Campanha de malvertising mira usuários do Internet Explorer para roubar informações

0
0

Essas pessoas mal intencionadas compram espaços em uma rede de anúncios para exibir malvertising (anúncios maliciosos), em sites. Agora, os cibercriminosos estão usando nomes de sites que parecem hospedar informações relacionadas ao coronavírus e, portanto, dando às operadoras de rede de publicidade a impressão de que não são informações maliciosas.

A campanha de publicidade mal intencionada hospeda um kit de exploração chamado Fallout, que tenta explorar as vulnerabilidades nas versões mais antigas do Internet Explorer, sem uma ação do usuário ou conhecimento de que algo está acontecendo, para instalar o Kpot v2.0, um ladrão de informações e senhas.

O kit de exploração Fallout existe desde 2018 e, na maior parte, tem como alvo usuários japoneses e sul-coreanos. Em 26 de março de 2020, as pessoas mal-intencionadas por trás da campanha registraram o domínio covid19onlineinfo[.]com e, desde então, alternaram os domínios nos quais o kit de exploração está hospedado, registrando cerca de seis domínios por dia, na tentativa de evitar detecções de antivírus.

O malvertising geralmente é hospedado em sites de streaming e aberto automaticamente em uma nova guia, quando o usuário clica no botão de reprodução para visualizar um vídeo. Quando um usuário com o Fallout EK visita um site que hospeda o malvertising e atende aos critérios de uso de uma versão desatualizada do Internet Explorer, o kit de exploração tenta obter acesso ao computador da vítima.

Ele tenta explorar uma vulnerabilidade no Adobe Flash Player (CVE-2018-15982, correção lançada em janeiro de 2019), que pode levar à execução arbitrária do código e uma vulnerabilidade de execução remota no mecanismo VBScript que afeta várias versões do Windows (CVE-2018-8174, correção lançada em maio de 2018). Isso pode causar uma falha no Internet Explorer, que é o único sinal de alerta que o usuário pode perceber.

Anteriormente, o kit de exploração infectou computadores com diversos ladrões de senhas e de informações sigilosas, e trojans bancários. Agora, ladrões de senhas e de informações sigilosas Kpot v2.0 estão sendo distribuídos. Ele tenta roubar dados básicos, como nome do computador, nome de usuário, endereço IP do Windows, software instalado no dispositivo, GUID da máquina e muito mais, enviando essas informações para um servidor de comando e controle.

Dessa forma, o malware passa a roubar senhas e outros arquivos. De acordo com os pesquisadores da `Proofpoint, que analisaram o malware Kpot, os seguintes comandos podem ser enviados pelo servidor de comando e controle ao malware:

Roubar cookies, senhas e dados de preenchimento automático do Chrome

Roubar cookies, senhas e dados de preenchimento automático do Firefox

Roubar cookies do Internet Explorer

Roubar vários arquivos de criptomoeda

Roubar contas do Skype

Roubar contas do Telegram

Roubar contas do Discord

Roubar contas Battle.net

Roubar senhas do Internet Explorer

Roubar contas do Steam

Tirar uma captura da tela

Roubar várias contas de clientes FTP

Roubar várias credenciais do Windows

Roubar várias contas de clientes Jabber

Auto remoção

Em 14 de abril de 2020, a Avast impediu 178.814 tentativas de ataques, visando 96.278 usuários em todo o mundo. Abaixo estão os principais países afetados.

PaísTentativas de Ataques BloqueadosNúmeros de usuários alvo 
Canadá37.34212.496
Estados Unidos30.00113.930
Japão17.3068.438
Espanha15.4849.609
Itália10.4946.648
Austrália6.2222.780
Brasil5.8334.051
França5.8134.183
Turquia3.9002.568
Alemanha3.3312.452
Fonte: Avast

Deixe seu comentário