Po przeniknięciu do atakowanej maszyny wspomniane ugrupowanie cyberprzestępcze zwykle wykorzystuje złośliwy kod angażujący lukę w zabezpieczeniach przeglądarki internetowej, aby rozpocząć swoją szkodliwą aktywność. Jednak zważywszy na to, że wiele przeglądarek wykorzystuje tzw. technologię piaskownicy (ang. sandbox) – funkcję wykorzystywaną do izolowania i bezpiecznego uruchamiania nowych aplikacji – tego typu szkodliwy kod rzadko wystarczy, aby zapewnić atakującym dostęp, jakiego potrzebują. Dlatego FruityArmor uzupełnił swój arsenał o narzędzie umożliwiające zwiększenie uprawnień w zainfekowanym systemie z użyciem luki CVE-2016-3393.
Po skutecznej instalacji szkodliwego kodu następuje wykonanie kolejnej funkcji z przywilejami wyższego poziomu, co umożliwia komunikowanie się z serwerem kontrolowanym przez cyberprzestępców. Szkodliwe oprogramowanie jest tym samym gotowe do otrzymania dalszych poleceń i pobrania dodatkowych modułów.
“Chociaż cyberprzestępcy coraz częściej wykorzystują niestandardowe szkodliwe oprogramowanie, luki dnia zerowego nadal stanowią pożądaną zdobycz dla grup stosujących ataki ukierunkowane. Zapotrzebowanie na takie luki prawdopodobnie nie zmniejszy się w najbliższym czasie, dlatego badacze zajmujący się bezpieczeństwem muszą nadal ich szukać, technologie ochrony muszą być w stanie je wykrywać, a twórcy oprogramowania szybko dostarczać poprawki. Wspólnie odpowiadamy za ochronę użytkowników” – powiedział Anton Iwanow, ekspert ds. bezpieczeństwa IT, Kaspersky Lab.
Produkty firmy Kaspersky Lab wykrywają szkodliwy kod wykorzystujący lukę CVE-2016-3393 jako: HEUR:Exploit.Win32.Generic, PDM:Exploit.Win32.Generic.
Szczegóły techniczne dotyczące wykorzystania przez atakujących luki CVE-2016-3393 są dostępne na stronie https://kas.pr/b4bH.