Nul
De RIG exploit-kit, die op haar hoogtepunt is geïnfecteerd met een gemiddelde van 27.000 machines per dag, is geënt met een nieuwe tool ontworpen om te kapen browsersessies.
De malware in kwestie, een rootkit genoemd CEIDPageLock, is verspreid via de exploit kit in de afgelopen weken.
Volgens onderzoekers van de Check Point, de rootkit werd ontdekt in het wild een paar maanden geleden.
CEIDPageLock werd gedetecteerd toen het probeerde om te knoeien met een slachtoffer browser. De malware was een poging om hun homepage in 2345.com een legitieme Chinese directory voor weersverwachtingen, de TV-gids en meer.
De onderzoekers zeggen dat CEIDPageLock is verfijnd voor een browser hijacker en nu een bolt-on voor TUIG heeft ontvangen “merkbaar” verbeteringen.
Onder de nieuwe toevoegingen is de functionaliteit die het mogelijk maakt de gebruiker browse-activiteiten te worden bewaakt, samen met de macht om te veranderen een aantal websites met nep-startpagina ‘ s.
Zie ook: Facebook patches voor kritieke server tot uitvoering van externe code kwetsbaarheid
De malware richt zich op Microsoft Windows systemen. De druppelaar haalt een 32-bits kernel-mode driver, die wordt opgeslagen in de tijdelijke map van Windows met de naam “houzi.sys.” Terwijl u bent aangemeld, wordt het certificaat is inmiddels ingetrokken door de uitgevende instelling.
Wanneer het stuurprogramma wordt uitgevoerd, verborgen onder standaard stuurprogramma ‘s tijdens de installatie van de druppelaar stuurt het slachtoffer PC’ s mac-adres en de gebruiker-ID om een kwaadaardige domein beheerd door een command-and-control (C&C) server. Deze informatie wordt vervolgens gebruikt als een slachtoffer begint te bladeren om het downloaden van het gewenste schadelijke homepage configuratie.
TechRepublic: Exclusief: de Nieuwe email detectie van malware kan beter dan de top 60 verschillende antivirusprogramma ‘ s gecontroleerd
Als slachtoffers worden doorverwezen vanaf legitieme diensten aan malafide, dit kan leiden tot een bedreiging actoren het verkrijgen van referenties, slachtoffers worden uitgegeven kwaadaardige lading, evenals het verzamelen van gegevens zonder toestemming.
CNET: Dat VPNFilter botnet de FBI wilde ons te doden? Het is nog steeds in leven
“Zij dan gebruik maken van de informatie zelf te kunnen richten op hun advertentie campagnes of verkopen aan andere bedrijven die gebruik maken van de gegevens op te richten hun marketing content” het team zegt.
De nieuwste versie van de rootkit ook vol met VMProtect, die zegt Check Point maakt een analyse van de malware moeilijker te bereiken. Daarnaast is de malware voorkomt browsers toegang tot antivirus oplossingen’ – bestanden.
CEIDPageLock lijkt te richten op de Chinese slachtoffers. Infectie tarieven in de duizenden voor de provincie, en tijdens Check Point heeft opgenomen 40 infecties in de Verenigde Staten, de verspreiding van de malware wordt beschouwd als “te verwaarlozen” buiten China.
“Op het eerste gezicht, het schrijven van een rootkit, die functioneert als een browser hijacker en met gebruikmaking van geavanceerde beveiligingen zoals VMProtect, lijkt misschien overdreven,” zegt Check Point. “CEIDPageLock lijkt misschien alleen maar hinderlijk en nauwelijks gevaarlijk, de mogelijkheid om code uit te voeren op een geïnfecteerde telefoon tijdens de werking van de kernel, in combinatie met de persistentie van de malware, maakt het een potentieel perfecte achterdeur.”
Volgens Trend Micro, exploit kits zijn nog steeds het maken van stappen in de cybersecurity landschap. TUIG blijft het meest actief, gevolgd door GrandSoft en Omvang.
Vorige en aanverwante dekking
Fortnite Epic Games CEO rails tegen Google vulnerability disclosure Hoe hackers slaagde erin om te stelen van $13,5 miljoen in Cosmos bank heist Iraanse hackers richten 70 universiteiten wereldwijd te stelen onderzoek
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0