 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
26 апреля, пятница, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Новый инструмент эксплуатирует прошлогодние баги в Internet Explorer и Flash Player для доставки инфостилера.
Исследователи из команды nao_sec сообщили о ранее неизвестном эксплойт-паке, получившем название BottleEK. Вредоносный инструмент, ориентированный на японских пользователей, предположительно устанавливает на компьютер жертвы программу для кражи данных. Злоумышленники начали его активно использовать в сентябре этого года, а свежие данные о новой эксплойт-кампании появились у экспертов в начале декабря.
Эксплойты BottleEK попадают на компьютер жертвы через рекламное объявление, которое ведет на страницу, загружающую два JavaScript-сценария. Первый предназначен только для получения кода установщика с командного сервера. Второй содержит многократно обфусцированную полезную нагрузку. Злоумышленники меняют порядок блоков, а также комбинируют методы Base64, URL Encode и RC4, чтобы обойти антивирусные фильтры.
Далее вредоносный скрипт выполняет ряд проверок, чтобы убедиться в правильности выбранной цели: определяет язык системы, ищет на устройстве браузер Internet Explorer, а также следы предыдущих установок эксплойт-пака.
Если жертва прошла все проверки, BottleEK загружает один из трех вариантов полезной нагрузки. Два сценария предназначены для эксплуатации CVE-2018-8174 в 32-разрядной или 64-разрядной версии Internet Explorer. Уязвимость в движке VBScript позволяет атакующему использовать порчу памяти для выполнения стороннего кода в контексте пользователя. Разработчики Microsoft закрыли баг еще в мае 2018 года, однако злоумышленники по-прежнему активно его эксплуатируют.
Третий скрипт использует ошибку use-after-free в медиадвижке Flash Player. Критическая уязвимость CVE-2018-15982 получила заплатку в декабре прошлого года, но еще до этого пополнила арсеналы киберпреступников.
Зловред, загружаемый на машину в результате отработки эксплойта,. является оригинальной разработкой. По мнению ИБ-специалиста Виталия Кремеза (Vitali Kremez), он нацелен на похищение данных у японских пользователей.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
