Il Fallout Exploit Kit utilizzato per distribuire Kpot v2.0 a chi utilizza versioni obsolete di Internet Explorer.
I criminali informatici stanno approfittando della crisi COVID-19 per trarre profitto da questa sfortunata situazione. Recentemente abbiamo scoperto che i criminali informatici stanno adeguando le loro campagne di malvertising per adattare le loro pubblicità dannose, rendendole pertinenti al COVID-19. I criminali acquistano spazi pubblicitari da una rete per l’advertising per visualizzare annunci pubblicitari malevoli e dirottare gli utenti verso siti Web pericolosi. Ora però stanno usando i nomi dei siti Web che sembrano ospitare informazioni relative al coronavirus e quindi danno agli operatori della rete pubblicitaria l’impressione di non essere dannosi. Questa particolare campagna di malvertising ospita un kit di exploit chiamato Fallout, che tenta di sfruttare le vulnerabilità nelle versioni obsolete di Internet Explorer, senza richiedere alcuna azione da parte dell’utente o senza che questo sia consapevole dell’installazione sul suo sistema del Kpot v2.0, utilizzato per sottrarre informazioni e password.
Il kit di exploit Fallout è in circolazione dal 2018 e solitamente ha colpito gli utenti giapponesi e sudcoreani. Il 26 marzo 2020, gli autori della campagna hanno registrato il dominio covid19onlineinfo [.] Com, e da allora hanno ruotato i domini su cui è ospitato il kit di exploit, registrando circa sei domini al giorno nel tentativo di eludere i rilevamenti antivirus.
Il malvertising è in genere ospitato su siti di streaming e di solito si apre automaticamente in una nuova scheda quando l’utente fa clic sul pulsante di riproduzione per visualizzare un video. Quando un utente con Fallout EK visita un sito che ospita il malvertising e sta usando una versione obsoleta di Internet Explorer, il kit exploit tenta di accedere al computer dell’utente. Cerca di sfruttare una vulnerabilità in Adobe Flash Player (CVE-2018-15982, correzione rilasciata a gennaio 2019), che può consentire l’esecuzione di codice arbitrario e una vulnerabilità di esecuzione remota nel motore VBScript che interessa più versioni di Windows (CVE-2018-8174 , correzione rilasciata a maggio 2018). Ciò può causare l’arresto anomalo di Internet Explorer, che è l’unica anomalia che l’utente potrebbe notare.
Il kit exploit ha precedentemente infettato computer con vari password / data strealer e trojan bancari. Ora viene distribuito il password / data strealer Kpot v2.0. Questo tenta di sottrarre informazioni di base, come il nome del computer, il nome utente di Windows, l’indirizzo IP, il software installato sul dispositivo, il GUID della macchina e altro, inviando queste informazioni a un server remoto di comando e controllo.
Successivamente il malware procede a raccogliere altre password e altri file. Secondo i ricercatori di Proofpoint che hanno analizzato il malware Kpot, possono essere inviati dal server di comando e controllo al malware i seguenti comandi:
- Ruba cookie, password e dati di compilazione automatica da Chrome
- Ruba cookie, password e dati di compilazione automatica da Firefox
- Ruba i cookie da Internet Explorer
- Ruba vari file di criptovaluta
- Ruba account Skype
- Ruba gli account di Telegram
- Ruba account Discord
- Ruba gli account Battle.net
- Ruba le password di Internet Explorer
- Ruba account Steam
- Salva uno screenshot
- Ruba account di vari client FTP
- Ruba varie credenziali di Windows
- Ruba vari account cliente Jabber
- Si autoelimina
A partire dal 14 aprile 2020, Avast ha impedito 178.814 tentativi di attacco contro 96.278 utenti in tutto il mondo. Di seguito è riportato un grafico dei principali paesi interessati.
Come proteggersi:
Gli utenti dovrebbero avere un software antivirus installato, che fungerà da rete di sicurezza, rilevando e prevenendo attacchi dannosi come questo.
Aggiornare costantemente i software, browser e sistemi operativi. Gli aggiornamenti sono importanti in quanto non solo forniscono nuove funzionalità, ma possono includere patch di sicurezza per correggere le vulnerabilità che potrebbero essere violate.
Disabilitare Flash, a meno che non sia strettamente necessario. Flash non è infatti più utilizzato da molti siti Web, ma i criminali informatici continuano sfruttarne le vulnerabilità
Abilitare la nuova funzione di protezione password di Avast, che si trova nella sezione Privacy di Avast Premium. Avast Password Protection avvisa se un programma sta tentando di accedere a password salvate in Chrome o Firefox.
Lascia un commento