ-специалист с псевдонимом mol69. По мнению эксперта, кампания нацелена на пользователей из Южной Кореи, Малайзии, Вьетнама и других стран Юго-Восточной Азии. Чуть позже аналитик сообщил, что нападения ведутся также через эксплойт-пак Fallout.

В сентябре этого года независимый исследователь под ником Security Aura выяснил, что для распространения Sodinokibi киберпреступники применяли оверлеи на страницах взломанных сайтов. По его словам, злоумышленники внедряли в код уязвимого WordPress-ресурса скрипт, который выводил поверх легитимной страницы фрейм с фальшивым интернет-форумом, где одно из сообщений содержало вредоносную ссылку. Для большей убедительности сообщения ветки подбирались с учетом тематики инфицированного сайта.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
17:15
14:35
14:29
13:15
12:46
11:15
09:15
08:15
06:15
05:12
18:15
17:26
16:15
14:26
14:15
11:15
09:15
08:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.503
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.