FireEye于8月底发现了一个新的漏洞利用工具包（EK），它是针对日本、韩国、中东、南欧和亚太地区其他国家用户的恶意攻击活动的一部分。

第一次活动是在2018年8月24日，域名finalcountdown上进行的。东京的研究人员“nao_sec”在8月29日发现了这个活动的一个实例，他们在自己的博客文章中称这个漏洞工具包为Fallout Exploit Kit。FireEye观察了与活动相关的其他区域和有效负载。除了在日本发行的SmokeLoader之外，他们还观察到GandCrab 勒索软件正在中东地区发行。

如果用户配置文件与工具包感兴趣的目标匹配，那么Fallout EK将复刻用户浏览器配置文件并传送恶意内容。如果成功匹配，则会将用户从真正的广告客户页面（通过多个302重定向）重定向到漏洞利用工具包着陆页网址。从合法域，缓冲域，然后到漏洞利用工具包登陆页面的完整链如图1所示。

主广告页面会在加载广告时预取缓冲区域链接，浏览器中禁用JavaScript时，则使用<noscript>标记加载单独的链接。

根据浏览器/OS配置文件和用户位置的不同，malvertisement要么提供漏洞工具包，要么尝试将用户重新路由到其他社会工程活动。例如，在美国的macOS系统中，malvertising将用户重定向到社会工程尝试。

这个策略与FireEye一段时间以来观察到的社交工程尝试的起源是一致的，攻击者使用它们来定位完全修补系统或那些不适合进行漏洞攻击的操作系统/软件配置文件。在北美的许多社会工程活动中，恶意重定向同样被严重滥用。

如果攻击成功，用户的计算机将会下载安装木马程序，然后木马将寻找下一个进程，如果找，则进入无限循环但不执行进步恶意活动。否则，它将下载并执行安装GandCrab 勒索软件的应用程序扩展。当GandCrab感染计算机时，它会把.KRAB扩展名附加到加密文件中，并留下一张名为krabi - decrypt .txt的赎金条。

近年来，各方对地下行动的严格逮捕和持之以恒地破坏导致漏洞利用工具包活动频度急剧下降。但是，漏洞利用工具包仍然对未运行完全修补系统的用户构成了重大威胁。如今，亚太地区出现漏洞利用工具包活动的频率越发频繁，突进用户往往拥有更多易受攻击的软件。与此同时，在北美，重点往往是更直接的社会工程活动。建议普通用户为了保护设备免受Fallout漏洞利用工具包的影响，应及时安装最新的Windows安全更新，久不更新的程序最好摒弃以防其成为攻击的通道。

扫一扫或点击进入“上海奥航智能科技有限公司”官网：www.aohsmart.com                                扫一扫或点击进入“中国移动安全信息网”：cn-mobi.com              

免责声明：本文仅代表作者个人观点，与www.smart-alliance.com网站无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。