هشدارهای افتایی
اکسپلویت کیت جدیدی با نام Spelevo شناسایی شده است که گروه خاصی از قربانیان را  هدف قرار می‌دهد و رایانه‌های آن‌ها را توسط دو تروجان بانکی آلوده می‌کند. برای انجام این کار، اکسپلویت کیت‌ها از یک سیستم مستقیم ترافیک (TDS) یا دروازه‌ای که به یک صفحه فرود اشاره می‌کند، استفاده می‌کنند. در این صفحه فرود دستگاه قربانی مورد تحلیل قرار گرفته تا برنامه‌های آسیب‌پذیر آن‌ها شناسایی شوند. سپس قربانیان مورد نظر، به اکسپلویت متناسب با آن‌ها ارجاع داده می‌شوند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی BleepingComputer، آخرین اکسپلویت‎هایی که مورد استفاده تهدیدهای مبتنی بر مرورگر هستند، مربوط به آسیب‌پذیری CVE-2018-8174 در مرورگر Internet Explorer و آسیب‌پذیری‌های CVE-2018-15982 و CVE-2018-4878 در Flash هستند.
بر اساس کشف پژوهشگران، اکسپلویت کیت Spelevo از وب‌سایت‌های B2B استفاده می‌کند تا تروجان‌های بانکی IceD و Dridex را منتقل کند. در صورت موجود بودن یک نسخه آسیب‌پذیر افزونه Adobe Flash، اکسپلویت کیت Spelevo از باگ CVE-2018-15982 بهره‌برداری می‌کند، در غیر این صورت از نقص مرورگر IE (با شناسه CVE-2018-8174) سوء استفاده می‌کند.
فرایند آلوده‌سازی با بارگذاری یک دامنه (ezylifebags[.]com[.]au) آغاز می‌شود که این دامنه از TDS اکسپلویت کیت میزبانی می‌کند. در وب‌سایت آلوده، یک اسکریپت دیگر در یک دامنه دوم (your-prizes-box[.]life) نیز میزبانی می‌شود که به عنوان یک ردیابی‌کننده اضافی استفاده می‌شود. این ردیاب اطمینان حاصل می‌کند که قربانی از طریق کانال‌های مناسب به دروازه صفحه فرود متصل می‌شود. در ادامه اکسپلویت کیت وارد فرایند حمله می‌شود که این کار با یک درخواست به صفحه فرود انجام می‌شود. در صفحه فرود چند سطح از عملیات جاسوسی مانند شناسایی سیستم‌عامل، نسخه مرور و نسخه افزونه‌های موجود، به طور ویژه Adobe Flash، اتفاق می‌افتد. در این مرحله شناسایی آسیب‌پذیر بودن Flash و یا بهره‌برداری از IE بررسی می‌شود. پس از اتمام فرایند آلوده‌سازی و انتقال payload، کاربر به صفحه گوگل منتقل می‌شود تا متوجه عملیات مخرب نشود.
به‌روزرسانی و اعمال وصله‌های افزونه Adobe Flash و مرورگر Internet Explorer از راهکارهایی است که برای جلوگیری از فعالیت این اکسپلویت کیت و بدافزارهای مشابه، توصیه شده است.

نشانه‌های آلودگی (IoC):
دامنه‌ها:
•    open[.]nylonsneak[.]top
•    hailey[.]nylonsneak[.]top
•    goddess[.]nylontruth[.]top
•    calientes[.]nylontruth[.]top
•    clasica[.]santarough[.]top
•    famili[.]clearnubile[.]top
•    colombia[.]clearnubile[.]top
•    swallowing[.]flavorideal[.]top
•    diary[.]motoribyron[.]top
•    bologna[.]vediocorset[.]top
•    54[.]armlessdance[.]top
•    perv[.]armlessdance[.]top
•    homosexual[.]armlessdance[.]top
•    clara[.]awesomeablam[.]top
•    different[.]beestkilroys[.]top
•    race[.]belarusapple[.]top
•    charmane[.]belarusapple[.]top
•    katsumi[.]carmanexteme[.]top
•    bww[.]cosbyfunnies[.]top
•    arnold[.]cosbyfunnies[.]top
•    vodeos[.]galeriebeths[.]top
•    veronica[.]galeriebeths[.]top
•    lithuania[.]galeriebeths[.]top
•    get[.]guerradanger[.]top
•    name[.]preitymutter[.]top
•    the[.]sandeerugrat[.]top
•    marge[.]sandeerugrat[.]top
•    emule[.]unicornbrune[.]top
•    candye[.]brunetbebitas[.]top
•    adora[.]dailysexpress[.]top
•    famose[.]dailysexpress[.]top
•    trailery[.]dailysexpress[.]top
•    mulatas[.]damitahustler[.]top
•    chaild[.]denizprivatne[.]top
•    combustion[.]denizprivatne[.]top
•    talent[.]denudaskalani[.]top
•    abu[.]fightingsatan[.]top
•    anziane[.]fightingsatan[.]top
•    world[.]italyalemanes[.]top
•    converted[.]minorikeibler[.]top
•    beastyality[.]minorikeibler[.]top
•    gore[.]natachafetish[.]top
•    binary[.]playingactive[.]top
•    tes[.]satanicenanos[.]top
•    window[.]aphroditedrink[.]top
•    breitny[.]barbiereallity[.]top
•    dyre[.]bloggerlolicon[.]top
•    filmmaking[.]bloggerlolicon[.]top
•    asturias[.]freakylanguage[.]top
•    delco[.]graffitoandnot[.]top
•    tanto[.]ingyenesrusian[.]top
•    punker[.]militarymagyar[.]top
•    break[.]periodherstory[.]top
•    chantelle[.]periodherstory[.]top
•    tes[.]teannapostales[.]top
•    absolutely[.]caballerosricky[.]top
•    pete[.]clothedcalcutta[.]top
•    foley[.]clothedcalcutta[.]top
•    natural[.]fantasygisselle[.]top
•    copii[.]gratuitekrystal[.]top
•    bailey[.]gratuitekrystal[.]top
•    dating[.]leilanihardcord[.]top
•    powerpuff[.]mancicdreadlock[.]top
•    adina[.]teasingfreehome[.]top
•    animay[.]tranniefotologs[.]top
•    qwerty[.]virusemoticonos[.]top
•    erotic[.]bridgettepromise[.]top
•    socal[.]carmellanightelf[.]top
•    ameuter[.]carmellanightelf[.]top
•    high[.]cartoonseverinin[.]top
•    sample[.]cartoonseverinin[.]top
•    groups[.]chabertcigarette[.]top
•    book[.]emblemliterotica[.]top
•    diary[.]ghanaiansorority[.]top
•    taylors[.]ghanaiansorority[.]top
•    spit[.]natashayoungster[.]top
آی‌پی:
•    95.211.5[.]242

منابع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.