اکسپلویت کیت جدیدی به نام Spelevo، رایانههای قربانیان خود را توسط دو تروجان بانکی آلوده میکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، اکسپلویت کیت جدیدی به نام Spelevo شناسایی شدهاست که گروه خاصی از قربانیان را هدف قرار میدهد و رایانههای آنها را توسط دو تروجان بانکی آلوده میکند. برای انجام این کار، اکسپلویت کیتها از یک سیستم مستقیم ترافیک (TDS) یا دروازهای که به یک صفحه فرود اشاره میکند، استفاده میکنند. در این صفحه فرود دستگاه قربانی مورد تحلیل قرار گرفته تا برنامههای آسیبپذیر آنها شناسایی شوند. سپس قربانیان موردنظر به اکسپلویت متناسب با آنها ارجاع دادهمیشوند.
آخرین اکسپلویتهایی که مورد استفاده تهدیدهای مبتنی بر مرورگر هستند، مربوط به آسیبپذیری CVE-۲۰۱۸-۸۱۷۴ در مرورگر Internet Explorer و آسیبپذیریهای CVE-۲۰۱۸-۱۵۹۸۲ و CVE-۲۰۱۸-۴۸۷۸ در Flash هستند.
بر اساس کشف پژوهشگران، اکسپلویت کیت Spelevo از وبسایتهای B2B استفاده میکند تا تروجانهای بانکی IceD و Dridex را منتقل کند. در صورت موجود بودن یک نسخه آسیبپذیر افزونه Adobe Flash، اکسپلویت کیت Spelevo از باگ CVE-۲۰۱۸-۱۵۹۸۲ بهرهبرداری میکند در غیر این صورت از نقص مرورگر IE (با شناسه CVE-۲۰۱۸-۸۱۷۴) سوءاستفاده میکند.
فرایند آلودهسازی با بارگذاری یک دامنه (ezylifebags[.]com[.]au) آغاز میشود که این دامنه از TDS اکسپلویت کیت میزبانی میکند. در وبسایت آلوده، یک اسکریپت دیگر در یک دامنه دوم (your-prizes-box[.]life) نیز میزبانی میشود که بهعنوان یک ردیابیکننده اضافی استفادهمیشود. این ردیاب اطمینان حاصل میکند که قربانی از طریق کانالهای مناسب به دروازه صفحه فرود متصل میشود. در ادامه اکسپلویت کیت وارد فرایند حمله میشود که این کار با یک درخواست به صفحه فرود انجاممیشود. در صفحه فرود چند سطح از عملیات جاسوسی مانند شناسایی سیستمعامل، نسخه مرور و نسخه افزونههای موجود، بهطور ویژه Adobe Flash، اتفاق میافتد. در این مرحله شناسایی آسیبپذیر بودن Flash و یا بهرهبرداری از IE بررسی میشود. پس از اتمام فرایند آلودهسازی و انتقال payload، کاربر به صفحه گوگل منتقل میشود تا متوجه عملیات مخرب نشود.
بهروزرسانی و اعمال وصلههای افزونه Adobe Flash و مرورگر Internet Explorer از راهکارهایی است که برای جلوگیری از فعالیت این اکسپلویت کیت و بدافزارهای مشابه، توصیه شدهاست.