2019年为爆炸盒一直是忙碌的一年,尽管他们没有被认为是多年的有效威胁向量,特别是在消费者方面。这次,我们发现了Spelevo利用套件的虚拟裤子,试图利用成人网站的普及损害更多设备。

目前的铬占浏览器市场份额有利于社会工程攻击和其他不需要使用漏洞的威胁以感染用户。但是,我们继续看到我们遥测中推动驱动下载的恶意运动。恶意广告放在一级成人网站上,仍然推动大量流量。

最近,我们使用Spelevo Exploit套件捕获了一个不寻常的变化,在该企图尝试触发Internet Explorer和Flash Player中的漏洞之后,用户立即重定向到诱饵成人网站。

图1:用于社会工程串联使用的漏洞套件

Spelevo EK指示浏览器加载本网站,社会工程师受害者安装视频编解码器以便播放电影。这似乎是Spelevo EK运营商的努力,使他妥协新机器的机会。

Spelevo EK更改其重定向URL

基于我们的遥测,有一些威胁演员经营的广告系列将流量转换为成人站点进入恶意软件负载。在一个广告系列中,我们在一个地方看到了一个恶意的攻击,一个月,一个月的游客达到5000万游客。

图2:从EK到SoC的交通视图。工程网站

我们从Spelevo EK收集了两个主要的有效载荷:

  • Ursnif / Gozi.
  • QBOT / QAKBOT.

Spelevo ek的一件事与其他利用套件有一点点不同重定向受害者Google.com剥削后,通常在10秒之后:

图3:Google重定向10秒延迟

但是,在这种最新捕获中,我们注意到剧本已被编辑,时间增加到60秒:

图4:Google重定向60秒延迟

这种变化很重要,因为它允许漏洞利用套件允许一路运行并调用EK框架的最后一个URL部分。在这里,我们也注意到了一些新的东西。

以前,在有效载荷后立即的URL具有以下结尾模式:&00000111和11。现在,新模式是32个字符,后跟字母'n'。

图5:从EK到诱饵成人网站的重定向

之前刷新标签生效,浏览器被重定向到一个新位置,恰好是诱饵成人网站。

社会工程作为备份

这个假成人网站没有什么特别的,但它在恶意链的背景下工作得很好。受害者已经从事内容,甚至可能无法意识到刚刚发生的剥削尝试。

图6:假成人网站欺骗用户假录像带

这次,网站敦促用户下载一个名为的文件lookatmyplayer_codec.exe.。下载视频编解码器以查看媒体曾经在当天相当普通的媒体,但并不是这种情况。然而,这种伎俩仍然很好地工作,并且是损害用户的替代方法。

假编解码器结果是QBOT / QAKBOT,这也是Spelevo EK分发的有效载荷之一。换句话说,威胁演员有两次感染受害者的机会:通过利用套件或假编解码器。

这不是第一次利用工具包运营商包括社会工程方案。在2017年,历史ek正在推动一个假Windows Defender通知,而蔑视ek欺骗用户假Flash Player更新

必威平台APP用户受到影响,防止漏洞套件和有效载荷。

妥协指标(IOC)

Ursnif / Gozi.

7212B70A0CDB4607F577E627211052231D9286FC5E40974FD42

QBOT / QAKBOT.

1814DEB94C42647F946B271FE9FC2BAA6ADAE71DF2B84F4854D36EDA69979F93
1BDE8CEE82550D4D57E4D6EE8FAA9CBCBC6BDABF5873E494C47A1EB671FB7B5

诱饵成人网站

LookatmyVideo [。] com
185.251.38 [。] 70