Magnitude et son code d’exploitation Flash 0jour vous menace avec Cryptowall

La nécessité d’installer en temps opportuns les correctifs pour Flash Player a été une nouvelle fois confirmée le week-end dernier : Magnitude s’est enrichi d’un code d’exploitation pour une vulnérabilité 0jour éliminée récemment dans Adobe. Le chercheur indépendant Kafeine signale dans une nouvelle publication que lors de son activation, l’échantillon qu’il avait découvert avait téléchargé deux exemplaires du malware Cryptowall via Internet Explorer 11 sous Windows 7.

Adobe avait diffusé un correctif d’urgence pour Flash Player la semaine dernière suite à la communication de FireEye sur l’exploitation de la vulnérabilité dans les attaques en cours. Les vulnérabilités dans Flash sont un vecteur attrayant pour les pirates et les groupes APT car ces produit sont installés sur un volume très important d’ordinateurs tournant principalement sous Windows. Les codes d’exploitation pour les nouvelles failles dans Flash Player apparaissent très rapidement ; ainsi, d’après Kafeine, l’arsenal de Magnitude a été enrichi quatre jours après la diffusion du correctif.

Les chercheurs de FireEye ont conseillé aux administrateurs de traiter ce correctif avec la plus grande priorité car la vulnérabilité qu’il élimine est exploitée au moins depuis le moins de juin. Suite à la mise à jour de Magnitude, l’infection des ordinateurs privés du correctif via cette faille prend une ampleur massive ; la découverte de Kafeine montre également que les opérateurs du kit d’exploitation ont déjà trouvé le moyen adéquat de gagner de l’argent avec cette nouveauté.

Cryptowall, un des ransomwares les plus efficaces à l’heure actuelle, évolue en permanence et est souvent diffusé via des kits d’exploitation. Ainsi, au début du mois de juin, les enquêteurs du centre SANS sur les menaces réseau ont observé une augmentation du trafic malveillant associé au mode de diffusion de Cryptowall 3.0 à l’aide d’Angler. L’ISC SANS a également observé une accélération des campagnes de spam visant à diffuser la version la plus récente de ce ransomware.

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *