News

Verbrecherbande nutzt dynamische Gates für Infektion mit Exploit-Kit Fiesta

Eine raffinierte Verbrecherbande, die schon seit über einem Jahr aktiv ist, verwendet eine wechselnde Serie von IP-Adressen, Domains und Gates für die Infektion ihrer Opfer mit dem Exploit-Kit Fiesta.

Fiesta gehört zu einer Reihe von Exploit-Kits, die im Gefolge des einst prominenten Packs Blackhole auf den Plan traten, das allerdings mehr oder minder in der Versenkung verschwunden ist, nachdem sein mutmaßlicher Schöpfer, Dmitry Fedotov, besser bekannt als Paunch, festgenommen wurde. Während Angler als erfolgreichstes post-Blackhole-Kit angesehen wird, haben auch zweitrangige Exploit-Sammlungen wie Nuclear und Fiesta für Aufsehen gesorgt und eine bedeutende Zahl von Rechnern infiziert.

Brad Duncan, Sicherheitsexperte des Cloud-Management-Unternehmens Rackspace, hat die Aktivität der Gruppe, die Fiesta einsetzt, über ein Jahr lang verfolgt. In einem Eintrag im IT-Sicherheitsforum des SANS-Instituts, erklärte er, dass die Gruppe Traffic von kompromittierten Sites über ein Gate schleust – oder eine Umleitungsdomain – zur endgültigen Schaddomain, die das Exploit-Kit enthält.

Duncan nennt die Gruppe den “BizCN Gate Actor”, da sie ausschließlich Domains benutzt, die auf www.bizcn.com gekauft wurden – der Website eines chinesischen Domain-Registrators. Duncan erklärt, dass die Informationen des Registrators geschützt sind, so dass er nicht sehen kann, wer die schädlichen Gateway-Sites registriert, doch sie alle liegen auf ein und derselben IP zu ein und derselben Zeit, aktuell 205[.]234[.]186[.]114. Früher im April verwiesen die schädlichen Domains seiner Aussage zufolge auf 136[.]243[.]227[.]9. Gemäß Duncans Veröffentlichung wird die IP sich aller Wahrscheinlichkeit erneut ändern.

Jede einzelne Gate-Domain entspricht einer einzelnen kompromittierten Website.

„Organisationen mit Web-Proxy-Logs können in ihren http-Anfragen nach 136[.]243[.]227[.]9 suchen“, schreibt Duncan über den Kompromittierungsindikator dieser Attacke. „Diese HTTP-Header sollten eine Referrer-Zeile mit der kompromittierten Website enthalten.“

Zum gegenwärtigen Zeitpunkt benutzt die Gruppe Fiesta zur Verbreitung von Schadprogrammen, die sich selbst in die Verzeichnisse innerhalb der appdata/local-Ordner der Opfercomputer kopieren und von dort aus die Registry-Schlüssel aktualisieren, um ihre Überlebensdauer im System zu verlängern. Die Einträge von Duncan enthalten Links auf eine der schädlichen Payloads, die in den Angriffen benutzt wird, und die er verfolgt. Der Schädling wird von fast allen bei VirusTotal gelisteten AV-Anbietern anders klassifiziert.

Duncan warnt davor, dass die Forscher bei einer Analyse der Bedrohung auf Schwierigkeiten stoßen könnten, da es recht schwierig ist, die gesamte Infektionskette zu verfolgen.

Quelle:        Threatpost

Verbrecherbande nutzt dynamische Gates für Infektion mit Exploit-Kit Fiesta

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach