导致挖掘工具包的恶意活动无处可行,这些天常见于普通。实际上,许多威胁演员已经转移到其他递送方法,而不是依赖于驱动器下载。

然而,偶尔我们会看到尖峰,这足以让他们突出成功运行。8月下旬,我们开始通过高交通成人网站看到分销浣熊偷窃者的堕落挖掘工具包。在向广告网络报告之前不久,相同的威胁演员使用钻机爆炸套件再次回来。

然后,我们看到了最大的迄今为止最大的Xhamster迄今为止的运动。来自一年多的恶意者,我们已经跟踪过的恶意。这种威胁演员已经设法滥用了所有成人广告网络,但这可能是他们第一次击中顶级出版商。

在流行的广告网络上恶意

我们观察到的第一个恶意广告商通过针对运行Internet Explorer的用户而没有任何特定的地理位置限制,虽然大多数受害者在美国,但我们都可以获得许多成人网站的广告。

图1:左边的受害者,成人网站交通右侧

在这一运动中,骗子通过使用不同的重定向页面滥用流行的广告网络Exoclick。但是,每次我们能够通知广告网络并快速关闭它们。

他们使用的第一个域是Inteca-Deco [。] Com,它被设置为Web设计代理,但是明显地是训练眼的诱饵页面。

图2:诱饵页面用作挖掘套件的大门

简单的服务器端界面执行重定向到一个退出漏洞的套件着陆页,试图利用CVE-2019-0752(Internet Explorer)和CVE-2018-15982(闪存播放器)在丢弃浣熊偷窃之前。

图3:退出漏洞套件的流量

大约10天后,另一个域名,Websolvent [。]我,变得活跃,但使用了不同的重定向技术,一个302重定向,也称为302缓冲。这次我们看到钻机开发套件,也能提供浣熊偷窃。

图4:钻机开发套件的流量

除了共同的有效载荷之外,这两个域也是相关的。一种危险爬行确认这两个域之间的关系,其中父主机被捕获做元刷新重定向到子:

图5:被动总主机对

在顶级成人网站上的恶意变得最大

第二个恶意软件(' malvertiser ')是我们在过去几个月勤勉跟踪的一个,它的最终有效载荷通常是Smoke Loader恶意软件。它是迄今为止最大胆、最成功的一家,因为它追求更大的出版商和各种各样的广告网络。然而,到目前为止,我们只在规模相对较小的成人游戏发行商身上看到过这种情况。

在这种情况下,威胁演员能够滥用交通明星广告网络,并将他们的恶意广告放在xHamster [。] COM,一个只有超过12.6亿月的网站。matermerweb.com.

该组使用的门也使用诱饵网站,随着时间的推移,它们具有嘲笑广告网络和云提供商的注册域。

图6:xHamster上的恶意污迹(带到最前沿)

重定向机制比其他恶意活动中使用的重定向机制更复杂。有一些客户端指纹和连接检查,以避免VPN和代理,只针对合法的IP地址。

图7:Xhamster恶性的流量

有趣的是,这种烟雾装载机实例还下载浣熊偷窃者和zloader。

MALSMOKE可能是我们今年看到的最持久的恶意运动。与其他威胁演员不同,该小组表明它可以快速切换广告网络,以保持业务不间断。

图8:与MALSMOKE相关的恶意运动

还在使用Internet Explorer吗?

威胁演员仍然利用挖掘工具包来提供恶意软件是一回事,但与Internet Explorer浏览的最终用户是另一个。尽管来自微软和安全专业人士的建议,我们只能证明全球仍有许多用户(消费者和企业)尚未迁移到现代和完全支持的浏览器。

因此,Exploit套件作者在Internet Explorer和Flash Player中的漏洞中挤压了最后一点点果汁(由于明年退休,因为未来一年)。

必威平台APPMalwarebytes客户长期以来免受恶意和开采套件。我们继续追踪并报告我们努力帮助我们努力保持互联网更安全的活动。

妥协指标

盖茨在恶意运动推动浣熊偷窃师

Intica-deco [。] com
websolvent [。]我

浣熊偷窃机

b289155154642ba8e9b032490a20c4a2c09b925e5b85dda11fc85d377baa6a6c
F319264B36CDF0DAEB6174A43AAF4A6684775E6F0FB69AAF2D7DC051A593DE93

浣熊偷窃师C2S.

34.105.147 [。] 92 / gate / log.php
ChinadeVMonster [。]顶级/门/ log.php

吸烟者

23BEF893E3AF7CB49DC5A0A14452ED781F841DB7397DC3EBB689291FD701B6B

烟雾装载机C2S.

dkajsdjiqwdwnfj [。]信息
2831ujedkdajsdj [。]信息
928EijdksAsnfss [。]信息
dkajsdjiqwdwnfj [。]信息
2831ujedkdajsdj [。]信息
928EijdksAsnfss [。]信息

MALSMOKE运动中使用的盖茨

einlegesohle [。] com / indexx.php
adexhangetomatto [。]空间
cenelava [。] com / coexo.php
Encelava [。] com / caac
uneaskie com/ukexo.php。
Bumblizz [。] com / auexo.php
Bumblizz [。] com / auflexexo.php
Bumblizz [。] com / caexo.php
Bumblizz [。] com / caflexexo.php
Bumblizz [。] com / divustxo.php
bumblizz com/usflexexo.php。
Canadaversaliska [。] Info / Coflexexo.php
Canadaversaliska [。]信息/ coflexo.php
Canadaversaliska [。] info / ukflexexo.php
Canadaversaliska [。]信息/ ukflexo.php
Canadaversaliska [。] info / usflexexo.php
Canadaversaliska [。]信息/ usflexo.php
克罗斯特龙[。] com / jpexo.php
克洛斯特龙[。] com / jpflexexo.php
克洛斯特龙[。] com / jpflexo.php
leiomity [。] com / ukexo.php
leiomity [。] com / ukflexexo.php
leiomity [。] com / divusexo.php
leiomity [。] com / usflexexo.php
surdised [。] com / coexo.php
surdised [。] com / divustxo.php

推文引用MALSMOKE运动

https:// twitter [。] com / mbthreatintel / status / 124579188281462784 https:// twitter [。] com / falconintel / status / 123247713 https:// twitter [。] com / nao_sec / status / 1231149711517634560 https:// Twitter[。] com / tkanalyst / status / 1229794466816389120 https:// twitter [。] com / nao_sec / status / 1209090544711815169