Fuente de Imagen

 Los investigadores de seguridad han seguido la actividad que rodea el infame kit Rig Rig. En estas campañas, los atacantes están comprometiendo sitios web para inyectar un script malicioso que redirige a las posibles víctimas a la página de inicio del EK. Este escenario de ataque cambió ligeramente en marzo del año pasado cuando se detectó a Rig en la llamada campaña transparente donde se agregó otra capa antes de aterrizar en la página del kit de explotación. 

 Además de las actualizaciones de código, los investigadores de seguridad han observado que Rig implementa una carga menor como la criptomoneda final de la operación. Según Trend Micro, los operadores de Rig ahora han agregado una vulnerabilidad particular a su arsenal para explotar: CVE-2018-8174. Este defecto es el tipo de ejecución remota y se ha informado que se explota activamente. La vulnerabilidad afecta a los sistemas que ejecutan Windows 7 y posterior, y utiliza documentos de Internet Explorer y Microsoft Office utilizando el motor de secuencias de comandos vulnerables. 

 

CVE-2018-8174 Descripción oficial

Existe una vulnerabilidad de ejecución remota de código en la forma en que el motor de VBScript procesa objetos en la memoria. La vulnerabilidad podría dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual. Un atacante que explotara con éxito esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual inicia sesión con derechos de administrador, un atacante que aprovechara esta vulnerabilidad podría tomar el control de un sistema afectado. Un atacante podría luego instalar programas; ver, cambiar o eliminar datos; o crea nuevas cuentas con todos los privilegios.

 Las campañas de EK Rig no son sorprendentes en absoluto, teniendo en cuenta que el paisaje de EK ha cambiado drásticamente con el fracaso de algunos de los kits de exploits más grandes. Por lo tanto, Rig se ha convertido en el más extendido, utilizando una variedad de vulnerabilidades, antiguas y nuevas. Una de las viejas fallas usadas por los operadores de Rig es CVE-2015-8651, una antigua ejecución de código de vulnerabilidad en Adobe Flash que otros kits de exploits también usan. 

¿Qué ha estado haciendo Rig Operators EK últimamente?

Para la campaña CVE-2018-8174, desplegado malvertisements tener un iframe oculto que redirige las víctimas a la página de destino de la plataforma, que incluye un exploit para CVE-2018-8174 y código shell, Trend Micro escribió. Este escenario permite la ejecución remota de código posible a través de la ejecución del shellcode en la página de destino oscurecida. Después de una explotación exitosa, se recupera un descargador de segunda etapa, que probablemente sea una variante de SmokeLoader debido a la URL. El último paso es la descarga de la carga final, un Monero menor. 

 ¿Cómo protegerse contra Exploit Kits, menores y malware crypto-currency?
Dado que se sabe que EKS trae una variedad de amenazas a las víctimas, la protección debe ser una prioridad. Rig EK ha utilizado vulnerabilidades en sus campañas, lo que significa que esta aplicación rápida de parches debería ser la regla general. Aquí hay algunos otros consejos útiles para mejorar la protección contra tales ataques:

• copia de seguridad virtual para parchar sistemas y redes existentes;
• Habilitar e implementar firewalls y detección de intrusos y sistemas de prevención;
• Usar el control de aplicaciones para mitigar el acceso y privilegios no autorizados;
• Limitar o deshabilitar el uso de complementos innecesarios u obsoletos, extensiones o aplicaciones que se pueden usar como puntos de entrada.

Para los usuarios domésticos, también se recomienda el uso de protección antimalware. 

FUENTE 

ACTUALIZAR URGENTEMENTE NO VISITAR ENLACES EXTRAÑOS Y TENER MUCHO JUICIO CUANDO NAVEGAMOS EN INTERNET