O Kit de exploração Fallout apareceu no final de agosto em campanhas de malvertising. Era descarregado o ransomware GandCrab e outros programas potencialmente maliciosos (PUPs).

No final de agosto, o analista de ameaças nao_sec descobriu um novo kit de exploração chamado Fallout  que estava a ser usado para distribuir o ransomware GandCrab e outros códigos maliciosos, incluindo droppers e programas potencialmente indesejados (PUPs).

Depois de implantado em um website comprometido, o kit de exploração aproveita as vulnerabilidades  CVE-2018-4878 do Adobe Flash Player e do CVE-2018-8174 Windows VBScript para injetar um malware nas máquinas dos visitantes.

At the end of August 2018, we observed a new Exploit Kit. Its behavior (code generation using html) and URL pattern are similar to Nuclear Pack Exploit Kit. Therefore we named it “Fallout Exploit Kit”. Fallout Exploit Kit is using CVE-2018-4878 and CVE-2018-8174. That code is distinctive and interesting.” reads a blog postpublished by nao_sec.

 

No momento da descoberta, o kit de exploração estava a descarregar e a instalar o dropper do  SmokeLoader que era usado para descarregar o CoalaBot e outro malware não identificado.

The exe file executed by shellcode is “Nullsoft Installer self-extracting archive”. This will run SmokeLoader and two exe files will be downloaded” continues the analysis.

 

O kit de exploração Fallout também foi observado pela FireEye  numa campanha de malvertising que afeta utilizadores no Japão, na Coréia, no Oriente Médio, no sul da Europa e em outros países da região Ásia-Pacífico.

A empresa de segurança observou o kit de exploração também a droppar e instalar o GandCrab Ransomware em máquinas Windows. Segundo consta, ele também foi usado para redirecionar os utilizadores do macOS para páginas que promovem falsos softwares antivírus ou falsos Adobe Flash Players.

https://i0.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2018/09/fallout-exploit-kit.png?w=750&ssl=1

O kit de exploração tentará primeiro explorar o VBScript, depois tentará explorar a falha do Flash Player.

Uma vez que o código malicioso é executado, ele irá droppar e executar um Trojan em sistemas Windows. Em seguida, o código mal-intencionado enumera todos os processos em execução, cria os checksum crc32 e as compara com uma lista de checksums na lista negra associadas a máquinas virtuais e ferramentas de análise, como:

vmwareuser.exe
vmwareservice.exe
vboxservice.exe
vboxtray.exe
Sandboxiedcomlaunch.exe
procmon.exe
regmon.exe
filemon.exe
wireshark.exe
netmon.exe
vmtoolsd.exe

 

Se nenhum dos processos acima estiver a ser executado na máquina infectada, o Trojan dropa  e executa uma DLL que instala o ransomware GandCrab.

Further details including the IoCs are included in both reports published by FireEye and nao_sec.

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *