Blog da Websense
Recentemente escrevemos um post sobre
uma campanha de malvertising afetando um popular site de notícias da Indonésia e levando visitantes ao Kit de Exploração Nuclear. E nos deparamos com mais um site comprometido que leva ao Kit de Exploração Nuclear, mas
dessa vez recebemos duas cargas de malware depois de um ataque através da vulnerabilidade mais recente do Adobe Flash Player. É importante observar que nenhuma interação do usuário foi necessária em qualquer momento – o simples fato de visitar o site comprometido
foi suficiente para executar o malware em nosso computador.
Os clientes da Raytheon | Websense® estão protegidos contra essa ameaça com análises em tempo real via ACE, o Websense
Advanced Classification Engine.
Site Comprometido
Depois de revisar alguns eventos de segurança que aconteceram, um site chamado thisblewmymind[.]com chamou a nossa atenção. O site é divulgado como "mídia viral para o cérebro", que pode até ser
verdade por que o site bombardeia seu computador com vírus. O Google identifica o site como provavelmente comprometido:
De acordo com a SimilarWeb, o site é bastante popular e recentemente recebeu praticamente 2 milhões de usuários por mês:
Infelizmente, para as pessoas navegando pelo site, foi injetado o JavaScript oculto que leva ao Kit de Exploração Nuclear e a instalação do malware.
Exploração do Flash Player
A cadeia de infecção que foi constatada culminou com a exploração do Adobe Flash Player versão 19.0.0.207 pelo Kit de Exploração Nuclear para instalar malware. Isso revela que a exploração deve
ser o mais novo ataque via Flash, aproveitando de CVE-2015-7645, que recentemente foi incluso nos kits de exploração Nuclear e Angler. Na realidade, o Kit de Exploração Nuclear aparentemente inclui dois diferentes ataques via Flash Player em um único arquivo
SWF pai (VirusTotal) e escolhendo qual usar de
maneira dinâmica, de acordo com a versão atual do Flash Player. Ao detectar a versão 18.0.0.203 ou menor, o Kit utiliza um ataque baseado em CVE-2015-5122.
Conseguimos desempacotar o novo ataque SWF e descobriu-se que estava no
VirusTotal desde 31 de outubro.
Código Malicioso
É incomum ver mais que um código malicioso usado por um kit de exploração, mas nesse caso o Gamarue e CryptoWall 3.0 foram instalados e executados através do ataque via Flash Player.
O Gamarue é um código malicioso modular baseado em plug-in que faz parte do botnet Andromeda. Seu principal objetivo é o roubo de informações de login. O CryptoWall 3.0 é um ransomware usado
pelo atacante para encriptar seus arquivos e depois exigir um pagamento em BitCoin para enviar a chave.
Indicadores de Ataque
Listamos abaixo alguns indicadores de um ataque realizado pela ameaça descrita acima:
hxxp://thisblewmymind[.]com –
Site comprometido
hxxp://cdn[.]goroda235[.]pw/ –
Redirecionamento malicioso
hxxp://zadnicaberezu[.]tk/ –
Kit de Exploração Nuclear
2ed1953d2b182a0319041e73f6489d4151475dff –
Nuclear EK SWF
36356533f44d6107d49662c78a56149e2f359fcc –
Nuclear EK SWF (desempacotado)
3d5682ac799cace0325ca5437445fd3c163ee4ff –
Gamarue
9d3cc04dc97d0791565cf69778ee864f8af5d7f7 –
CryptoWall 3.0
Resumo
Aparentemente, as pessoas atrás do Kit de Exploração Nuclear querem maximizar seus lucros instalando vários códigos maliciosos nos computadores comprometidos, aproveitando a nova fraqueza do Adobe
Flash Player e comprometendo sites populares para infectar o maior número possível de pessoas. Como sempre, é importante sempre atualizar seu software, especialmente seu navegador e plug-ins como o Adobe Flash Player.
###