خلاصه: مجرمان سایبری بهتازگی از اکسپلویت جدید Fallout برای راهاندازی باجافزار GandCrab استفاده کرده و قربانیان زیادی را در سراسر جهان تحت تاثیر قرار میدهند. در سالهای اخیر، استفاده از اکسپلویتها کاهش یافته است، با این حال، اکسپلویتها بهعنوان یک تهدید قابل توجه، برای کاربرانی که از سیستمهای وصلهنشده استفاده میکنند، شناخته شده است.
مجرمان سایبری بهتازگی از اکسپلویت جدید Fallout برای راهاندازی باجافزار GandCrab استفاده کرده و قربانیان زیادی را در سراسر جهان تحت تاثیر قرار میدهند.
این کمپین در اصل کاربران در ژاپن، کره، خاورمیانه، اروپای جنوبی و دیگر کشورهای منطقهی آسیا را هدف قرار میدهد. در کنار این اکسپلویت، دامنههای اضافه و پیلودهای دیگری نیز وجود دارد که کمک میکنند تا باجافزار GandCrab بهصورت موفقیتآمیزی توزیع شود.
مهاجم در این حمله بهدقت از قربانیان برای ارسال محتوای مخرب به کاربران هدف، استفاده میکند. اگر پروفایل مطابقت داشته باشد، کاربران از یک صفحهی تبلیغی واقعی هدایت شده و درنهایت با ۳۰۲ تغییر مسیر به صفحهی فرود اکسپلویت میرسند.
مهاجمان برای جلوگیری از شناسایی بر اساس الگوها و دیگر روشها توسط IDS، بهصورت مداوم در حال تغییر صفحهی فرود اکسپلویت هستند.
صفحهی فرود Fallout ابتدا فقط شامل کدی برای یک آسیبپذیری VBScript بوده، اما کد جاسازیشدهی Flash بعدا به آن اضافه شده است. VBScript یک تابع JScript که به دیکد گام بعدی VBScript برای اکسپلویت CVE-2018-8174 میپردازد، را بارگذاری میکند و شلکدی را اجرا میکند. این شلکد، وظیفهی دانلود، رمزگشایی و اجرای یک پیلود را برعهده دارد.
فایل دانلود شده حاوی کد بارگذار فایلهای اجرایی برای بارگذاری اولیه و اجرای نهایی پیلود است. پیلود نهایی در این حمله، باجافزار Gancrab است. در این حمله، GandCrab توسط بدافزار بهصورت دستی به حافظه بارگذاری میشود.
در سالهای اخیر، اختلالات عملیات زیرزمینی منجر به کاهش استفاده از اکسپلویتها شده است، با این حال، اکسپلویتها بهعنوان یک تهدید قابل توجه، برای کاربرانی که سیستمهای وصلهنشدهای را اجرا میکنند، شناخته شده است.
