Tras la caída de Angler y Nuclear, dos
de los más conocidos kits de explotación de los últimos tiempos, se ha
percibido una disminución del uso de este tipo de herramientas. A pesar de
esto, todavía siguen apareciendo campañas de malvertising que utilizan este
tipo de artillería para comprometer la seguridad de tantos equipos como sea
posible.
Recientemente se han detectado dos
kits utilizados en campañas de malvertising cuyo objetivo es implantar malware
de minado de criptomonedas en los equipos infectados.
Se trata de Disdain y Neptune Exploit
Kit (antiguamente "Terror Exploit Kit"). Ambos utilizan
vulnerabilidades contra las aplicaciones más habituales en este tipo de
ataques: Internet Explorer y Adobe Flash.
Estos kits se "alquilan" en
el mercado negro por tarifas que oscilan entre los 80 y los 600 dólares al día.
El método utilizado por los atacantes
consiste en redirigir a las víctimas desde una publicidad maliciosa a una
landing que aloja el kit que intentará infectar a las víctimas.
Vulnerabilidades explotadas
Neptune explota las siguientes
vulnerabilidades:
- CVE-2014-6332 (MS Windows Server 2003, Vista, Server 2008, 7, 8, 8.1, Server 2012)
- CVE-2015-2419 (JScript 9 en Microsoft Internet Explorer 10 y 11)
- CVE-2015-6086 (Microsoft Internet Explorer 9, 10 y 11)
- CVE-2015-7645 (Adobe Flash Player 18.x hasta 18.0.0.252 y 19.x hasta 19.0.0.207 en Windows)
- CVE-2016-0034 (Microsoft Silverlight 5)
- CVE-2016-0189 (Microsoft JScript 5.8, VBScript 5.7 y 5.8)
- CVE-2016-4117 (Adobe Flash Player 21.0.0.226 y anteriores)
- CVE-2016-7200 (Motor de JavaScript Chakra en Microsoft Edge)
- CVE-2016-7201 (Motor de JavaScript Chakra en Microsoft Edge)
- CVE-2017-0037 (Microsoft Internet Explorer 11 y Microsoft Edge)
- CVE-2017-2995 (Adobe Flash Player 24.0.0.194 y anteriores)
- CVE-2017-3289 (Java SE 7u121, Java SE 8u111, Java SE 8u112)
- CVE-2017-3823 (Cisco WebEx browser)
Disdain por su parte utiliza las
siguientes vulnerabilidades:
- CVE-2016-0189 (Internet Explorer 9)
- CVE-2015-2419 (Internet Explorer 10 y 11)
- CVE-2013-2551 (Internet Explorer 6, 7, 8, 9 y 10)
- CVE-2017-0037 (Internet Explorer 10 y 11)
- CVE-2017-0059 (Internet Explorer 9, 10 y 11)
Recomendación
Estas vulnerabilidades se encuentran
parcheadas por lo que se recomienda actualizar a las últimas versiones
disponibles.
Más información:
- Informe de FireEye sobre Neptune https://www.fireeye.com/blog/threat-research/2017/08/neptune-exploit-kit-malvertising.html
- IOCs de Disdain https://paladionitsecurity-my.sharepoint.com/personal/souti_dutta_paladion_net/_layouts/15/WopiFrame.aspx?docid=08fddc7f266bf43e7bce4177648ba0983&authkey=AXO8XWwhi5bWjd4c9WXm9mQ&action=view
- Publicación de Trend Micro sobre Disdain http://blog.trendmicro.com/trendlabs-security-intelligence/new-disdain-exploit-kit-detected-wild/
- Fuente: Hispasec.com