ProMediads Malvertising und Sundown-Pirate Exploit Kit als neue Kombo

Originalartikel von Joseph C Chen, Fraud Researcher

Die Trend Micro-Sicherheitsforscher haben über eine Malvertising-Kampagne namens „ProMediads” ein neues Exploit Kit entdeckt. Der Name Sundown-Pirate erinnert daran, dass es sich dabei um eine Raubkopie des Vorgängers handelt. ProMediads war zum ersten Mal Anfang 2016 aktiv und nutzte damals Rig und Sundown Exploit Kits für die Auslieferung von Schadsoftware. Die Aktivitäten hörten Mitte Februar dieses Jahres auf und stiegen am 16. Juni via Rig wieder an. Eine Woche später jedoch tauschte ProMediads Rig gegen Sundown-Pirate aus. Es fällt auf, dass Sundown-Pirate bislang nur von ProMediads eingesetzt wird. Dies deutet darauf hin, dass es sich um ein weiteres privates Exploit Kit handelt, wie beim ähnlich aufgemachten GreenFlash Sundown Exploit Kit, das exklusiv in der ShadowGate-Kampagne zum Einsatz kam.

Die Analyse und das Monitoring zeigten, dass Sundown-Pirate Code von seinen Vorgängern Hunter und Terror ausgeliehen hatte. Auch ist die JavaScript-Tarnung der von Sundown sehr ähnlich. Gemeinsam mit dem Experten kafeine entdeckten die Trend Micro-Forscher, dass das ProMediads Panel einen Login-Prompt mit „PirateAds – Avalanche Group” hat.

Bild 1: ProMediads Backend Panel

Bild 2:Beispiel eines ProMediads Malvertisement

ProMediads mögliche Opfer werden an Sundown-Pirate umgeleitet, das verschiedene Schadsoftware auf die betroffene Maschine ablegt: Information Stealing Botnet Infector, Point-of-Sale (PoS) Malware, Kryptowährungs-Mining-Software und schließlich auch die StampadoRansomware (RANSOM_STAMPADO.K). Weitere Einzelheiten gibt es im Originalbeitrag.

Alter Wein in neuen Schläuchen?

Sundown-Pirate nutzt drei Internet Explorer Exploits und einen in Flash:

Je mehr Sicherheitslücken öffentlich gemacht werden, desto schneller werden sie gepatcht und desto seltener sind diese Exploits erfolgreich. Dies zeigt auch der kürzlich erfolgte Rückgang von Exploit Kits.

Außerdem funktionieren diese Exploits nicht in Chrome und Firefox. Flash-Inhalte sind in diesen Browsern standardmäßig deaktiviert, und auch wenn Flash aktiv ist, so entdeckt deren Sicherheitsmechanismus bösartigen Inhalt, etwa Firefox Web Application Program Interfaces (APIs) und Protected Mode und Chromes Sandbox.

Mehr denn je heben Exploit Kits die Bedeutung der stetigen Aktualisierung der Systeme hervor. Systeme und Netzwerke, die über Sicherheitslücken angreifbar sind, öffnen Bedrohungsakteuren eine größere Angriffsfläche.

Sicherheits- und IT-Administratoren sollten zusätzliche Sicherheitsschichten einbauen. Firewalls, Intrusion Detection and Prevention-Systeme, Virtual Patching, URL-Kategorisierung und Durchsetzen von Patch Management-Policies gehören zu den Best Practices gegen Angriffe, die Sicherheitslücken ausnützen.

Trend Micro-Lösungen

Unternehmen können eine mehrschichtige Verteidigung aufbauen, um das Risiko möglichst gering zu halten. Trend Micro™ Smart Protection for Endpoints mit XGen™ Security kombiniert Machine Learning-Technologien mit einer Reihe von Schutztechniken, um alle Sicherheitslücken auf jeglichen Endpunkten zu schließen und so den bestmöglichen Schutz vor fortgeschrittenen Angriffen zu liefern. Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Email Gateway-Sicherheit. Der Endpoint-Schutz der Lösung liefert auch Fähigkeiten wie Verhaltens-Monitoring oder Echtzeit-Webreputationsdienste, um Ransomware zu erkennen und zu blocken.

 

Indicators of Compromise (IoCs):

Domain/IP-Adressen in Verbindung mit Sundown-Pirate:

  • 7wu93ksh29qpl70nas0[.]win
  • 178[.]159[.]36[.]91

SmokeLoader C&C Domains:

  • livespirit[.]at
  • springhate[.]at

LockPOS C&C Domain:

  • p00l[.]livespirit[.]at

Domain in Verbindung mit ProMediads:

  • multiplus[.]site

Related Hashes (SHA-256):

  • 4199d766cee6014fd7a9a987b4ccea3f8d0ed0fba808de08b76cda71e40886b5 (TROJ_SMOKELOAD.A)
  • f569172166a19c06b3efa1f75d02b143539cd63a53d67bc066d28f8fd553ba8e (TSPY_ZYKLON.C)
  • 3fa54156ae496a40298668911e243c3b7896e42fe2f83bc68e96ccf0c6d59e72 (BKDR_LOCKPOS.A)
  • 931092a92ffaa492586495db9ab62dd011ce2b6286e31e322496f72687c2b4ef (HKTL_COINMINER)
  • 109e89148945d792620f4fc4f75e6a1901ba96cc017ffd6b3b67429d84e29a3c (Ransom_STAMPADO.K)

Zusätzliche Analysen von Chaoying Liu

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*