Bi Zone ha affermato che l’Istituto di ricerca per tutta la russa ha fornito lo sfruttamento della paperpacewalph a luglio e agosto attraverso l’archivio collegato all’Emel sotto mentite spoglie. L’obiettivo finale era l’installazione di malware che dà accesso al paperwirlf infetto nel sistema infetto.
Sebbene le invenzioni di ESET e Bi.zone fossero distinte l’una dall’altra, non è noto se le debolezze usate per allegare o acquisire la conoscenza dalla stessa fonte. Bijon presumeva che il wavelf di carta potesse raccogliere debolezze in un forum criminale del mercato oscuro.
L’ESET afferma che gli attacchi che ha osservato hanno seguito tre esecuzioni. Una catena, utilizzata nell’attacco prendendo di mira una particolare organizzazione, ha utilizzato un metodo noto come file DL contaminato nascosto in un archivio Com dirottante Di conseguenza, è stato implementato da applicazioni specifiche come Microsoft Edge. Sembra che sia:
Immagine della catena di esecuzione installando agenti mitici.
Credito: ESET
Il file DCL nell’archivio è lo Shelcode incorporato, che inizia a recuperare il nome di dominio della macchina corrente e confrontarlo con un valore hardcoded. Quando i due corrispondono, Shelcode installa un esempio personalizzato Agente mitico La struttura di sfruttamento.
La seconda catena è stata una finestra corrotta per fornire un carico a pagamento finale installando un familiare pezzo di malwer Malwer. Ha bloccato alcuni degli sforzi per essere presentato alla fine della macchina virtuale vuota o della sandbox, che è una pratica generale tra i ricercatori. Una terza catena ha usato altri due pezzi familiari di Malwer Malwer, uno è noto con il nome di Rusticlock e l’altro FusoIL
I punti deboli dei vincitori per l’installazione di malware sono stati assorbiti in precedenza. Dal 2019 una debolezza di codice per legge è stata sottoposta a un ampio sfruttamento nel 2019. Nel 2023, un vincitore è stato sfruttato per più di quattro mesi prima che gli attacchi fossero rilevati.
Oltre alla sua enorme base di utenti, il vincitore crea un veicolo perfetto per diffondere malware perché non esiste una disposizione automatica per l’installazione di nuovi aggiornamenti sull’utilità. Ciò significa che gli utenti sono ovviamente attivamente Scaricamento E installa la patch da soli. Inoltre, l’ESET afferma che le utility della riga di comando sono vulnerabili alla versione Windows delle utility. Le persone dovrebbero essere cancellate prima del 7,13, che era la più attuale quando questo post era in diretta. Ha emendamenti per tutti i punti deboli familiari, sebbene il flusso apparentemente infinito dello zero-day di Winara non sia come la certezza.
