我们已经确定了一个新的驱动下载活动来传播公主ransomware(AKA PrincessLocker),利用折衷的网站和RIG开发工具包。对于那些追踪恶意广告活动及其有效载荷的人来说,这是一个变化。
我们有分析了她指出,尽管与Cerber的洋葱页面相似,但实际代码却大不相同。一个新的付款页面似乎出现在地下论坛,现在被用于野外攻击。
从被黑的网站到RIG EK
我们现在还不太习惯看到有漏洞的网站在推广漏洞工具包。事实上,一些宣传活动已经被技术支持诈骗所取代,而总体上,大多数驾车活动都来自合法出版商和恶意广告。
然而,我们在这里观察到一个iframe注入,它从被黑客攻击的网站重定向到一个临时的门,与众所周知的“无缝门”截然不同,后者已经丢弃了大量的Ramnit木马。
对RIG exploit kit登陆页面的最终调用是通过一个标准302重定向到几个Internet Explorer (cve - 2013 - 2551,cve - 2014 - 6332,cve - 2015 - 2419,cve - 2016 - 0189)或Flash Player (cve - 2015 - 8651)漏洞。
公主ransomware
一旦开发阶段成功,RIG就会下载并运行公主勒索软件。受感染的用户会注意到他们的文件被加密,并显示一个新的扩展名。赎金通知被发出_USE_TO_REPAIR_ a-zA-Z0-9 . html其中[a- za - z0 -9]是一个随机标识符。
付款页面可以通过提供的几个链接进入,包括“.onion”一个。攻击者要价0.0770比特币,在撰写本文时约合367美元。
倒下但仍在踢
利用套件的前景与一年前不同,但我们可能忽视了完全忽略驱动下载攻击。恶意广告仍在蓬勃发展,我们注意到现有威胁行动者和新来者的活动和变化有所增加。
如果有什么值得注意的,我们将更新这篇文章与公主储物柜的额外信息。
妥协的指标
钻机艾克门:
185.198.164.152
RIG EK IP地址:
188.225.84.28
PrincessLocker二进制文件:
c61f4c072bb1e3c6281a9799c1a3902f35dba652756fe96a97e60d0097a3f9b7
PrincessLocker支付页面:
royall6qpvndxlsj。洋葱
评论