News

Neue Flash-0-Day in mehreren Exploit-Packs ausgenutzt

Exploits für die kürzlich gepatchte Zero-Day-Sicherheitslücke im Flash Player werden in großer Zahl in den Exploit-Packs Angler, Neutrino und Magnitude verbreitet; sie werden bereits verwendet, um verschiedene Erpresserprogramme, Banken-Schädlinge und Kontodaten stehlende Trojaner zu verbreiten.

Der unter dem Namen Kafeine bekannte französische Forscher präzisierte für Threatpost, dass das Exploit zu CVE-2016-4117, das dem Exploit-Pack Neutrino hinzugefügt wurde, funktionsfähig ist, das Exploit in Magnitude dagegen nicht vollständig umgesetzt wurde. Kafeine bestätigte zudem, dass nun auch Angler mit einem analogen Exploit operiert und dabei den Bank-Trojaner Dridex lädt.

Nach Aussage des Forschers richten sich die Magnitude-Exploits gegen alle Flash-Versionen bis 21.0.0.213, doch die Payloads werden nicht ausgeführt, obgleich es Referenzen auf den angreifbaren Code gibt. Es ist nicht ausgeschlossen, dass bei ihrer Umsetzung ein Fehler unterlaufen ist. Das Exploit aus dem Pack Neutrino ist voll funktionsfähig und wird den Ergebnissen von VirusTotal zufolge bisher nur schwer detektiert.

In seinem Kommentar gegenüber Threatpost merkte Kafeine zudem an, dass er in verschiedenen Durchgängen des aktualisierten Exploit-Packs auch zielgerichtete Downloads registriert habe, wie z.B. CryptXXX, Cerber, DMA Locker und Gootkit. Letztgenannter Schädling wird in erster Linie verwendet, um Zugangsdaten zum Online-Banking zu stehlen und sticht dadurch hervor, dass er sich in den Speicher lädt und keine Dateien auf einer infizierten Maschine hinterlässt. Früher wurde Angler benutzt, um ihn in Umlauf zu bringen: Anfang des Jahres veröffentlichten die Forscher von Cyphort einen Bericht über eine solche Cyberkampagne, im Rahmen derer schädliche Umleitungsbanner und Bedep als Downloader eingesetzt wurden.

Ein Patch für die 0-Day-Sicherheitslücke in Flash (Data Type Confusion) wurde außerplanmäßig am 12. Mai veröffentlicht. Diese Schwachstelle wurde am Vorabend von einem Experten von FireEye entdeckt, der insbesondere auf die Präsenz von Exploits in freier Wildbahn hinwies. Diese Exploits wurden in MS Office-Dokumente integriert, die auf der Seite der Cyberkriminellen untergebracht wurden und über dynamische DNS-Adressierung verfügbar waren. Für die Infektion benutzten die Angreifer sowohl URL-Spam als auch schädliche Anhänge.

Nach Angaben von FireEye wurden Exploits für Flash der Versionen 21.0.0.196 und höher eingesetzt. Die Infektion erfolgte in mehreren Etappen: Bei der Verarbeitung des Exploits wurde Shell-Code gestartet, der weiteren Shellcode lud und ausführte, der seinerseits wiederum den Zielschädling lud und ausführte, während dem Nutzer eine Dokumenten-Attrappe angezeigt wurde. Die Folge von all dem war, dass sich auf dem Rechner des Opfers eine Backdoor öffnete, die dann Befehle von den Angreifern entgegennahm.

Das Exploit-Pack Magnitude wird in letzter Zeit verstärkt benutzt, um Cerber in Umlauf zu bringen – eine Ransomware, die in der Lage ist, das Lösegeld mittels Sprachmitteilung einzufordern. Anfang April fanden die Experten bei Proofpoint heraus, das Magnitude nun die Sicherheitslücke CVE-2016-1019 in Flash ausnutzt, um diesen Erpresserschädling zu verbreiten – eine weitere Zero-Day-Lücke in diesem Produkt, die Adobe ebenfalls außer der Reihe schließen musste. Dasselbe Exploit wurde von Nuclear ausgenutzt, um eine andere Ransomware zu verbreiten, und zwar Locky.

Zum Schluss bleibt anzumerken, dass die Aktivität von Cerber stark zugenommen hat, nachdem seine Verbreiter Zugriff auf die Infrastruktur von Dridex erhalten haben, die die Durchführung von Spam-Versendungen ermöglicht.

Quelle: Threatpost

Neue Flash-0-Day in mehreren Exploit-Packs ausgenutzt

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach