بهگفتهی پژوهشگران امنیتی مالوربایتس یک کیت بهرهبرداری که بهتازگی شناسایی شده است، نسخههای آسیبپذیر ادوبی فلش پلیر را هدف قرار میدهد. این کیت بهرهبرداری که Lord نامیده میشود ابتدا توسط Adrian Luca شناسایی شده است.
این کیت بهرهبرداری بهعنوان بخشی از یک زنجیرهی تبلیغافزاری از طریق شبکهی PopCash ظهور پیدا کرد. کاربران EK از یک وبگاه آسیبدیده برای هدایت قربانیان به صفحهی مقصد خود استفاده میکنند. در ابتدا، این پورتال کاملاً پرمحتوا و شفاف بود، اما اپراتورهای این کیت بهسرعت آن را مبهمسازی کردند.
صفحهی مقصد یک تابع برای بررسی وجود فلش پلیر دارد تا از آسیبپذیری CVE-2018-15982 بهرهبرداری کند. صفحهی مقصد همچنین اطلاعاتی مانند فلش پلیر و ویژگیهای مختلف شبکه را از سیستم قربانی جمعآوری میکند. چیزی که Lord EK را از دیگر کیتها جدا میکند، استفاده از خدمات ngrok برای ایجاد نامهای میزبان سفارشی است که منجر به ایجاد آدرسهای اینترنتی غیرمعمول میشود.
مالوربایتس بیان میکند که این مورد نسبت به چیزی که مشاهده شده است، بسیار غیرمعمول است. طبق مستندات ngrok، این کیت یک سرور محلی را در اینترنت قرار میدهد. نسخهی رایگان ngrok زیردامنههای تصادفی ایجاد میکند که برای بهرهبرداری نویسندهی کیت مناسب است.
درحالحاضر، Lord EK تنها آسیبپذیریهای موجود در افزونهی فلش پلیر را هدف قرار میدهد. سایر کیتهای بهرهبرداری موجود در آن شامل بهرهبرداریهای مربوط به آسیبپذیریهای امنیتی اینترنت اکسپلورر است.
Lord EK پس از بهرهبرداری از آسیبپذیری CVE-2018-15982، شلکد را بهمنظور بارگیری و اجرای یک بار داده راهاندازی میکند. مالوربایتس نیز متوجه شد که پس از بهرهبرداری از این کیت، قربانیان به صفحهی اصلی گوگل هدایت میشوند که این عملکرد قبلاً در کیت Spelevo مشاهده شده بود.
پژوهشگران امنیتی بیان کردند که Lord EK درحالحاضر بهطور فعال بهروزرسانی میشود، اما هنوز مشخص نیست که چه مدت فعال خواهد بود. پژوهشگران بیان میکنند که اخیراً جریانی از کیتهای شبه بهرهبرداری به راه افتاده است که در آن یک عامل تهدید اثبات مفهومی آسیبپذیری اینترنت اکسپلورر یا فلش پلیر را میرباید و یک صفحهی بسیار ساده برای بارگذاری آن ایجاد میکند. توصیف این کیتها بهعنوان حملات بارگیری مناسبتر از کیتهای بهرهبرداری هستند.
