Después de casi dos años de actividad silenciosa, la campaña ShadowGate comenzó a distribuir a los mineros una versión mejorada del exploit Greenflash Sundown. La campaña se ha visto dirigida a todo el mundo, cuando anteriormente operaba principalmente en Asia.
La campaña ShadowGate (también conocida como WordsJS) fue identificada en 2015; en donde entregó malware con exploits a través de los servidores de publicidad comprometidos de OpenX, una popular compañía de tecnología de publicidad. Al ser detectados en septiembre de 2016, la campaña intentó ocultar sus actividades.
Ahora en 2019, han desarrollado su propio exploit, bautizado como Greenflash Sundown, probablemente para evitar el uso de servicios de exploits del mercado negro. A finales de 2016, la campaña detuvo sus ataques de inyección en los servidores de publicidad comprometidos y restringió su actividad a la difusión de ransomware a través de sitios web de Corea del Sur comprometidos.
En abril de 2018, ShadowGate fue vista esparciendo a los mineros de criptomonedas con Greenflash Sundown. Sin embargo, la inyección se limitó a servidores en países de Asia oriental, durante un corto periodo de tiempo.
En Junio, ShadowGate ataca nuevamente pero esta vez a víctimas globales. Los visitantes de sitios web incrustados con anuncios maliciosos (de los servidores de anuncios comprometidos) fueron redirigidos al exploit Greenflash Sundown e infectados con un minero de criptomonedas, Monero específicamente.
Figura. Distribución por país de la actividad de ShadowGate (desde el 7 de junio hasta el 24 de junio de 2019)
La última versión del exploit Greenflash Sundown también cuenta con un cargador PowerShell actualizado. Desde noviembre de 2018, el kit de explotación comenzó a usar este cargador, que lo hace capaz de infectar con malware sin requerir de archivos adicionales. El cargador actualizado en esta nueva versión ahora es capaz de recopilar un perfil del entorno de la víctima y enviar la información al servidor del exploit.
Esta actualización ayuda a evitar la detección en herramientas como sandbox o honeypots que puedan capturar el malware. La información tomada de la víctima incluye detalles del sistema operativo, nombre de usuario, tarjeta de vídeo, información del disco duro y de los antivirus que posea la víctima.
REFERENCIA
https://blog.trendmicro.com/trendlabs-security-intelligence/shadowgate-returns-to-worldwide-operations-with-evolved-greenflash-sundown-exploit-kit/
COMENTARIOS