Nul
RIGGEN exploit kit, som på sit højdepunkt inficeret et gennemsnit 27.000 maskiner om dagen, er blevet podet med et nyt værktøj, der er designet til at kapre browsing sessioner.
Malware pågældende, en rod, der hedder CEIDPageLock, er blevet distribueret gennem exploit kit i de seneste uger.
Ifølge forskere fra Check Point, rootkit blev først opdaget i naturen for flere måneder siden.
CEIDPageLock blev opdaget, når det forsøgt at manipulere med en ofrets browser. Den malware, var at forsøge at vende deres hjemmeside i 2345.com har en legitim Kinesiske bibliotek for vejrudsigter, TV-programoversigter, og mere.
Forskerne siger, at CEIDPageLock er avanceret til en browser hijacker, og nu en bolt-on for at RIGGEN har modtaget “mærkbar” forbedringer.
Blandt de nye tilføjelser er en funktion, der tillader brugeren at browse aktiviteter, der skal overvåges, sammen med magt til at ændre en række hjemmesider med falske hjemmesider.
Se også: Facebook patches kritiske server fjernkørsel af programkode sårbarhed
Den malware mål Microsoft Windows-systemer. De dropper ekstrakter en 32-bit kernel-mode driver, der er gemt i Windows midlertidig mappe med det navn “houzi.sys.” Mens underskrevet certifikat er nu blevet tilbagekaldt af udstederen.
Når føreren udfører, skjult blandt standard-driverne under installationen, dropper derefter sender offer PC ‘ er, mac-adressen og bruger-ID til en ondsindet domænet styres af en kommando-og-kontrol (C&C) server. Disse oplysninger er derefter brugt, når et offer begynder browsing for at downloade den ønskede ondsindet hjemmeside konfiguration.
TechRepublic: Eksklusiv: Ny e-mail-malware afsløring kan udkonkurrere de øverste 60 antivirus motorer
Hvis ofre er omdirigeret fra lovlige tjenester til svigagtig dem, dette kan føre til, at truslen aktører at opnå konto legitimationsoplysninger, ofre, som er udstedt ondsindede nyttelast, samt indsamling af data uden samtykke.
CNET: At VPNFilter botnet FBI ville have os til at hjælpe med at dræbe? Det er stadig i live
“De derefter enten bruge oplysningerne til at målrette deres kampagner eller sælge den til andre firmaer, der bruger data til at målrette deres markedsføring af indhold,” siger team.
Den nyeste version af rootkit er også fyldt med VMProtect, som Check Point, siger gør en analyse af malware, mere vanskeligt at opnå. Desuden, malware forhindrer browsere adgang antivirus-løsninger”.
CEIDPageLock synes at fokusere på Kinesiske ofre. Infektion priser nummer i tusindvis for amtet, og mens Check Point har indspillet 40 infektioner i Usa, spredning af malware er anset for “ubetydelig” uden for Kina.
“Ved første øjekast, at skrive et rootkit, der fungerer som en browser hijacker, og anvender sofistikeret beskyttelse såsom VMProtect, der kan virke som overkill,” Check Point siger. “CEIDPageLock kan synes blot generende, og næppe farlige, evnen til at eksekvere kode på en inficeret enhed, mens der opererer fra den kerne, kombineret med den fortsatte eksistens af den malware, der gør det til en potentielt perfekt bagdør.”
Ifølge Trend Micro, exploit kits er stadig at gøre indhug i cybersecurity landskab. RIGGEN er fortsat de mest aktive, efterfulgt af GrandSoft og Omfang.
Tidligere og relaterede dækning
Fortnite Epic Games CEO skinner mod Google offentliggørelse af sårbarheder, Hvordan hackere har formået at stjæle $13,5 mio i Kosmos bank heist Iranske hackere mål 70 universiteter i hele verden til at stjæle forskning
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0