虽然在过去几周内,整体利用套件活动有点低,但我们已经注意到中微子的一些变化,这是鞍钢时代的主要ek,以及通过恶性攻击感染受害者的尖峰。

中微子的开发人员对登陆页面的源代码做了一些改变,并集成了一个新的漏洞。曾经是垂钓者的恶意软件活动继续指向中微子,包括我们几天前检测到的针对顶级成人网站的大型恶意广告攻击。

在这篇文章中,我们审查了最近发生的值得注意的事件。

Neutrino ek Core

登陆页面变动

大约在7月5日,中微子登陆页面通过添加一些HTML标签和随机字符串改变了模式,这很可能使识别变得更加困难。着陆页面是用户浏览器和开发工具包之间的第一个接触点。它通常会检查系统的漏洞,然后在最终丢弃恶意软件有效负载之前发动各种攻击。

7月5日之前:一种脚本具有随机值的标记在呼叫前往恶意SWF。

之前

7月5日:脚本标签仍然在那里,但我们注意到添加了一些div标签与文本字符串,然后是恶意SWF的呼叫。

在

7月5日之后,呈现: 这脚本Tag现在已经消失了,而且数量众多div添加标签,也会使用定期更改的文本字符串。

后

添加了新的IE漏洞

虽然中微子缺乏使《垂钓者》出名的复杂性和新发现的快速整合,它是第一个采用Internet Explorer漏洞的(CVE-2016-0189)修补了微软在5月发布的。

这本来是一个零日利用在韩国发生的有针对性的袭击,但融入漏洞套件的整合遵循一个概念验证六月底出版。

再一次,这个新的漏洞被捆绑到一个单独的恶意Flash文件中,这是Neutrino喜欢使用的一个标志性动作闪存为多用途武器

MBAE.

分销活动

  • 黑客网站

由于网站所有者往往不会清理他们的网站或斗争清理它们,仍然是最可靠的网站之一,最可靠的分发向量。从那些被攻击的服务器,有各种广告系列或门,可以对利用套件进行最终重定向(Eitest.afraid暗灵实况馆学).这是典型的垂钓者的领域,但是去了中微子前者消失了。

  • 恶意

在恶意活动方面,我们在7月9日持续了几天的大型竞选活动。这影响了几个顶级成人网站,通常每天吸引数百万游客,使他们成为一个很好的恶意软件送货大道。

参考:drtuber.com/video/1107472/subtitled- {NSFW}
- >中微子埃克Onopphfwll.rcouldpink.top/call/ehvrc252.

保持领先于比赛

最有效的是,利用工具包需要不断地武装可用的最新漏洞,但也具有一些反检测技巧,使其成为隐身的感染递送平台。很明显,中微子已被采用作为转到ek,并通过不同的演员在大型广告系列中使用,其中赎金软件(锁定)是分布的最常见的有效载荷。

必威平台APPMalwarebytes反利用检测和阻止中微子目前正在利用几个Flash Player和Internet Explorer漏洞。