Angler: neues Flash-Exploit, Zustellung von Cryptowall 3.0

Angler hat sich bereits als eins der fortschrittlichsten Exploit-Packs auf dem Schwarzmarkt empfohlen, doch trotzdem entwickelt es sich fortwährend weiter. In dieser Woche wurde beobachtet, dass dieses Hackertool die neuste Version der Erpressersoftware CryptoWall bereitstellt und eine weitere Lücke ausnutzt, die bereits von Adobe gepatcht wurde.

Die Verbreiter von Verschlüsselungs- und Erpressungssoftware haben Angler schon früher zu ihren Zwecken eingesetzt, so wurde vor kurzem etwa ein Hybrid aus TeslaCrypt und AlphaCrypt entdeckt, der mit Hilfe von Exploits aus eben dieser Sammlung in Umlauf gebracht wird. Sicherheitslücken in den Adobe-Produkten werden im laufenden Jahr regelmäßig dem Angler-Bestand hinzugefügt, eine davon kam kürzlich im Rahmen einer click-fraud-Kampagne unter Beteiligung des Trojaners Bedep zur Anwendung.

Brad Duncan vom SANS Internet Storm Center schreibt in einem Eintrag vom vergangenen Donnerstag, er habe letzte Woche zwei Fälle von Angler-Attacken beobachtet, im Zuge derer Cryptowall 3.0 verteilt wurde, in einem Fall sogar als Dreingabe zu Bedep.

Laut Duncan verwendete der Kryptoblocker in beiden Fällen ein und dieselbe Bitcoin-Adresse für die Lösegeldzahlung. Die Höhe der Summe, die die Opfer für die Entschlüsselungsdateien zahlen sollten, entsprach mit 500 US-Dollar dem Standard.

(Screenshot von der Website von ISC SANS)

„Normalerweise sehe ich, dass Angler verschiedene Blocker in Umlauf bringt“, schreibt der Forscher in dem Blog von ISC SANS. „ Und ich hatte es auch schon mit Samples von CryptoWall 3.0 zu tun, die mit Hilfe des Exploit-Packs Magnitude verteilt wurden. Doch dass Angler CryptoWall austeilt, sehe ich zum ersten Mal.“

Die Experten von FireEye erklären, dass im Repertoire von Angler nun ein weiteres Exploit für den Adobe Flash Player aufgetaucht sei. Die entsprechende Sicherheitslücke, CVE-2015-3090, hat Adobe vor zwei Wochen geschlossen. Es handelt sich dabei um eine Speicherkorruptions-Schwachstelle, die von Chris Evans vom Google Project Zero entdeckt wurde. Angler greift diese Lücke an und versucht eine Wettlaufsituation auszunutzen, die bei der Initialisierung von Objekten der Shader Klasse auftritt. Ein erfolgreiches Exploit ermöglicht es den Angreifern, willkürlichen Code auszuführen und die Anwender-Systeme zu infizieren, die bisher noch nicht aktualisiert wurden.

Die Erweiterung der Angler-Sammlung um Exploits, die sich gegen Adobe-Produkte richten, ist an sich nichts Neues, doch den Experten von FireEye zufolge ist es eine beunruhigende Tendenz.

Im vergangenen Januar wurden dem Pack zwei Exploits für Flash hinzugefügt, darunter auch für eine Zero-Day-Sicherheitslücke, die dann zum Installieren von Bedep benutzt wurde. Im April war dann CVE-2015-0359 an der Reihe, und einen Monat zuvor erlangte Angler die Möglichkeit CVE-2015-0336 auszunutzen, ebenfalls in Flash, sowie eine Schwachstelle im IE, die zu dem Zeitpunkt bereits gepatcht war.

Im März eigneten die Betreiber des Exploit-Packs sich zudem eine neue Technik zur Umgehung des Schutzes an, die seither als „Domain Shadowing“ bekannt ist. Unter Verwendung von gestohlenen Account-Daten registrieren sie eine Vielzahl von Subdomains und nutzen sie als Umleitungen auf schädliche Websites.

Quellen:

Internet Storm Center

Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.