Vulnérabilité 0jour récente utilisée dans un kit d’exploitation

Des codes d’exploitation pour une vulnérabilité 0jour éliminée récemment dans Flash Player sont diffusés via les kits d’exploitation Angler, Neutrino et Magnitude ; ils servent à propager différents ransomwares, malwares bancaires et autres trojans qui volent les identifiants.

Le chercheur français, connu sous le pseudo Kafeine, a expliqué à Threatpost que le code d’exploitation pour CVE-2016-4117 repris dans Neutrino est complètement opérationnel tandis que la version qui figure dans Magnitude n’est pas complète. Kafeine a également signalé qu’un code d’exploitation similaire se trouvait désormais dans Angler et qu’il permettait de télécharger le trojan bancaire Dridex.

D’après les informations de Kafeine, les codes d’exploitation de Magnitude concernent toutes les versions de Flash jusqu’à 21.0.0.2013, mais ils ne s’exécutent pas, malgré le fait que le code malveillant a été correctement saisi. Il se peut qu’une erreur a été commise dans la réalisation de ces codes d’exploitation. Le code d’exploitation du kit Neutrino est tout à fait opérationnel et d’après les résultats de VirusTotal, sa détection pose toujours un problème.

Dans les commentaires qu’il a envoyés à Threatpost, Kafeine a également signalé que lors des essais du kit d’exploitation actualisé, il avait observé des charges utiles comme CryptXXX, Cerber, DMA, Locker et Gootkit. Ce dernier intervient principalement dans le vol d’identifiants de systèmes de banque électronique et se distingue par le fait qu’il se charge dans la mémoire et ne laisse pas de fichiers sur l’ordinateur infecté. Auparavant, il était diffusé par Angler : au début de cette année, des chercheurs de chez Cyphort ont publié un rapport sur une de ces cybercampagnes qui reposait sur des bannières malveillantes de redirection et sur l’utilisation de Bedep en guise de téléchargeur.

Le correctif pour la vulnérabilité 0jour dans Flash (confusion des types de données) a été diffusé en urgence le12 mai. Cette faille avait été découverte la veille par un chercheur de FireEye dont l’attention avait été attirée par la présence de codes d’exploitation dans la nature. Ces codes d’exploitation étaient intégrés à des documents Microsoft Office, eux-mêmes hébergés sur des sites des individus malintentionnés et accessibles via des adresses DNS dynamiques. Pour procéder à l’infection, les attaquant utilisaient des adresses Internet diffusées par spam ou des pièces jointes malveillantes.

D’après les données de FireEye, ces premières attaques utilisaient des codes d’exploitation pour Flash version 21.0.0.196 et suivantes. L’infection se déroulait en plusieurs étapes : l’exécution du code d’exploitation entraînait le lancement d’un shell code qui téléchargeait et exécutait un autre shell qui, à son tour, téléchargeait et exécutait le malware principal tout en affichant pour l’utilisateur un document de dissimulation. Cette opération entraînait l’ouverture d’une backdoor sur l’ordinateur. Les attaquants pouvaient ainsi commencer à envoyer des commandes à l’ordinateur.

Le kit d’exploitation Magnitude a été beaucoup utilisé ces derniers temps pour propager Cerber, un ransomware capable de demander le paiement de la rançon de vive voix. Au début du mois d’avril, des chercheurs de chez Proofpoint ont découvert que pour diffuser ce ransomware, Magnitude avait commencé à utiliser la vulnérabilité CVE-2016-1019 dans Flash, une autre vulnérabilité 0jour dans ce logiciel qu’Adobe avait du également être éliminée d’urgence. Ce même code d’exploitation était utilisé par Nuclear pour diffuser un autre ransomware : Locky.

Pour conclure, il fau signaler que l’activité de Cerber a fortement augmenté après que ses opérateurs ont pu accéder à l’infrastructure de Dridex (diffusion de spam).

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *