IE kihasználja a PlugX malware terjesztését, a kutatók szerint

Az AlienVault biztonsági gyártójának kutatói azonosították a nemrégiben felfedezett Internet Explorer exploit egy változatát, amely a célzott számítógépek fertőzésére szolgál a PlugX távoli hozzáférési trójai programmal.

Az újonnan felfedezett exploit változat az IE 6, 7, 8 és 9 ugyanazt a sebezhetőségét célozza meg, mint az eredeti exploit, de egy kissé eltérő kódot használ, és eltérő terheléssel rendelkezik. A blogban a kedden van AlienVault Labs menedzser, Jaime Blasco.

Az első kihasználást a hétvégén egy ismert rosszindulatú kiszolgálón találták meg a biztonsági kutató Eric Romang, és elosztotta a Poison Ivy RAT-ot. Az AlienVault kutatói által felfedezett második exploit verziót egy másik kiszolgálón találta meg, és telepít egy sokkal újabb RAT programot PlugX néven.

[További olvasás: Hogyan távolítsunk el rosszindulatú programokat Windows számítógépről]

Azonban a fájlt módosító dátumok láthatók mindkét kiszolgáló azt sugallja, hogy a kizsákmányolás mindkét verziója legalább szeptember 14 óta használatban van.

"Tudjuk, hogy a Flowershow nevű, PlugX nevű rosszindulatú programot aktívan használó csoport hozzáférhetett az Internet Explorer ZeroDay-hez [kihasználva a nem letöltött biztonsági rést] nappal azelőtt, hogy felfedezték - mondta Blasco. "Az újonnan felfedezett kizsákmányolási kódok és az egy nappal ezelőtt felfedezett hasonlóságok miatt nagyon valószínű, hogy ugyanaz a csoport mindkét példány mögött van."

Az AlienVault kutatói a PlugX RAT-ot használó támadások nyomon követése óta idén. A rosszindulatú programok belsejében talált fájl-hibakeresési útvonalak alapján úgy vélik, hogy a viszonylag új RAT-ot egy WHG néven ismert kínai hacker fejlesztette ki, aki korábbi kapcsolatai voltak a Network Crack Program Hacker (NCPH) nevű ismert hacker csoporttal.

Az AlienVault kutatói két további weboldalt is azonosítottak, amelyek a múltban az új IE-kihasználást szolgálták, de nem kaptak terhelést, közölte Blasco. Az egyik egy védelmi hírportál volt Indiából, a másik valószínűleg egy hamis változat a 2. Nemzetközi LED professzionális szimpózium weboldalán, mondta.

"Úgy tűnik, hogy a srácok a 0 nap múlásával speciális iparágakat céloztak meg" - közölte Blasco.

Az a kiszolgáló, ahol az eredeti IE kihasználja a hibát azt is találták, hogy a múlt hónapban kizsákmányolták a javítás nélküli Java-sérülékenységet. Ezt a Java-támadást a biztonsági kutatók által a "Nitro" nevű kínai hackercsoportnak tulajdonított támadásokban használták.

A Microsoft már kiadott egy biztonsági tanácsadást az új IE sebezhetőségről és az ajánlott ideiglenes enyhítő megoldásokról, miközben egy javításon dolgozik.