El investigador Kafeine descubrió que el kit de exploits Fallout (EK) apareció con nuevas herramientas: un nuevo exploit de Adobe Flash, soporte HTTPS, formato de landing page y la capacidad de ejecutar payloads usando Powershell, lo que antes hacía sólo a través iexplore.exe.
Kafeine también observó que el Fallout EK se distribuía mediante campañas publicitarias, a través de Popcash, TrafficShop y RevenueHits entre otros. Además, desde el 15 de enero lanzó de nuevo el ransomware GandCrab.
Otros payloads que se propagan a través de EK, son Smokebot, Azorult, Tinynuke + Azorult, Dridex, la variante de túnel ServHelper y otros tipos de malware aún no identificados.
Se recomienda lo siguiente:
-Mantener una buena estrategia de respaldo de información.
-No abrir, guardar ni ejecutar archivos no confiables o sospechosos.
-Contar con un software de seguridad que incorpore detecciones de comportamiento para combatir los ransomwares.
-No tener equipos con servicio de escritorio remoto conectados directamente a Internet.
-Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
-Actualizar los equipos con Windows a las últimas versiones.
El listado de las CVE se adjunta a continuación:
| Producto | Versión |
|---|---|
| Microsoft Windows |
7 8 10 |
| Tipo | Indicador |
|---|---|
| ip | 185.56.233[.]186 |
| ip | 51.15.35[.]154 |
| url | advancedfeed[.]pro |
| url | payformyattention[.]site |