Neue Flash-0-Day in mehreren Exploit-Packs ausgenutzt

Exploits für die kürzlich gepatchte Zero-Day-Sicherheitslücke im Flash Player werden in großer Zahl in den Exploit-Packs Angler, Neutrino und Magnitude verbreitet; sie werden bereits verwendet, um verschiedene Erpresserprogramme, Banken-Schädlinge und Kontodaten stehlende Trojaner zu verbreiten.

Der unter dem Namen Kafeine bekannte französische Forscher präzisierte für Threatpost, dass das Exploit zu CVE-2016-4117, das dem Exploit-Pack Neutrino hinzugefügt wurde, funktionsfähig ist, das Exploit in Magnitude dagegen nicht vollständig umgesetzt wurde. Kafeine bestätigte zudem, dass nun auch Angler mit einem analogen Exploit operiert und dabei den Bank-Trojaner Dridex lädt.

Nach Aussage des Forschers richten sich die Magnitude-Exploits gegen alle Flash-Versionen bis 21.0.0.213, doch die Payloads werden nicht ausgeführt, obgleich es Referenzen auf den angreifbaren Code gibt. Es ist nicht ausgeschlossen, dass bei ihrer Umsetzung ein Fehler unterlaufen ist. Das Exploit aus dem Pack Neutrino ist voll funktionsfähig und wird den Ergebnissen von VirusTotal zufolge bisher nur schwer detektiert.

In seinem Kommentar gegenüber Threatpost merkte Kafeine zudem an, dass er in verschiedenen Durchgängen des aktualisierten Exploit-Packs auch zielgerichtete Downloads registriert habe, wie z.B. CryptXXX, Cerber, DMA Locker und Gootkit. Letztgenannter Schädling wird in erster Linie verwendet, um Zugangsdaten zum Online-Banking zu stehlen und sticht dadurch hervor, dass er sich in den Speicher lädt und keine Dateien auf einer infizierten Maschine hinterlässt. Früher wurde Angler benutzt, um ihn in Umlauf zu bringen: Anfang des Jahres veröffentlichten die Forscher von Cyphort einen Bericht über eine solche Cyberkampagne, im Rahmen derer schädliche Umleitungsbanner und Bedep als Downloader eingesetzt wurden.

Ein Patch für die 0-Day-Sicherheitslücke in Flash (Data Type Confusion) wurde außerplanmäßig am 12. Mai veröffentlicht. Diese Schwachstelle wurde am Vorabend von einem Experten von FireEye entdeckt, der insbesondere auf die Präsenz von Exploits in freier Wildbahn hinwies. Diese Exploits wurden in MS Office-Dokumente integriert, die auf der Seite der Cyberkriminellen untergebracht wurden und über dynamische DNS-Adressierung verfügbar waren. Für die Infektion benutzten die Angreifer sowohl URL-Spam als auch schädliche Anhänge.

Nach Angaben von FireEye wurden Exploits für Flash der Versionen 21.0.0.196 und höher eingesetzt. Die Infektion erfolgte in mehreren Etappen: Bei der Verarbeitung des Exploits wurde Shell-Code gestartet, der weiteren Shellcode lud und ausführte, der seinerseits wiederum den Zielschädling lud und ausführte, während dem Nutzer eine Dokumenten-Attrappe angezeigt wurde. Die Folge von all dem war, dass sich auf dem Rechner des Opfers eine Backdoor öffnete, die dann Befehle von den Angreifern entgegennahm.

Das Exploit-Pack Magnitude wird in letzter Zeit verstärkt benutzt, um Cerber in Umlauf zu bringen – eine Ransomware, die in der Lage ist, das Lösegeld mittels Sprachmitteilung einzufordern. Anfang April fanden die Experten bei Proofpoint heraus, das Magnitude nun die Sicherheitslücke CVE-2016-1019 in Flash ausnutzt, um diesen Erpresserschädling zu verbreiten – eine weitere Zero-Day-Lücke in diesem Produkt, die Adobe ebenfalls außer der Reihe schließen musste. Dasselbe Exploit wurde von Nuclear ausgenutzt, um eine andere Ransomware zu verbreiten, und zwar Locky.

Zum Schluss bleibt anzumerken, dass die Aktivität von Cerber stark zugenommen hat, nachdem seine Verbreiter Zugriff auf die Infrastruktur von Dridex erhalten haben, die die Durchführung von Spam-Versendungen ermöglicht.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.