Хакеры теперь используют Rig Exploit Kit для использования уязвимости удаленного выполнения кода в Internet Explorer (IE) (
Ссылка скрыта от гостей
) с интеграцией вредоносного программного обеспечения и криптовалютной обработкой для запуска Monero путем компрометации Windows PC.Эта уязвимость воздействует на Windows 7 и более поздние версии, и этот мощный эксплойт работает через документы Microsoft Office и Internet Explorer (IE).
Rig Exploit Kit доставляет разнообразный пейлоады для многих семейств вредоносных программ и программ-вымогателей, таких как
Ссылка скрыта от гостей
и
Ссылка скрыта от гостей
. В этом случае хакеры, стоящие за Rig Exploit Kit, используют эксплойт для
Ссылка скрыта от гостей
.Rig Exploit Kit может использовать
Ссылка скрыта от гостей
при помощи уязвимого приложения, такого как Adobe Flash Player и IE.В основном, Rig компрометирует пользователей, введя вредоносный скрипт/код на скомпрометированные веб-сайты и перенаправляя посетителей на целевую страницу набора эксплойтов, где Rig доставляет опасные вредоносные программы.
В настоящее время Rig использует Internet Explorer (IE), основанный на уязвимости удаленного выполнения кода в (
Ссылка скрыта от гостей
), которая была исправлена в мае и, по сообщениям, активно используется.Исследователи уже выпустили модуль Metasploit для использования
Ссылка скрыта от гостей
после того, как код PoC был доступен онлайн.
RIG запускает код CVE-2018-8174 против IE 11 в Windows 7
Инфекционная цепочка кампании Rig Exploit Kit
Rig Exploit Kit в основном применяет этот эксплойт против уязвимого Windows VBScript Engine, который содержит уязвимость удаленного выполнения кода (CVE-2018-8174) с использованием Internet Explorer (IE) и документов Microsoft Office.
Эта уязвимость может привести к повреждению памяти таким образом, что злоумышленник может выполнить произвольный код в контексте текущего пользователя с помощью Rig Exploit Kit.
Первоначально Rig использует кампанию вредоносной рекламы, содержащую скрытый iframe, который перенаправляет жертв на целевую страницу Rig, содержащую эксплойт для CVE-2018-8174 и shellcode.
Согласно исследованию
Ссылка скрыта от гостей
, это позволяет производить удаленное выполнение shellcode, спрятанного на целевой странице. После успешной эксплуатации извлекается загрузчик второго уровня, который, по-видимому, является вариантом SmokeLoader из-за URL-адреса.
Наконец, он загружает исходный пейлоад, используемый для криптовалюты Mine Monero. Наборы эксплойтов (Exploit kits) могут подвергать жертвы разнообразным угрозам - от кражи информации и шифрования файлов до вредоносной добычи криптовалюты. Регулярное применение последних патчей - эффективная защита, - говорит Trend Micro.
Источник:
Ссылка скрыта от гостей
