Home / Tin Tức / Europol 4 được phân phối như một BỎ cài đặt qua Cụ khai Thác

Europol 4 được phân phối như một BỎ cài đặt qua Cụ khai Thác

Brad Duncan, một nhà nghiên cứu an ninh cho Rack và một hội thảo Xử lý, đã đăng mới TRÌNH Xử lý mục nhật Ký trên làm thế nào Europol 4.0 đã bắt đầu phân phối qua khai thác bộ dụng cụ. Trong một thời gian, Brad đã được sau một nhóm tội phạm được gọi là “BizCN cổng diễn viên” và làm thế nào họ đã sử dụng khai thác bộ dụng cụ để phân phối độc hại. Brad cuộc gọi này nhóm các BizCN cổng diễn viên bởi vì họ sử dụng những Bizcn.com đăng ký để đăng ký lĩnh cho tất cả các cổng. Một ngõ là chủ nhà mà ngồi giữa một tấn công trang web và khai thác bộ trang đích. Trên 11/20/2015, Brad nhận thấy rằng các BizCN cổng diễn viên đã chuyển từ đẩy Europol 3.0 mới Europol 4.0 phiên bản.

Các bộ khai thác đó hiện đang được sử dụng bởi nhóm này là Hạt nhân Bộ khai Thác, đó có thể được sử dụng để khai thác lỗ hổng trong chương trình mà bao gồm Flash, Đây KHÔNG cơ bản, và Internet Explorer. Những công cụ khai thác được cài đặt trên tấn công các trang web, mà chuyển hướng một nạn nhân dùng thông qua một cửa ngõ để khai thác bộ trang đích. Trang đích này sẽ sau đó cố gắng để khai thác một lỗ hổng, và nếu thành công, cung cấp một phần mềm độc hại trọng mà có được cài vào máy tính của nạn nhân. Brad nói trong nhật ký của ông rằng dù khác độc hại được cài đặt như một tải trọng từ nhóm này, phổ biến nhất độc hại dường như là Europol.

Một sự thay đổi với làm thế nào Europol 4.0 đang được phân phối là sử dụng một BỎ cài đặt để cài đặt Europol trên máy tính. Trong mẫu của Brad trang web malware-traffic-analysis.net các BỎ cài đặt bao gồm một số dữ liệu được mã hóa được gọi là các tập tin và MuskegCommuneKinesthesia suppress.navigation.xml và một VẤN gọi là skiplanes.dll. Các BỎ kịch bản cho thấy rằng các cài đặt được sử dụng này đi kèm VẤN và đi cùng các lập luận để cài đặt Europol như dưới đây.
 

Tôi không có nhiều kinh nghiệm với BỎ cài đặt, nhưng từ những gì tôi đã tập hợp các kịch bản là sự kêu gọi sự Rò rỉ chức năng cùng với một loạt các thông số. Các thông số bao gồm các tập tin dữ liệu tên của MuskegCommuneKinesthesia và các đường dẫn đến suppress.navigation.xml. Nếu tôi sẽ gây nguy hiểm đoán, chức năng này được sử dụng để giải mã các nội dung của suppress.navigation.xml đó là một thực thi mà là sau đó tiêm để cài đặt Europol 4.0. Nếu có bất cứ ai là người nhiều kinh nghiệm hơn với BỎ kịch bản và có thể phức tạp hơn nữa, xin vui lòng cho chúng tôi biết.

Nếu bất cứ tiếp tục phát hiện được thông tin về các loại BỎ cài đặt, tôi chắc chắn sẽ đăng nó.

About phanmemcrackaz

Check Also

BleepingComputer Bọn thứ Bán: 25% tất Cả các Khóa học trực Tuyến

Nó là Bọn thứ ở BleepingComputer và chúng tôi có 25% tất cả các khóa ...