尽管ie浏览器的市场份额很小,但在2019年秋季,ie浏览器仍被一些免下车下载活动所利用。也许更令人惊讶的是,我们看到新的开发工具出现了。

基于我们的遥测,这些驱动器正在发生全球范围内(除了几个地理位置的少数几个),并且通过在成人网站上最常发现的恶意来推动。

即使武器化的漏洞仍然相当旧,我们也观察到越来越多的漏洞套装无用的攻击而不是更传统的磁盘上丢弃有效载荷的方法。这是一种有趣的趋势,使样品分享更加困难,并且通过逃避一些安全产品来提高感染率。

2019年秋季概述

  • Spelevo EK.
  • ek.
  • 埃克级
  • 钻机埃克
  • 孙子ek.
  • 暗中破坏者埃克
  • 开心网埃克
  • Purplefox EK.
  • Capesand埃克

vultnerabilties

Internet Explorercve - 2018 - 8174和Flash Player的CVE-2018-15982最常见的弱点是什么,而老的呢CVE-2018-4878(Flash)仍然被一些eks使用。值得注意的是,我们看到一些不再使用Flash的漏洞套件,而其他人则依赖于较大的漏洞。

Spelevo EK.

Spelevo EK是我们通过恶意运动定期看到的这些较新的漏洞套件之一。自此以来并没有任何重大变化我们的最后一篇点评威胁演员仍然依赖域阴影技术来生成新的URL。

有效载荷: PsiXBot, Gootkit, Maze

ek.

除了各种指纹检查以及各种指纹检查以及各种指纹检查外,Fallout Ek站立。它还实现了Diffie-Hellman密钥交换,以防止安全分析师脱机重放。

有效载荷: Sodinokibi, AZORult, Kpot, Raccoon, Danabot

埃克级

幅度ek过去几个月没有太多变化。相同的功率基础架构用于将用户重定向到假密码域。有效载荷仍然是在无纺光模式下提供的agiber ransomware。

有效载荷见过: Magniber

钻机埃克

最近,钻机EK似乎已经删除了其Flash Player漏洞,而是仅依赖于Internet Explorer。一个活跃的活动是淘汰的,它使用假游戏网站重定向到漏洞套件。

有效载荷: Smoke Loader, Sodinokibi, Paradise, Antefrigus

孙子ek.

GrandSoft EK在这个秋天并不常见,而且似乎有有限的有效载荷分布。据悉,该网站主要关注Ramnit木马的分布。

有效载荷见过:Ramnit.

暗中破坏者埃克

Underminer EK是市场上更有趣的开发套件之一,由于其不同寻常的方式交付其隐藏的蜜蜂有效载荷.它不仅是无文件的,而且它以一种特殊的方式包装,这表明利用工具和恶意软件开发者是同一个人。

有效载荷见过:隐藏的蜜蜂

开心网埃克

Kaixin EK是一个更模糊的漏洞套装,我们很少遇到,也许是因为它似乎瞄准亚洲市场。但是,它似乎仍然存在于同一基础架构上。

有效载荷见过:Dupzom.

紫狐狸ek.

紫狐狸是描述以前由TrendMicroRO是一个有趣的驱动器,逐个框架加载Funless Malware。虽然它曾经通过钻机ek装载,但现在可以自己看。出于这个原因,我们认为它也可以称为漏洞套件。

有效载荷见过:KPOT.

Capesand埃克

Capesand EK是最新的漏洞利用浮出水面虽然它是基于旧ek的代码,叫做恶魔猎人。它是在特定的恶意运动中发现,也许建议一个恶意软件作者的作品为自己的分发。

有效载荷见过:NJRAT.

维护一个立足点

尽管存在老化的漏洞,而且ie和Flash Player的用户基础都在下降,但看到漏洞工具包依然活跃还是很有趣的。

在过去的一个季度中,我们观察到持续的恶意广告活动和各种恶意软件负载。我们可以预期这一趋势将继续下去,甚至可能会出现新的框架。即使它仍然是远程的,我们也不能放弃一个针对较新的浏览器的开发工具包的可能性。

仍然运行Internet Explorer的消费者和企业用户受到这些漏洞套件的影响必威平台APP