Zero
RIG exploit kit, che ha il suo picco infetti una media di 27.000 macchine al giorno, è stato innestato con un nuovo strumento progettato per dirottare le sessioni di navigazione.
Il malware in questione, un rootkit chiamato CEIDPageLock, è stato distribuito attraverso il kit di exploit nelle ultime settimane.
Secondo i ricercatori di Check Point, il rootkit è stato scoperto in natura diversi mesi fa.
CEIDPageLock è stato rilevato quando si è tentato di manomettere una vittima del browser. Il malware è stato il tentativo di trasformare la loro homepage in 2345.com legittima Cinese directory per le previsioni meteo, TV, e di più.
I ricercatori dicono che CEIDPageLock è sofisticato per un dirottatore del browser e ora un bolt-on per l’IMPIANTO di perforazione ha ricevuto “evidente” miglioramenti.
Tra le nuove aggiunte è la funzionalità che permette la navigazione dell’utente attività di monitoraggio a fianco il potere di cambiare un certo numero di siti web con falsi home page.
Vedi anche: Facebook patch critiche server remoto legata all’esecuzione di codice
Il malware obiettivi di sistemi Microsoft Windows. Il dropper estratti a 32-bit driver in modalità kernel che viene salvato nella cartella temporanea di Windows con il nome di “houzi.sys.” Mentre firmato, il certificato è stato ora revocato da parte dell’emittente.
Quando il driver esegue, nascosto tra standard driver durante l’installazione, il contagocce, quindi, invia la vittima mac address del PC e ID utente di un dominio malevolo controllato da un comando-e-controllo (C&C) server. Queste informazioni vengono poi utilizzate quando una vittima inizia la navigazione per scaricare il desiderato dannoso homepage di configurazione.
TechRepublic: Esclusiva: Nuova e-mail di rilevamento di malware, in grado di superare la top 60 motori antivirus
Se le vittime vengono reindirizzati da servizi legittimi a quelli fraudolenti, questo può portare a minaccia attori di ottenere le credenziali di un account, vittime di essere rilasciato payload dannosi, nonché la raccolta dei dati senza consenso.
CNET: Che VPNFilter botnet l’FBI ha voluto che ci aiutano a uccidere? E ‘ ancora vivo
“Essi quindi utilizzare le informazioni per indirizzare le loro campagne pubblicitarie o vendere ad altre aziende che utilizzano i dati per il fuoco i loro contenuti di marketing,” il team dice.
L’ultima versione del rootkit è anche dotato di VMProtect, Check Point dice che fa un’analisi del malware più difficile da raggiungere. Inoltre, il malware impedisce ai browser di accedere a soluzioni antivirus i file.
CEIDPageLock sembra concentrarsi sulla Cinese vittime. I tassi di infezione numero in migliaia per la contea, e mentre il Check Point ha registrato 40 infezioni negli Stati Uniti, la diffusione del malware è considerato “trascurabile” al di fuori della Cina.
“A un primo sguardo, la scrittura di un rootkit che funziona come un browser hijacker e impiego di sofisticate protezioni quali VMProtect, potrebbe sembrare eccessivo,” Check Point, dice. “CEIDPageLock potrebbe sembrare semplicemente fastidioso e poco pericoloso, la possibilità di eseguire codice su un dispositivo infetto durante il funzionamento del kernel, accoppiato con la persistenza del malware, rende potenzialmente perfetto backdoor.”
Secondo Trend Micro, kit di exploit sono ancora facendo strada in sicurezza informatica paesaggio. IMPIANTO rimane il più attivo, seguito da GrandSoft e Grandezza.
Precedente e relativa copertura
Fortnite Epic Games CEO inveisce contro Google divulgazione delle vulnerabilità Come gli hacker sono riusciti a rubare $13,5 milioni di euro nel Cosmo rapina in banca Iraniana gli hacker prendono di mira 70 università in tutto il mondo per rubare ricerca
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0