IE לנצל מפיצה תוכנות זדוניות PlugX, אומרים החוקרים

חוקרים של ספק אבטחה AlienVault זיהו גרסה של ניצול Internet Explorer שהתגלו לאחרונה אשר משמש להדבקת מחשבים ממוקד עם תוכנית גישה מרחוק Trojan (RAT). הגרסה החדשה לנצל לנצל את הפגיעות המתואמת באותו IE 6, 7, 8 ו 9 כמו לנצל המקורי, אבל משתמש בקוד שונה במקצת ויש לו מטען שונה, מנהל AlienVault Labs מנהל חיימה Blasco אמר ביום שלישי בבלוג. הניצול הראשון נמצא בסוף השבוע על שרת זדוני ידוע על ידי חוקר האבטחה אריק רומנג והפיץ את Poison Ivy RAT. גרסת הניצול השנייה שהתגלתה על ידי חוקרים של AlienVault נמצאה בשרת אחר ומתקינה תוכנית RAT חדשה הרבה יותר הנקראת PlugX. [

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

עם זאת, תאריכי שינוי הקובץ מופיעים ב- שני השרתים מציעים ששתי הגרסאות של הניצול נמצאות בשימוש מאז לפחות ב -14 בספטמבר. "אנו יודעים שהקבוצה המשתמשת באופן פעיל בתוכנה הזדונית PlugX שנקראת Florhow קיבלה גישה ל- Internet Explorer ZeroDay [ניצול מיקוד של פגיעות שלא פורסמה] ימים לפני שנחשף, "אמר בלסקו. "בגלל הדמיון של קוד לנצל החדש גילה אחד גילה לפני כמה ימים סביר מאוד כי אותה קבוצה היא מאחורי שני המופעים."

החוקרים AlienVault עוקבים אחר התקפות המשתמשות RAT PlugX מאז בתחילת השנה. בהתבסס על נתיבי איתור באגים שנמצאו בתוכנה הזדונית, הם מאמינים כי ה- RAT החדש יחסית פותח על ידי האקר סיני הידוע כ - WHG, שהיה לו קשרים קודמים עם ה- Crack Network Program Hacker (NCPH), קבוצת האקרים סינית ידועה. > החוקרים של AlienVault זיהו גם שני אתרים נוספים ששימשו את ה- IE החדש לנצל בעבר, אך לא ניתן היה לקבל מטען מהם, אמר Blasco. אחד מהם היה אתר חדשות הגנה מהודו והשני היה כנראה גרסה מזויפת של האתר הבינלאומי השני LED מקצועי סימפוזיון, הוא אמר. (ראה גם "יישומי אינטרנט זדוניים: איך לזהות אותם, איך לנצח אותם").

"נראה שהחבר'ה שמאחורי זה 0day היו מכוונים לתעשיות ספציפיות", אמר בלסקו.

השרת שבו ה- IE המקורי מנצל נמצא גם מאוחסנים לנצל עבור פגיעות Java unatched בחודש שעבר. זה ניצול ג 'אווה שימש בהתקפות המיוחסות על ידי חוקרי אבטחה לקבוצת האקרים סינית המכונה "Nitro".

מיקרוסופט כבר פרסמה ייעוץ אבטחה על הפגיעות IE החדש המומלץ פתרונות הפחתת זמני בזמן שהוא עובד על תיקון.