Noll
RIGGEN exploit kit, som vid sin peak infekterad ett genomsnitt på 27 000 maskiner per dag, har ympats med ett nytt verktyg för att kapa webbläsning.
Det skadliga programmet i fråga, ett rootkit som heter CEIDPageLock, har delats ut genom exploit kit under de senaste veckorna.
Enligt forskare från Check Point, rootkit upptäcktes först i det vilda för flera månader sedan.
CEIDPageLock upptäcktes när man försökte manipulera med offrets webbläsare. Det skadliga programmet var ett försök att vända sin hemsida till 2345.com har ett berättigat Kinesiska katalog för väder, TV-tablåer och mycket mer.
Forskarna säger att CEIDPageLock är sofistikerad för en webbläsare kapare och nu en bolt-on för RIG har fått en “märkbar” förbättringar.
Bland de nya tillskotten är en funktion som tillåter användaren att surfa verksamhet övervakas, tillsammans med befogenhet att ändra ett antal hemsidor med falska hemsidor.
Se också: Facebook patchar av kritisk server fjärrkörning av kod
Malware mål Microsoft Windows-system. Pipetten extrakt ett 32-bitars kernel-mode driver som är sparat i Windows temporära katalog med namnet “houzi.sys.” Medan du är inloggad, certifikat har nu återkallats av utfärdaren.
När föraren kör, gömda bland förare under installationen dropper skickar sedan offret PC-mac-adress och användar-ID till en skadlig domän som kontrolleras av en command-and-control (C&C) server. Denna information används sedan när ett offer börjar bläddra i för att ladda ner önskad skadlig hemsida konfiguration.
TechRepublic: Exklusivt: Nya e-detektering av skadlig kod kan överträffa de 60 antivirus
Om offren är omdirigerad från legitima tjänster till bedrägliga, detta kan leda till hot aktörer från att få kontouppgifter, offer som är utfärdat skadliga nyttolaster, liksom insamling av uppgifter utan samtycke.
CNET: Att VPNFilter botnet FBI ville att vi skulle hjälpa till att döda? Det är fortfarande vid liv
“De sedan antingen använda informationen för sig att rikta sina annonskampanjer eller sälja den till andra företag som använder data för att fokusera sin marknadsföring innehåll,” säger.
Den senaste versionen av rootkit är också fylld med VMProtect, som Check Point säger gör en analys av skadlig kod svårare att uppnå. Dessutom, det skadliga programmet förhindrar webbläsare från att komma åt antivirus lösningar ” filer.
CEIDPageLock verkar fokusera på Kinesiska offer. Infektioner antal i tusental för länet, och även Check Point har spelat in 40 infektioner i Usa är spridningen av skadlig kod anses vara “små” utanför Kina.
“Vid första anblicken, att skriva ett rootkit som fungerar som en webbläsare kapare och använder sofistikerade skydd som VMProtect, kan tyckas vara overkill,” Check Point säger. “CEIDPageLock kan tyckas enbart besvärande och knappast farligt, förmågan att exekvera kod på en infekterad enhet medan rörelseresultatet från kärnan, tillsammans med uthållighet av skadlig kod, som gör det till ett potentiellt perfekt bakdörr.”
Enligt Trend Micro, exploit kit är fortfarande att göra inbrytningar i it-landskapet. RIGGEN är fortfarande den mest aktiva, följt av GrandSoft och Omfattning.
Tidigare och relaterade täckning
Fortnite Epic Games VD rails mot Google sårbarhet utlämnande Hur hackare lyckades stjäla $13,5 miljoner i Kosmos bank heist Iranska hackare mål 70 universitet över hela världen för att stjäla forskning
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0