AliGater este un atac de tip malvertising care vizează utilizatorii versiunilor de Windows mai vechi. Atacul începe prin reclame malițioase care redirecționează utilizatorii către un site periculos, unde sunt expuși la tehnici avansate de exploit și malware.
TL;DR
- AliGater este un atac de tip malvertising
- Vizează utilizatorii versiunilor de Windows mai vechi
- Utilizează tehnici avansate de exploatare
- Scopul final este de a fura informații prin Lumma stealer
Ce este AliGater?
AliGater este o campanie de malvertising descoperită recent de cercetătorii de la Gen Digital, care vizează utilizatorii de Windows versiuni vechi (7 SP1, 8.1) și versiuni vechi de Chrome, în special în Europa. Malvertising se referă la practica de a insera cod malițios în reclame online legitime, ceea ce face dificilă detectarea acestora atât pentru utilizatori, cât și pentru editori.
Cum funcționează atacul?
Atacul începe cu reclame malițioase care redirecționează utilizatorii către aligate.homes, unde sunt identificați prin stringuri “User-Agent”. Dacă utilizatorul este considerat o țintă exploatabilă, este redirecționat către un CAPTCHA fals, care încarcă un fișier JavaScript malițios numit “captcha.js”. Acest script analizează mediul victimei și livrează exploit-uri specifice pentru motorul JavaScript V8 (CVE-2023-2033) și parsing-ul fonturilor TrueType în Windows (CVE-2011-3402).
Metode de exploatare
Payload-ul multi-stage utilizează următoarele tehnici:
- WebAssembly
- XOR encryption
- Shellcode injection
- Process hollowing
De asemenea, creează procese cu permisiuni elevate, care se maschează ca executabile legitime Windows, pentru a desfășura Lumma stealer. Atacul folosește și cereri syscall specifice și vizează anumiți user agents, în special “Mozilla/5.0 (Windows NT 10.0, Win64, x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36”.
Posibile conexiuni
Infrastructura AliGater folosește subdomenii și adrese IP care se schimbă rapid, împărtășind mai multe caracteristici cu campania ransomware Magniber. Acest lucru sugerează o posibilă legătură sau un cod comun între cele două amenințări, ceea ce ar putea indica că autorii Magniber își oferă infrastructura ca serviciu.
Prevenție
Pentru a se proteja de astfel de atacuri, utilizatorii ar trebui să păstreze sistemele de operare și aplicațiile actualizate, să utilizeze software antivirus de încredere, și să evite să facă clic pe reclame suspecte. Experții recomandă, de asemenea, utilizarea extențiilor de browser care blochează anunțurile malițioase.
Sursa articolului:
https://cybersecuritynews.com/aligater-attacking-outdated-windows-users/