Facelift für das Exploit-Kit RIG
München, 18. Oktober 2016 – Wer mit einem Exploit-Kit richtig Geld verdienen will, muss dieses ständig verändern. Dass dachten sich wahrscheinlich auch die Entwickler des RIG Exploit-Kits. Forscher des Trustwave SpiderLabs haben herausgefunden, dass das Exploit-Kit RIG jetzt anscheinend mit einem neuen Service, der die Enttarnung noch schwieriger macht, angeboten wird. Die Chancen, dass das RIG Exploit-Kit ähnlich populär wie Angler wird, stehen gut.
Ein Exploit-Kit ist eine Art Hacking-Box für Kleinkriminelle, über die sich Schadprogramme über Webangriffe bequem verteilen lassen. Im Regelfall lassen sich diese Exploit-Kits ohne technisches Wissen bedienen. Exploit-Kits werden im Darknet verkauft oder vermietet und können ihren Entwicklern Gewinne im Millionenbereich bescheren.
RIG Exploit-Kit
Im letzten Jahr erfreute sich das Angler Exploit-Kit unter Cyberkriminellen großer Beliebtheit. Nachdem einige Hintermänner von Angler verhaftet wurden, scheint dieses Exploit-Kit nicht mehr weiterentwickelt zu werden. Es gibt aber zahlreiche andere Exploit-Kits, die in die Fußstapfen von Angler treten. Dazu gehört auch das RIG Exploit-Kit, das besonders in den letzten Wochen sehr oft eingesetzt wurde. Das RIG Exploit-Kit wird normalerweise mit zwei Modulen/Optionen angeboten: Zuerst attackiert es nicht gestopfte Lücken des Flash-Player-Plugins und liefert einen passenden Exploit aus, danach werden Sicherheitslücken im IE ausgenutzt.
In den letzten Wochen haben die Experten des Trustwave SpiderLabs herausgefunden, dass das RIG Exploit nun über einen Redirect auf bisher nicht verwendete Landing-Page führt. Von diesem Redirect merken die betroffenen Nutzer nichts, es sei denn, sie setzen eine Sicherheits-Software ein, die die Umleitung blockiert und die Auslieferung von Malware über die neue Zielseite verhindert.
Eine der offensichtlisten Änderungen der neuen Landing-Page ist die Verwendung nicht druckbarer Zeichen. Anhand der Struktur der neuen Webseite lässt sich aber erkennen, dass hier wieder die RIG-Macher am Werk sein müssen. Wobei jetzt zuerst die IE-Lücke und danach die Flash-Lücke ausgenutzt wird.
Die Experten des Trustwave SpiderLabs schließen daraus, dass zwei Varianten des RIG Exploit Kits im Umlauf sind, da wahrscheinlich die “alte” Zielseite des Exploit-Kits von immer mehr Anbietern von Sicherheits-Software entdeckt wurde und ein Redirect darauf erfolgreich verhindern werden konnte. Die neue Variante des Exploit-Kits führt nun auf eine neue Zielseite und bietet damit eine neue Ebene der Verschleierung an. Diese “zusätzliche” Service sorgt dafür, dass die Erkennungsrate von RIG noch einmal erheblich sinkt.
Trustwave betont, dass Kunden von Trustwave Secure Web Gateway auch gegen die neue Variante des RIG Exploit-Kits sicher geschützt sind.
