在过去几个月里,在两个利用套件之间存在有趣的战斗。在6月份钓鱼者利用套件的消亡之后,Neutrino ek通过顶部恶意软件和恶意竞选默认为此。但从那时起,已经有几次摇晃着,以及名为的弱者钻机EK取代了Neutrino EK从受损网站的几个高批量攻击。
今天,我们发现了在流行的网站上发生了一个恶意的事件答案..(每天有200万次访问)通过同样的模式,钓鱼者ek和随后通过'的中微子ek使用的图案域阴影'练习和使用HTTPS从火箭燃料打开重定向器(rfihub.com)。促进其最近的扩张,钻机EK是这个广告系列的转向挖掘工具包。
一些浏览基于知识的网站的访问者接触到欺诈和恶意广告,并且可以在不必点击它的情况下感染。
域阴影:
- https://ads.reetradio.com./ www/delivery/afr.php?id=69151&target=_blank&单击= http://r.turn.com/(Redacted}- >推荐:http:// www。答案../ q / what_is_windows_7_loader
打开重定向器和钻机EK:
- https://p.rfihub.com./cm?forward=http://speerhaaien.eclouds.co.uk/?wxqbcrwekb3paoi =l3skfprfjxzfgmsub- (redacted}
钻机ek,新的中微子?
9月初我们注意到了变化在钻机如何下降恶意软件有效载荷。而不是使用iexplore.exe.流程,我们发现了实例在哪里wscript.exe.是丢弃二进制的父父进程。
这似乎可能是一个轻微的差异,但它已经长时间是Neutrino的商标,用作绕过某些代理的方法。下面是脚本Neutrino EK和钻机EK利用的比较,以下载编码恶意软件二进制文件。
过去几周,已观察到钻机EK丢弃克妥葡萄酒软件,有效载荷中微子首先服用回到7月。
更多的是相同的假广告商
威胁演员是其竞争对手中微子的特权钻机,因为可以从各种恶意软件活动中看到。与此同时,恶意空间中的域阴影仍然是通过社会工程欺骗广告机构的有效手段。虽然这种做法是众所周知的,但它也是一种强大的方法,可以通过在加密隧道中包装广告流量(和恶意代码)来绕过网关的传统防御。
由于恶意异常不需要任何用户交互来传染您的系统,因此您应该将计算机保留最新,并卸载不必要的程序。运行额外的保护层,例如利用缓解软件,确保停止零天漏洞的驱动器下载攻击也被停止。
更远读:
妥协指标:
- ADS.RETRADIO.com.
- 63.141.242.35
评论