Das neue Exploit Kit Neutrino

Originalartikel von Anthony Joe Melgarejo, Threat Response Engineer

Nach dem berüchtigten WhiteHole Exploit Kit, das immer wieder mit Angriffen auf Java-Schwachstellen von sich reden gemacht hat, ist nun ein weiteres Exploit Kit namens „Neutrino“ im cyberkriminellen Untergrund aufgetaucht.



Das als JAVA_EXPLOYT.NEU identifizierte Kit nutzt die folgenden Lücken in Java 7 Update 11 oder früheren Versionen aus:

Bei Erfolg lädt das Kit eine Ransomware-Variante oder TROJ_RANSOM.NTW herunter. Üblicherweise sperrt eine Ransomware den Computer eines Nutzers so lange, bis dieser ein bestimmtes “Lösegeld” zahlt. Weitere Informationen zu dieser Art Schadsoftware enthält das Forschungspapier Police Ransomware Update.

Die in CVE-2013-0431 behandelten Schwachstellen wurden auch in einer Spam-Kampagne (die vorgab, von PayPal zu kommen) des Blackhole Exploit Kits ausgenützt. Oracle hatte ein außerplanmäßiges Update für die Lücke veröffentlicht. CVE-2012-1723 wiederum nutzte sowohl das Blackhole Exploit Kit als auch das WhiteHole Kit aus.

Neutrinos Funktionalität

Die Kriminellen hinter dem Neutrino-Toolkit heben folgende Fähigkeiten hervor:

  • Ein nutzerfreundliches Bedienfeldl
  • Einfache Verwaltung von Domänen und IP (als Gegenmittel zu AV-Software)
  • Ständige Überwachung des AV-Status
  • Filtern des Verkehrs
  • Stehlen von Systeminformationen über Browser Plugin-Detektoren
  • Verschlüsseln der gestohlenen Informationen und Weiterleiten an den Server
  • Filtern der zu sendenden Informationen
  • Exploit-Empfehlungen
  • Benachrichtigungen über Schwachstellen-Unterstützung, Exploit Codes und Payloads

Einem Untergrundforum zufolge bieten die Neutrino-Hintermänner auch Server-Wartungsdienstleistungen zur Miete an, die pro Tag 40 Dollar und pro Monat 450 Dollar kosten sollen. Laut Max Goncharov, Senior Threats Researcher, kauften die Täter seit 2012 iframe-Verkehr, um Geld zu verdienen, und könnten nun ihr eigenes Toolkit gebaut haben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*