ShadowGate vuelve con un nuevo exploit y una campaña global de malvertising


Después de casi dos años de actividad silenciosa, la campaña ShadowGate comenzó a distribuir a los mineros una versión mejorada del exploit Greenflash Sundown. La campaña se ha visto dirigida a todo el mundo, cuando anteriormente operaba principalmente en Asia.

La campaña ShadowGate (también conocida como WordsJS) fue identificada en 2015; en donde entregó malware con exploits a través de los servidores de publicidad comprometidos de OpenX, una popular compañía de tecnología de publicidad. Al ser detectados en septiembre de 2016, la campaña intentó ocultar sus actividades.

Ahora en 2019, han desarrollado su propio exploit, bautizado como Greenflash Sundown, probablemente para evitar el uso de servicios de exploits del mercado negro. A finales de 2016, la campaña detuvo sus ataques de inyección en los servidores de publicidad comprometidos y restringió su actividad a la difusión de ransomware a través de sitios web de Corea del Sur comprometidos. 

En abril de 2018, ShadowGate fue vista esparciendo a los mineros de criptomonedas con Greenflash Sundown. Sin embargo, la inyección se limitó a servidores en países de Asia oriental, durante un corto periodo de tiempo.

En Junio, ShadowGate ataca nuevamente pero esta vez a víctimas globales. Los visitantes de sitios web incrustados con anuncios maliciosos (de los servidores de anuncios comprometidos) fueron redirigidos al exploit Greenflash Sundown e infectados con un minero de criptomonedas, Monero específicamente.

Figura. Distribución por país de la actividad de ShadowGate (desde el 7 de junio hasta el 24 de junio de 2019)

La última versión del exploit Greenflash Sundown también cuenta con un cargador PowerShell actualizado. Desde noviembre de 2018, el kit de explotación comenzó a usar este cargador, que lo hace capaz de infectar con malware sin requerir de archivos adicionales. El cargador actualizado en esta nueva versión ahora es capaz de recopilar un perfil del entorno de la víctima y enviar la información al servidor del exploit.

Esta actualización ayuda a evitar la detección en herramientas como sandbox o honeypots que puedan capturar el malware. La información tomada de la víctima incluye detalles del sistema operativo, nombre de usuario, tarjeta de vídeo, información del disco duro y de los antivirus que posea la víctima.


REFERENCIA
https://blog.trendmicro.com/trendlabs-security-intelligence/shadowgate-returns-to-worldwide-operations-with-evolved-greenflash-sundown-exploit-kit/

COMENTARIOS

Nombre

Adobe,1,Adware,3,android,23,Antivirus,2,Apple,13,Apps,10,Arkavia Networks,12,Ataques,4,Backdoor,3,Bancos,6,Bases de Datos,1,Botnet,1,Botnet. Malware,1,Check Point,2,Cibercrimen,98,ciberseguridad,68,Cisco,1,Cloud,1,CMS,1,CPU,3,Criptomonedas,3,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Leak,5,Deep Web,5,Ecommerce,1,Empresas,102,Eventos,4,Exploits,4,F5 Networks,1,Facebook,5,Firmware,1,google,24,Hacking,72,Hardware,7,Hosting,1,Industria,8,Instagram,2,Intel,2,Internacional,39,Internet,30,Investigacion,7,ios,3,IoT,3,ISO,1,Linux,4,Malware,21,Malwares,32,Microsoft,20,Nacional,10,Negocios,2,Oracle,1,OS,8,Payload,1,phishing,9,Protocolos,11,Ransomware,5,Recomendaciones,14,Redes,26,redes sociales,11,Rootkit,1,Salud,2,Servicios,5,Smartphones,26,Software,20,Spyware,10,updates,21,Vulnerabilidades,56,Web,5,WhatsApp,2,wifi,2,Windows,8,
ltr
item
Arkavia Networks News: ShadowGate vuelve con un nuevo exploit y una campaña global de malvertising
ShadowGate vuelve con un nuevo exploit y una campaña global de malvertising
https://1.bp.blogspot.com/-uc8fPVgj-PI/XRZe2wnl-6I/AAAAAAAABhU/-Q-ElaoV8Nws4EXluNCxjXJlgfIpzQFawCLcBGAs/s640/shadowgate.jpg
https://1.bp.blogspot.com/-uc8fPVgj-PI/XRZe2wnl-6I/AAAAAAAABhU/-Q-ElaoV8Nws4EXluNCxjXJlgfIpzQFawCLcBGAs/s72-c/shadowgate.jpg
Arkavia Networks News
https://www.arkalabs.cl/2019/06/shadowgate-vuelve-con-un-nuevo-exploit.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2019/06/shadowgate-vuelve-con-un-nuevo-exploit.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy