Agora os hackers usam um novo Exploit Kit, o Fallout, para lançar este ransomware.

Além deste Exploit kit, existem domínios, regiões e payloads associados que ajudam a difundir o ransomware. Neste caso, o atacante já escolhe as vítimas; caso o perfil coincida, os users são redirecionados para uma página EK, basicamente uma sinkhole, a partir da qual existem 203 redireções.

De forma a que o antivírus não consiga detetar este malware, os atacantes persistentemente mudam a página sinkhole. A principal diferença desta campanha para outras semelhantes é que os atacantes podem usar outras variáveis para levar redirecionar os users, como por exemplo os perfis do browser ou mesmo a localização.

Engenharia social como método para devolver o malware

Os users do Mac são os casos em que se tem ouvido mais queixas, ou seja, normalmente aparece uma janela a pedir uma atualização ao Mac, dizendo que o sistema pode estar infetado com vírus. Este alerta aparece como se fosse algo legítimo, uma atualização legítima.

Fases

Primeiro, temos uma página com código VBScript embuido, que será usada para uma execução mais eficaz do payload.

Depois, esse código é decodificado, mas mantém-se em Base64 na tag "<span>", de onde carrega o código Jscript, e isto é o que fará com a página carregue vírus.

Este código VBScript decodificado tem a intenção de explorar a vulnerabilidade CVE-2018-8174, executando o shellcode, que por sua vez faz download de um payload XOR numa localização %temp%. Tanto o carregamento inicial como a execução final do payload serão feitos pelo malware que contém o código PE loader.

Para mais informações, podes consultar o seguinte link: https://www.symantec.com/security-center/writeup/2018-013106-5656-99