La più recente vulnerabilità Flash 0-day già bersagliata dagli exploit pack

Nella composizione dei famigerati kit Angler, Neutrino e Magnitude sono stati inseriti, da parte dei malintenzionati, exploit destinati a colpire la più recente vulnerabilità zero-day individuata in Flash Player, peraltro da poco patchata; i nuovi exploit vengono già utilizzati per distribuire ransomware di vario genere, malware bancari ed un Trojan preposto al furto delle credenziali.

Il ricercatore francese conosciuto con il nickname di “Kafeine” ha riferito a Threatpost che un exploit appositamente confezionato per sfruttare la vulnerabilità CVE-2016-4117, entrato a far parte del “team” schierato dal kit Neutrino, è, di fatto, pienamente operativo; il medesimo exploit, invece, non è stato del tutto implementato in Magnitude. Kafeine ha ugualmente confermato che, al momento attuale, il pack Angler si avvale di un exploit analogo, utilizzato per recapitare il temibile Trojan bancario Dridex.

Secondo il ricercatore, gli exploit inseriti in Magnitude sono diretti a tutte le versioni di Flash Player (sino alla 21.0.0.213); i relativi payload nocivi, tuttavia, non sembrano entrare in azione, nonostante gli evidenti riferimenti al codice vulnerabile. Non è escluso che la loro implementazione sia stata eseguita in maniera non corretta. L’exploit di recente incorporato nel kit Neutrino, invece, risulta pienamente funzionante e, a giudicare dai risultati ottenuti su VirusTotal, per il momento viene rilevato con notevole difficoltà.

Commentando con Threatpost la specifica circostanza, Kafeine ha anche osservato che, nel corso dei vari passaggi effettuati con l’exploit kit aggiornato, egli è riuscito ad individuare payload nocivi di vario genere, riguardanti, tra l’altro, i ransomware CryptXXX, Cerber, DMA Locker ed il Trojan Gootkit. Quest’ultimo viene prevalentemente utilizzato per compiere il furto delle credenziali impiegate nelle operazioni di banking online; la caratteristica peculiare di Gootkit è rappresentata dal fatto che tale malware viene caricato in memoria, senza lasciare alcun tipo di file sulla macchina infetta. In precedenza, per distribuire il Trojan in questione, i malfattori ricorrevano all’utilizzo di Angler: all’inizio dell’anno corrente, i ricercatori di Cyphort hanno pubblicato un dettagliato resoconto relativo ad una di tali cyber-campagne, nel corso della quale erano stati impiegati banner pubblicitari malevoli in funzione di redirector, ed il malware Bedep in qualità di downloader.

La patch necessaria per correggere la vulnerabilità 0-day in Flash Player (legata alla confusione dei tipi di dati) è stata rilasciata il 12 maggio scorso, tramite un update di emergenza. Tale falla di sicurezza era stata individuata, qualche giorno prima, da un ricercatore di FireEye, il quale aveva rilevato l’esistenza di exploit “in-the-wild” ad essa destinati. Gli exploit in causa erano stati incorporati all’interno di documenti Microsoft Office, collocati sul sito predisposto dagli attacker, ed accessibili attraverso un dominio con DNS dinamico. Per cercare di infettare i potenziali computer-vittima, i malintenzionati ricorrevano sia all’utilizzo di URL di spam, sia all’impiego di mailing preposti a diffondere gli allegati maligni.

Secondo i dati raccolti da FireEye, nel corso di questa prima serie di attacchi sono stati utilizzati exploit destinati alle versioni 21.0.0.196 e superiori di Flash. Il processo di infezione, piuttosto complesso e laborioso, si svolge in varie fasi: attraverso l’azione compiuta dagli exploit viene in primo luogo lanciato uno shellcode, il quale genera il download e l’esecuzione di un secondo shellcode; quest’ultimo, a sua volta, produce il caricamento e l’esecuzione del malware vero e proprio.
Nel frattempo, l’utente visualizza, sul proprio schermo, un documento fasullo. Sul computer-vittima viene infine aperta una backdoor, la quale consente di ricevere nuovi comandi da parte degli attacker.

L’exploit pack Magnitude, in questi ultimi tempi, viene attivamente utilizzato per distribuire Cerber, il temibile ransomware in grado di richiedere “ad alta voce” il pagamento del riscatto. All’inizio dello scorso mese di aprile, i ricercatori di Proofpoint avevano scoperto che, per recapitare tale blocker, Magnitude aveva iniziato a sfruttare la vulnerabilità Flash CVE-2016-1019, un’ulteriore falla di sicurezza di tipo zero-day rilevata in questo prodotto; anche per essa, Adobe ha poi dovuto rilasciare una patch di emergenza. Lo stesso identico exploit, nell’ambito del kit Nuclear, veniva invece utilizzato per distribuire un altro software estorsore, il famigerato Locky.

Sottolineiamo, in conclusione, come il livello di attività manifestato da Cerber si sia notevolmente innalzato dopo che i cybercriminali intenti alla diffusione di tale ransomware hanno ottenuto l’accesso all’infrastruttura di Dridex, la quale consente di poter effettuare estesi mailing di spam.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *