By | February 28, 2018

מומחי אבטחה Morphisec מצאו קמפיין ענק malspam אשר מנצלת את הפגם CVE-2018-4878 Adobe Flash Player תוקנו לאחרונה לצורך אספקת תוכנות זדוניות.

אחרי החוקרים גילו כי בפגיעות CVE-2018-4878 היה בשימוש על ידי צפון קוריאה-מקושרים APT37 בקבוצת מתקפות מכוונות נגד דרום קוריאה, Adobe תיקון הפגם ב-6 בפברואר.

עם זאת, מומחים Morphisec דיווחה, כי עכשיו הפגיעות המתוארת נוצלה על ידי אחרים ופושעי אינטרנט להעברת תוכנות זדוניות.

“כצפוי, חזה, יריבים במהירות אימצו את ניצול פלאש, אשר בקלות לשחזור. עם וריאציות קטנות להתקפה, הם בהצלחה השיקה מסיבית malspam קמפיין ואת רוב נעקף הקיימים סטטי סריקה פתרונות שוב. “ המומחים Morphisec כאמור.

הקמפיין רשום ב- 22 בפברואר, התוקפים בשימוש גירסה של הניצול זה היה די דומה לזה שהיה בשימוש על ידי קבוצת APT37 לפני.

ההאקרים להשתמש דוא ל זבל ובו קישור מסמך המאוחסן ב- biz [.] אחסון בכספת. להיות שהורדת ופתח, המסמך מדווחת למשתמשים כי התצוגה המקדימה באינטרנט אינה זמינה, מנחה אותם כיצד להפעיל את מצב העריכה כדי להציג את התוכן.

כתובות ה-Url כלול הודעות דוא ל נוצר של גוגל URL קיצור שירות, הנסיבות זה איפשר לחוקרים לקבוע מספר הקורבנות שלחצו אותו.

לפי המומחים אבטחה, כל אחד מהקישורים שונים המשמשים הקמפיין הזה היה להיות נקש עשרות, מאות פעמים תוך 3-4 ימים נוצר.

ברגע שהקורבן מאפשר את מצב העריכה, הפגם CVE-2018-4878 Adobe הוא מנוצל ומבוצעת בשורת הפקודה של Windows. לאחר מכן, קובץ exe המשויך cmd [.] מוזרק עם מעטפת זדוני אשר מתחבר לתחום של ההאקר.

לאחר מכן, מעטפת מוריד קובץ dll באותו התחום, אשר תבוצע באמצעות כלי שרת Microsoft להירשם כדי לעקוף את הפתרונות whitelisting.

הטענה חוקרי אבטחה כי רק מספר מוגבל של פתרונות אבטחה בדגל את הפיתיון מסמכים כזדוניים.

Leave a Reply

Your email address will not be published. Required fields are marked *