googletag.cmd.push(function() { googletag.display('div-gpt-ad-1592598795326-0'); });

Exploit via Flash Player e payload duplo em Kit Nuclear

Paulo Brito
27/11/2015
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

 

 

Blog da Websense

raytheon-websense-rgb-logo-transparent-bgRecentemente escrevemos um post sobre

uma campanha de malvertising afetando um popular site de notícias da Indonésia
e levando visitantes ao Kit de Exploração Nuclear.  E nos deparamos com mais um site comprometido que leva ao Kit de Exploração Nuclear, mas
dessa vez recebemos duas cargas de malware depois de um ataque através da vulnerabilidade mais recente do Adobe Flash Player.  É importante observar que nenhuma interação do usuário foi necessária em qualquer momento – o simples fato de visitar o site comprometido
foi suficiente para executar o malware em nosso computador.

 

Os clientes da Raytheon | Websense® estão protegidos contra essa ameaça com análises em tempo real via ACE, o Websense

Advanced Classification Engine
.

 

Site Comprometido

Depois de revisar alguns eventos de segurança que aconteceram, um site chamado thisblewmymind[.]com chamou a nossa atenção. O site é divulgado como "mídia viral para o cérebro", que pode até ser
verdade por que o site bombardeia seu computador com vírus.  O Google identifica o site como provavelmente comprometido:

http://community.websense.com/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/securitylabs/4336.blewmymind_5F00_google2.jpg

De acordo com a SimilarWeb, o site é bastante popular e recentemente recebeu praticamente 2 milhões de usuários por mês:

http://community.websense.com/cfs-filesystemfile.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/securitylabs/6787.blewmymind_5F00_similarweb.png

 

Infelizmente, para as pessoas navegando pelo site, foi injetado o JavaScript oculto que leva ao Kit de Exploração Nuclear e a instalação do malware.

 

Exploração do Flash Player

A cadeia de infecção que foi constatada culminou com a exploração do Adobe Flash Player versão 19.0.0.207 pelo Kit de Exploração Nuclear para instalar malware. Isso revela que a exploração deve
ser o mais novo ataque via Flash, aproveitando de CVE-2015-7645, que recentemente foi incluso nos kits de exploração Nuclear e Angler.  Na realidade, o Kit de Exploração Nuclear aparentemente inclui dois diferentes ataques via Flash Player em um único arquivo
SWF pai (VirusTotal) e escolhendo qual usar de
maneira dinâmica, de acordo com a versão atual do Flash Player.  Ao detectar a versão 18.0.0.203 ou menor, o Kit utiliza um ataque baseado em CVE-2015-5122.

http://community.websense.com/resized-image.ashx/__size/550x0/__key/CommunityServer.Blogs.Components.WeblogFiles/securitylabs/1638.blewmymind_5F00_nuclear_5F00_swfexp.png

 

Conseguimos desempacotar o novo ataque SWF e descobriu-se que estava no

VirusTotal
desde 31 de outubro.

 

Código Malicioso

É incomum ver mais que um código malicioso usado por um kit de exploração, mas nesse caso o Gamarue e CryptoWall 3.0 foram instalados e executados através do ataque via Flash Player.

http://community.websense.com/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/securitylabs/1715.blewmymind_5F00_capture.png

O Gamarue é um código malicioso modular baseado em plug-in que faz parte do botnet Andromeda.  Seu principal objetivo é o roubo de informações de login.  O CryptoWall 3.0 é um ransomware usado
pelo atacante para encriptar seus arquivos e depois exigir um pagamento em BitCoin para enviar a chave.

http://community.websense.com/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/securitylabs/5148.cryptowall3.0_5F00_ransom.png

Indicadores de Ataque

Listamos abaixo alguns indicadores de um ataque realizado pela ameaça descrita acima:

 

hxxp://thisblewmymind[.]com –
Site comprometido

hxxp://cdn[.]goroda235[.]pw/ –
Redirecionamento malicioso

hxxp://zadnicaberezu[.]tk/ –
Kit de Exploração Nuclear

2ed1953d2b182a0319041e73f6489d4151475dff –
Nuclear EK SWF

36356533f44d6107d49662c78a56149e2f359fcc –
Nuclear EK SWF (desempacotado)

 

3d5682ac799cace0325ca5437445fd3c163ee4ff –
Gamarue

 

9d3cc04dc97d0791565cf69778ee864f8af5d7f7 –
CryptoWall 3.0

 

Resumo

Aparentemente, as pessoas atrás do Kit de Exploração Nuclear querem maximizar seus lucros instalando vários códigos maliciosos nos computadores comprometidos, aproveitando a nova fraqueza do Adobe
Flash Player e comprometendo sites populares para infectar o maior número possível de pessoas. Como sempre, é importante sempre atualizar seu software, especialmente seu navegador e plug-ins como o Adobe Flash Player.

 

 

###

 

 

 

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest