在过去几个月里,在两个利用套件之间存在有趣的战斗。在6月份钓鱼者利用套件的消亡之后,Neutrino ek通过顶部恶意软件和恶意竞选默认为此。但从那时起,已经有几次摇晃着,以及名为的弱者钻机EK取代了Neutrino EK从受损网站的几个高批量攻击。

今天,我们发现了在流行的网站上发生了一个恶意的事件答案..每天有200万次访问)通过同样的模式,钓鱼者ek和随后通过'的中微子ek使用的图案域阴影'练习和使用HTTPS从火箭燃料打开重定向器(rfihub.com)。促进其最近的扩张,钻机EK是这个广告系列的转向挖掘工具包。

一些浏览基于知识的网站的访问者接触到欺诈和恶意广告,并且可以在不必点击它的情况下感染。

流动_

域阴影

  • https://ads.reetradio.com./ www/delivery/afr.php?id=69151&target=_blank&单击= http://r.turn.com/(Redacted}- >推荐:http:// www。答案../ q / what_is_windows_7_loader

打开重定向器和钻机EK:

  • https://p.rfihub.com./cm?forward=http://speerhaaien.eclouds.co.uk/?wxqbcrwekb3paoi =l3skfprfjxzfgmsub- (redacted}

钻机ek,新的中微子?

9月初我们注意到了变化在钻机如何下降恶意软件有效载荷。而不是使用iexplore.exe.流程,我们发现了实例在哪里wscript.exe.是丢弃二进制的父父进程。

2 versions.

这似乎可能是一个轻微的差异,但它已经长时间是Neutrino的商标,用作绕过某些代理的方法。下面是脚本Neutrino EK和钻机EK利用的比较,以下载编码恶意软件二进制文件。

Neutrino_VS_RIG.

过去几周,已观察到钻机EK丢弃克妥葡萄酒软件,有效载荷中微子首先服用回到7月。

更多的是相同的假广告商

威胁演员是其竞争对手中微子的特权钻机,因为可以从各种恶意软件活动中看到。与此同时,恶意空间中的域阴影仍然是通过社会工程欺骗广告机构的有效手段。虽然这种做法是众所周知的,但它也是一种强大的方法,可以通过在加密隧道中包装广告流量(和恶意代码)来绕过网关的传统防御。

由于恶意异常不需要任何用户交互来传染您的系统,因此您应该将计算机保留最新,并卸载不必要的程序。运行额外的保护层,例如利用缓解软件,确保停止零天漏洞的驱动器下载攻击也被停止。

更远

妥协指标

  • ADS.RETRADIO.com.
  • 63.141.242.35