Bitdefender Labs pubblica oggi una ricerca su una nuova campagna basata sull’exploit kit RIG che sfrutta le vulnerabilità VBScript CVE-2019-0752 e CVE-2018-8174 nei browser Internet Explorer senza patch. La campagna è iniziata nel febbraio 2021 ed è ancora in corso.
La dinamica è molto semplice: gli utenti visitano un sito web legittimo sul quale è presente un annuncio pubblicitario pericoloso: se l’utente clicca sopra infatti, il falso annuncio pubblicitario ridireziona alla pagina di destinazione di "RIG EK". Quella pagina attiva poi due exploit e, se uno ha successo, esegue una nuova variante del malware WastedLocker (senza la funzionalità ransomware). Essenzialmente, si tratta di un programma che comunica con un server Comand & Control (C&C) separato e può distribuire qualsiasi paylod nella memoria. Bitdefender lo ha nominato "WastedLoader".
Come fanno questi annunci dannosi a raggiungere su siti web legittimi? “Di solito, gli annunci pubblicitari dannosi vengono acquistati attraverso piccole agenzie pubblicitarie che consegnano gli annunci ad agenzie pubblicitarie più grandi che, a loro volta, li distribuiscono ai siti web. Questi annunci tentano di caricare un codice dannoso per mandare in blocco il browser e caricare il codice pericoloso. Questo processo è definito malvertising (dall’unione di malicious e advertising)”. Spiega Bogdan Botezatu, Director of Threat Research and Reporting di Bitdefender.
La maggior parte degli attacchi di questa campagna si sono verificati in America e in Europa, dove tra i Pesi più colpiti annoveriamo Italia, Spagna, Francia e Romania. Le analisi di Bitdefender hanno ricostruito la kill-chain e raccolto tutti gli strumenti utilizzati in questo attacco.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
BitCity.it iscriviti alla nostra
Newsletter gratuita.