利用工具活动自上次以来基本没有变化冬季评论在积极的分销活动方面。但是这个春季版将有一个新的开发工具包和另一个非典型的EK,它专门针对路由器。
这些驱动下载攻击背后的主要驱动因素是多方面的恶意链条具有强大的地理定位过滤。这解释了为什么某些利用套件比其他工具速度不那么明显。
根据我们的遥测数据,到目前为止,美国是受开发套件影响最大的国家,而西班牙和韩国分别在欧洲和亚洲处于领先地位。
2019年春季概述
- Spelevo埃克
- 影响埃克
- 幅度ek.
- 钻机ek.
- 底层ek.
- 路由器ek.
Vulnerabilties
Internet Explorer的CVE-2018-8174和Flash播放器的cve - 2018 - 15982是最常见的漏洞,而旧的cve - 2018 - 4878(Flash)仍然被一些ek使用。
Spelevo埃克
Spelevo EK是一个新的开发工具确认2019年3月并提供最新的Flash Exploit(CVE-2018-15982)。根据我们的内部测试,Spelevo的Flash Exploit将在提供有效载荷之前检查并避免虚拟机。
有效载荷见:PsiX Bot, IcedID
影响埃克
Fallout EK是具有一些更复杂的URI模式的最活跃的漏洞套件之一。有一段时间,辐射正在加载IE漏洞利用通过GitHub PoC,但最终还是变回了自托管.
看到的有效载荷:GandCrab, Raccoon Stealer,巴尔德
幅度ek.
在过去的几个月里,该公司并没有太大的变化,因为它继续以亚太地区(APAC)的一些国家为目标,并专门投放自己的Magniber勒索软件。
有效载荷看到:Magniber ransomware
钻机ek.
RIG EK也是广受欢迎的漏洞工具包之一,通过Fobos等恶意广告活动广泛传播。RIG仍然使用Flash的CVE-2018-4878,它自带自己的工件。
有效载荷:azorult,pitou,ElectrumDoSMiner
底层ek.
Underminer EK不同于它的同行,因为它过分混淆了Internet Explorer和Flash的漏洞,但更重要的是它的非正统隐藏的蜜蜂有效载荷。
有效载荷看到:隐藏的蜜蜂
路由器ek.
路由器开发工具包不是新的(见DNSChanger埃克),但它们是相当危险的,因为它们是通过跨站请求伪造(CSRF)改变路由器DNS设置的驱动式攻击的一部分。特定的一个我们在这里展示(诺伊德)针对巴西用户。最终目标通常是将用户重定向到网络钓鱼网站,受害者是更明智的。
有效载荷看到:DNS改变
缓解
必威平台APPMalwarebytes用户被保护对这些漏洞工具包,感谢我们的反剥削和网络保护技术。下面的动画功能Malwarebytes端点保护和响应,我们必威平台APP的商业产品,并展示它如何阻止每个攻击。
评论