بسته بهرهجوی Fallout، مجهزتر از قبل
نویسندگان Fallout نسخه جدیدی از این بسته بهرهجو را عرضه کردهاند که علاوه بر توانایی سوءاستفاده از ضعفهای امنیتی بیشتر، قادر به اجرای بدافزار با بکارگیری مکانیزم “بدون فایل” است.
بستههای بهرهجو (Exploit Kit) ابزارهای مخربی هستند که هکرها و ویروسنویسان را قادر به اجرا کد مخرب خود بر روی دستگاه قربانی – معمولا بهصورت از راه دور و بدون دخالت کاربر – با سوءاستفاده از ضعفهای امنیتی نرمافزارهای نصب شده میکنند.
به گزارش شرکت مهندسی شبکه گستر، تا پیش از این در زمان اجرا بر روی دستگاه، Fallout ابتدا تلاش میکرد تا از آسیبپذیری CVE-2018-8174 در بخش مدیریتکننده کدهای VBScript بهرهجویی کند. در صورت آسیبپذیر نبودن آن (به دلیل نصب بودن اصلاحیه مربوطه) و یا غیرفعال بودن VBScript به سراغ بهرهجوی دوم بهمنظور سوءاستفاده از آسیبپذیری CVE-2018-4878 در محصول Flash Player میرفت.
اکنون نسخه جدیدی از Fallout منتشر شده که علاوه بر دو ضعف امنیتی مذکور از آسیبپذیری CVE-2018-15982 در نرمافزار Flash Player نیز پشتیبانی میکند. 15 آذر ماه، شرکت ادوبی، خارج از برنامه زمانبندی متداول خود (سهشنبه دوم هر ماه میلادی) اقدام به ارائه بهروزرسانی برای ترمیم یک آسیبپذیری CVE-2018-15982 با درجه اهمیت “حیاتی” (Critical) نمود. دلیل عرضه خارج از برنامه این اصلاحیه مورد بهرهجویی قرار گرفتن آسیبپذیری مذکور توسط گروهی از مهاجمان سایبری عنوان شده بود.
پیشتر نیز گردانندگان بسته بهرهجوی Underminer آن را به آسیبپذیری CVE-2018-15982 مجهز کرده بودند.
همچنین بر اساس کارزارهای تبلیغاتی که نویسندگان Fallout برای فروش این بسته بهرهجو در تالارهای گفتگوی زیرزمینی مهاجمان سایبری به راه انداختهاند، مبهمسازی کد (Obfuscation) و مکانیزم فرود (Landing) در نسخه جدید بهطور کامل بازطراحی شده و بهنحو قابل توجهی موجب بهبود کارایی آن شده است.
بررسیهای انجام شده توسط محققان ملوربایت نیز از توانایی نسخه جدید Fallout در اجرای کد مخرب مورد نظر مهاجم توسط پروسه معتبر PowerShell حکایت دارد که تکنیکی پیشرفته و از جمله روشهای مورد استفاده نویسندگان بدافزارهای موسوم به “بدون فایل” (Fileless) تلقی میشود.
با وجودی که از زمان شناسایی نخستین نسخه از Fallout کمتر از شش ماه میگذرد اما این بسته بهرهجو در میان نویسندگان بدافزار طرفداران فراوانی پیدا کرده است. از جمله علاقمندان Fallout میتوان به نویسندگان GandCrab اشاره کرد که این بسته بهرهجو نقش بسیار پررنگی در انتشار نسخه 5 این باجافزار داشته و همچنان نیز دارد.
لازم به ذکر است CVE-2018-4878 17 بهمن ماه 1396 توسط شرکت ادوبی اصلاح شد. آسیبپذیری CVE-2018-8174 نیز در 18 اردیبهشت ماه سال جاری در مجموعه اصلاحیههای ماه میلادی می مایکروسافت ترمیم شد. اصلاحیه CVE-2018-15982 هم همانطور که اشاره شد کمتر از دو ماه قبل انتشار یافت. در صورت نصب تمامی اصلاحیههای مذکور کامپیوترها و شبکه سازمان از گزند بسته بهرهجوی Fallout در امان خواهد بود.