更新(06/13/2016):自6月6日太平洋标准时间以来,仍然没有垂钓者EK活动的迹象。与此同时,演员被称为ihateclowns / SadClowns通常与垂钓者联系在一起的网站在周末特别活跃,利用Neutrino EK在成人网站上进行恶意广告攻击。
更新(06/11/2016)安全研究人员Kafeine刚刚发表了一篇文章一个全面的文章关于与钓鱼者ek的这一重大发展。可能太早说,但这会像垮台一样大黑洞.
原帖:
在过去的几天里,我们通过Neutrino Exploit套件在驾驶下看看了一个上涨。事实上,对于感染的各种途径,这是正确的,并且还由其他人确认布拉德邓肯谁锯Neutrino通过Cryptxxx通过pseudo-Darkleech和eit运动。
举个例子最近的大型广告宣传活动我们写过的还在继续,但我们没有使用垂钓者EK来感染受害者,而是看到了中微子开发工具包。
以下是我们抓住的恶意事件雅虎.在以前的案例中,恶意广告客户使用一个隐藏域来承载广告横幅和恶意代码。值得指出的是,威胁行为者正在使用一些开源软件openx.广告服务代码来剖析他们的受害者。
披露时间表:
- 06/08/2016:邮件通知雅虎
- 06/08/2016:雅虎确认收到我们的邮件
- 06/09/2016:非法子域离线
- 06/10/2016:关于此事件的博客文章已发布
恶意流动:
- 出版商(雅虎台湾):tw.yahoo.com
- 雅虎广告: s.yimg.com/rq/darla/2-9-9/html/r-sf-flx.html
- 虚假广告:watch.pnwpga [。] com / www / delivery / spcjs.php?{redacted}
- 开放的重定向:p.rfihub.com/cm?forward=http://hiapi.t1arealize[]]top/blackness/ahvuy2hz.
- 中微子EK着陆:ufysefs.t1arealize[]几乎顶/ / 1605620 / unhappy-career-health
- 中微子Flash漏洞(CVE-2016-4117):hiapi.t1arealize [。] Top / 1977/11/19 /裤子/会员/符号 - 扭转海滩 - Victory-Wait-Jail.html.swf
中微子最近一直在投放勒索软件,主要是CryptXXX,但我们也看到它投放了Cerber。目前,垂钓者和中微子都可以使用Flash Player到21.0.0.213版本。这两者之间的转换是不是什么新鲜事但这种非常明显的活动变化仍然令人感兴趣。毕竟,没有了垂钓者,开发工具包的前景就不一样了。
评论