我们已经确定了一个新的驱动下载活动来传播公主ransomware(AKA PrincessLocker),利用折衷的网站和RIG开发工具包。对于那些追踪恶意广告活动及其有效载荷的人来说,这是一个变化。

我们有分析了她指出,尽管与Cerber的洋葱页面相似,但实际代码却大不相同。一个新的付款页面似乎出现在地下论坛,现在被用于野外攻击。

从被黑的网站到RIG EK

我们现在还不太习惯看到有漏洞的网站在推广漏洞工具包。事实上,一些宣传活动已经被技术支持诈骗所取代,而总体上,大多数驾车活动都来自合法出版商和恶意广告。

然而,我们在这里观察到一个iframe注入,它从被黑客攻击的网站重定向到一个临时的门,与众所周知的“无缝门”截然不同,后者已经丢弃了大量的Ramnit木马。

对RIG exploit kit登陆页面的最终调用是通过一个标准302重定向到几个Internet Explorer (cve - 2013 - 2551cve - 2014 - 6332cve - 2015 - 2419cve - 2016 - 0189)或Flash Player (cve - 2015 - 8651)漏洞。

公主ransomware

一旦开发阶段成功,RIG就会下载并运行公主勒索软件。受感染的用户会注意到他们的文件被加密,并显示一个新的扩展名。赎金通知被发出_USE_TO_REPAIR_ a-zA-Z0-9 . html其中[a- za - z0 -9]是一个随机标识符。

付款页面可以通过提供的几个链接进入,包括“.onion”一个。攻击者要价0.0770比特币,在撰写本文时约合367美元。

倒下但仍在踢

利用套件的前景与一年前不同,但我们可能忽视了完全忽略驱动下载攻击。恶意广告仍在蓬勃发展,我们注意到现有威胁行动者和新来者的活动和变化有所增加。

如果有什么值得注意的,我们将更新这篇文章与公主储物柜的额外信息。

妥协的指标

钻机艾克门:

185.198.164.152

RIG EK IP地址:

188.225.84.28

PrincessLocker二进制文件:

c61f4c072bb1e3c6281a9799c1a3902f35dba652756fe96a97e60d0097a3f9b7

PrincessLocker支付页面:

royall6qpvndxlsj。洋葱