Der neueste Flash Zero-Day wurde zur Verbreitung von Cerber Ransomware verwendet

Die letzte Zero-Day-Schwachstelle in Adobe Systems Flash Player wurde in den letzten zwei Wochen verwendet, um Ransomware namens Cerber, E-Mail-Sicherheit zu verteilen Verkäufer Proofpoint sagte.

Adobe sagte, es würde den Fehler, CVE-2016-1019, am Donnerstag Patch. Die Sicherheitslücke betrifft alle Versionen von Flash Player unter Windows, Mac, Linux und Chrome OS.

Ryan Kalember, Senior Vice President für Cybersicherheit bei Proofpoint, gab an, dass sein Unternehmen am Samstag einen Angriff auf den Fehler entdeckt habe.

Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Einer der Proofpoint-Kunden erhielt eine E-Mail mit einem bösartigen Makro, das die Opfer durch eine Reihe von Weiterleitungen führte, die schließlich ein Exploit-Kit erreichten.

Exploit-Kits sind Software-Pakete, die auf Domains platziert sind, die nach Software-Schwachstellen auf einem Computer suchen, um Malware zu verbreiten. Wenn ein Opfer auf einer Seite landet und beispielsweise einen Softwarefehler in Flash hat, wird die Malware leise installiert.

Die Exploit-Kits, die die Zero-Day-Flash-Schwachstelle nutzen, werden als Magnitude und Nuclear Pack bezeichnet, sagte Kalember. Es wird angenommen, dass nur eine Cyberkriminelle Gruppe hinter Magnitude steht.

"Sie haben schon seit geraumer Zeit Ransomware gemacht", sagte er. "Sie machten eine Weile Cryptowall, dann zogen sie nach Teslacrypt und jetzt sind sie auf Cerber."

Proofpoint war überrascht, dass eine Zero-Day-Schwachstelle zur Verbreitung von Ransomware verwendet wurde.

Zero-days Schwachstellen sind Schwachstellen werden aktiv in Angriffen verwendet und nicht von einem Anbieter gepatcht. Solche Sicherheitslücken haben einen hohen Preis in Underground-Märkten, da es fast garantiert ist, dass ein Opfer kompromittiert wird.

"Die Tatsache, dass es in Ransomware verwendet wird, zeigt an, wie weit Ransomware gekommen ist, da sie eindeutig profitabel ist eine sehr, sehr interessante Schwachstelle und Exploit, anstatt an den Höchstbietenden zu verkaufen ", sagte Kalember.

Die Angreifer machten jedoch einen interessanten Schritt, der vielleicht Sicherheitsforscher verzögern sollte.

Kalember sagte, der Flash-Exploit sei entwickelt, um nur Flash Player-Versionen 20.0.0.306 und früher zu infizieren.

Dies steht im Konflikt mit der Version von Adobe von Ereignissen. In seiner Empfehlung am Dienstag sagte Adobe, dass eine in Flash Player Version 21.0.0.182 eingeführte Minderung die Ausnutzung der Sicherheitslücke verhindert.

Kalember sagte, dass die Sicherheitslücke alle Versionen von Flash betrifft. Die Angreifer, so sagte er, haben den Exploit so konstruiert, dass er nur auf ältere Versionen von Flash abzielte, eine Technik, die als Degradation bekannt ist.

"Das hat nicht Adobe gemildert", sagte er. "Es sind die Malware-Autoren selbst."

Andere Exploit-Kits, einschließlich Angler, haben auch einige ihrer Angriffe abgebaut, sagte Kalember.

Cerber ist eine relativ neue Art von Ransomware, die im letzten Monat auftauchte. Merkwürdigerweise werde es keine Computer infizieren, die sich in Russland oder in ex-sowjetischen Ländern befinden, sagte Kalember.

Ransomware ist zu einem der akutesten Probleme im Internet geworden. Die Malware verschlüsselt die meisten Dateien auf dem Computer eines Opfers. Die Entschlüsselungsschlüssel sind nur durch Zahlung eines Lösegelds erhältlich, das normalerweise in Bitcoin angefordert wird.

Die Geschichte wurde korrigiert, um im ersten Absatz einen Zeitfehler zu korrigieren, und fügt im sechsten Absatz neue Informationen hinzu.