ظهور کیت بهره‌برداری جدید Lord

به‌گفته‌ی پژوهش‌گران امنیتی مالوربایتس یک کیت بهره‌برداری که به‌تازگی شناسایی شده است، نسخه‌های آسیب‌پذیر ادوبی فلش پلیر را هدف قرار می‌دهد. این کیت بهره‌برداری که Lord نامیده می‌شود ابتدا توسط Adrian Luca شناسایی شده است.

این کیت بهره‌برداری به‌عنوان بخشی از یک زنجیره‌ی تبلیغ‌افزاری از طریق شبکه‌ی PopCash ظهور پیدا کرد. کاربران EK از یک وب‌گاه آسیب‌دیده برای هدایت قربانیان به صفحه‌ی مقصد خود استفاده می‌کنند. در ابتدا، این پورتال کاملاً پرمحتوا و شفاف بود، اما اپراتورهای این کیت به‌سرعت آن را مبهم‌سازی کردند.

صفحه‌ی مقصد یک تابع برای بررسی وجود فلش پلیر دارد تا از آسیب‌پذیری CVE-2018-15982 بهره‌برداری کند. صفحه‌ی مقصد همچنین اطلاعاتی مانند فلش پلیر و ویژگی‌های مختلف شبکه را از سیستم قربانی جمع‌آوری می‌کند. چیزی که Lord EK را از دیگر کیت‌ها جدا می‌کند، استفاده از خدمات ngrok برای ایجاد نام‌های میزبان سفارشی است که منجر به ایجاد آدرس‌های اینترنتی غیرمعمول می‌شود.

مالوربایتس بیان می‌کند که این مورد نسبت به چیزی که مشاهده شده است، بسیار غیرمعمول است. طبق مستندات ngrok، این کیت یک سرور محلی را در اینترنت قرار می‌دهد. نسخه‌ی رایگان ngrok زیردامنه‌های تصادفی ایجاد می‌کند که برای بهره‌برداری نویسنده‌ی کیت مناسب است.

درحال‌حاضر، Lord EK تنها آسیب‌پذیری‌های موجود در افزونه‌ی فلش پلیر را هدف قرار می‌دهد. سایر کیت‌های بهره‌برداری موجود در آن شامل بهره‌برداری‌های مربوط به آسیب‌پذیری‌های امنیتی اینترنت اکسپلورر است.

Lord EK پس از بهره‌برداری از آسیب‌پذیری CVE-2018-15982، شل‌کد را به‌منظور بارگیری و اجرای یک بار داده راه‌اندازی می‌کند. مالوربایتس نیز متوجه شد که پس از بهره‌برداری از این کیت، قربانیان به صفحه‌ی اصلی گوگل هدایت می‌شوند که این عملکرد قبلاً در کیت Spelevo مشاهده شده بود.

پژوهش‌گران امنیتی بیان کردند که Lord EK درحال‌حاضر به‌طور فعال به‌روزرسانی می‌شود، اما هنوز مشخص نیست که چه مدت فعال خواهد بود. پژوهش‌گران بیان می‌کنند که اخیراً جریانی از کیت‌های شبه بهره‌برداری به راه افتاده است که در آن یک عامل تهدید اثبات مفهومی آسیب‌پذیری اینترنت اکسپلورر یا فلش پلیر را می‌رباید و یک صفحه‌ی بسیار ساده برای بارگذاری آن ایجاد می‌کند. توصیف این کیت‌ها به‌عنوان حملات بارگیری مناسب‌تر از کیت‌های بهره‌برداری هستند.

منبع

پست‌های مشابه

Leave a Comment

نوزده − هجده =