(编辑2019-01-24)辐射EK引入了一个新的空投器来帮助最后的有效载荷回收。这个更新替换了我们之前看到的普通的MZ。

- - - - - -

在一月初短暂的中断之后,辐射的开发套件在新的一年里又有了一些新功能。在它缺席期间,我们注意到RIG EK活动的增加,也许是为了填补这个暂时的空白。

《辐射EK》是通过反广告连锁店传播的(我们追踪了其中一家的名字HookAds),特别是通过成人交通。自1月15日以来,辐射EK的活动再次加快了步伐以交付GandCrab勒索软件。

修正后的辐射EK吹嘘了几个新功能,包括集成了最新的Flash Player漏洞。安全研究人员Kafeine确认《辐射》现在是其次利用装备添加cve - 2018 - 15982

Fallout EK 2019亮点:

  • HTTPS支持
  • 新的登录页面格式
  • 新Flash漏洞(CVE-2018-15982)
  • Powershell运行有效载荷

引起我们注意的一个方面是《辐射》是如何通过Powershell而不是使用iexplorer .exe来交付它的有效载荷的。Kafeine在他的网站上转载了EK开发者的广告,也提到了这一点。

Base64编码的Powershell命令调用有效负载URL,并以自己的方式加载它:

这种技术很可能是一种逃避的尝试,因为传统上我们认为Internet Explorer进程会丢弃负载。

[编辑:2019-01-18]此技术是绕过防病毒扫描接口(AMSI),后者在攻击的最后阶段提供额外的保护。所描述的@nao_sec

这个新的开发告诉我们,开发工具包的开发人员仍然在监视新的开发和技术。2018年,Internet Explorer和Flash Player的一些零日被发现,并变成了易于适应的概念证明。尽管IE和Flash的市场份额继续下降,但仍有许多国家运行的是较老的系统,默认浏览器是Internet Explorer。因此,威胁行动者会趁机利用。

必威平台APP用户已经被保护对这个更新辐射EK。

妥协的指标

185.56.233(。)186年,advancedfeed(。] pro, HookAds竞选51.15.35(。)154年,payformyattention(。EK)网站,影响